zurück zur Übersicht

Geteiltes Leid – Aus den Attacken auf andere lernen

parts-257161Die Regale unserer digitalen Threat Intelligence Asservatenkammer sind voll. Die Analysten haben jede Menge Informationen gesammelt, Intelligence daraus gewonnen und sie in Form gebracht. Jetzt warten sie nur darauf, mit Hilfe dieser sorgfältig zusammengetragenen Details gekonnt eine digitale Attacke einzudämmen oder sogar zu verhindern. Allerdings ist die Wahrscheinlichkeit, mit genau demselben Angriff ein zweites Mal angegriffen zu werden nicht so hoch, wie sie sein könnte. Was also müssen wir tun, um die Erkennungswahrscheinlichkeit zu erhöhen und damit die Mean Time to Detect zu verringern?

Abgucken lohnt sich

Die Gegenspieler machen es vor. In einschlägigen Foren werden Schwachstellen und Angriffswerkzeuge verkauft oder getauscht. Das geschäftliche Interesse daran ist unübersehbar. Und warum auch nicht? Mächtige Tools werden schließlich nicht nur im zwielichtigen Umfeld für gutes Geld verkauft. Fakt ist: Angreifer sprechen sich ab, tauschen sich aus und erhöhen damit die Erfolgsquote auf ihren Raubzügen. Zwar funktioniert ein und derselbe Trickbetrug vielleicht nur ein einziges Mal bei jedem Ziel, doch es gibt schließlich potenzielle Ziele genug. Aus einer einzigen in Code umgesetzten Idee lässt sich so eine ganze Menge Profit schlagen.

Das Vorgehen, um solchen Gegnern beizukommen, liegt auf der Hand: Die Analysten müssen sich genauso gut vernetzen wie ihre Gegenspieler. Kein Verteidiger – und ganz besonders nicht die Unternehmen, die hinter den Analysten stehen – hat etwas davon, wenn sich jedes Analystenteam für eine Insel hält und das Rad ganz allein für sich neu erfindet. So fähig die Teams für sich gesehen auch sein mögen, sie verschwenden auf diese Weise eine ganze Menge Zeit und Energie, die viel besser darin investiert wäre, sich auf die Jagd nach wirklich neuen Bedrohungen zu machen.

Die Teams müssen also miteinander kommunizieren. Davon profitieren letztlich Alle. Angesichts der Tatsache, dass sie ihre Asservatenkammern idealerweise mit einem gemeinsamen Standard wie z.B. STIX (Structured Threat Information eXpression) gefüllt haben, brauchen sie also nur noch eine möglichst unkomplizierte gemeinsame Art der Kommunikation um die Threat Intelligence zu teilen. Natürlich kann ein simpler XML-Standard einfach exportiert und per Mail versendet werden, doch das ist beinahe so wenig effizient, wie schädliche IPs, Domains und Signaturen per Telefon durchzugeben. Besser wäre eine automatisierte Übertragungsmöglichkeit.

Mit TAXII zum Ziel

Diese Lücke füllt ein Protokoll mit dem für sich selbst sprechenden Namen TAXII (Trusted Automated eXchange of Indicator Information). TAXII ist ein auf Threat Intelligence spezialisiertes Transportprotokoll. Neben Push- und Pull-Unterstützung bietet es außerdem mehrere Übertragungsmodi: Hub-and-Spoke, Source/Subscriber und Peer-to-Peer.

Hub-and-Spoke und Source/Subscriber basieren klassischerweise auf einer Sternstruktur mit einer Zentrale im Mittelpunkt. Die Rolle des vertrauenswürdigen Mittelsmanns übernehmen meistens Threat Intelligence Feeds (TI-Feeds). TI-Feeds sind zentrale Sammelbecken, sozusagen die Funkzentralen der Analysten. In regelmäßigen Abständen werden von dort aus Updates an die eingetragenen Teams herausgegeben, in denen die neuesten Bedrohungen formalisiert und durch die standardisierte Form leicht verdaulich dargestellt sind.

Die Herkunft der Daten variiert je nach Anbieter. Manche Feeds werden direkt aus den Informationspools der Teilnehmer gespeist. Dabei geben diese automatisch oder manuell Informationen frei, die in ihrem eigenen Netzwerk aufgetreten sind (Hub-and-Spoke-Modus). Diese Informationen und Samples werden dann mit unterschiedlichen Mechanismen geprüft, in ihrer Relevanz eingestuft und weitergegeben. Andere Anbieter durchforsten das Internet automatisch und scannen zum Beispiel Pastebins nach Informationen von Aktivisten und Hackern, um die gewonnene Intelligence dann an ihre Abonnenten weiterzugeben (Source/Subscriber).

Die Effizienz dieser Vorgehensweise ist leicht erkennbar: Aus Inseln wird ein koordiniertes Netzwerk in Sternform mit einem spezialisierten Knoten in der Mitte. Was ein Mitglied weiß und für teilenswert hält, kann kurz darauf auch jedes andere interessierte Mitglied abrufen.

Team up!

Der Peer-to-Peer-Modus von TAXII lässt den zentralen Knotenpunkt aus und ermöglicht jedem Knoten, also jedem Team, sich mit jedem anderen zu vernetzen. Das fordert von den Analystenteams, sich eigenständig Partner zu suchen, was wiederum einige Risiken birgt und einen höheren Aufwand bedeutet als die Anbindung an einen TI-Feed. Schließlich weiß am Anfang einer solchen Partnerschaft keines der beiden Teams genau, ob die Threat Intelligence des jeweils anderen überhaupt qualitativ hochwertig genug ist, um die eigene Asservatenkammer zu ergänzen (Qualitätsmanagement). Dazu kommt die Anonymisierungsproblematik. Sensible Informationen, die aus dem eigenen Netzwerk stammen, dürfen nicht herausgegeben werden. Die Intelligence muss also verfremdet werden, was die Frage in den Raum stellt, ob sie dann überhaupt noch hochwertig genug ist, um sie zu verwenden. All das erfordert ein gewisses Maß an Abstimmung zwischen den Teams.

Das ist es jedoch auch, was den Wert dieser Zusammenarbeit ausmacht. Die Informationen stammen nicht mehr aus einer anonymen Quelle, sondern es entsteht eine Allianz zwischen den teilenden Parteien. Nachfragen werden einfacher, Erkundigungen im Idealfall fruchtbarer. Es gibt einen gemeinsamen Gegner. Seine volle Wirkung entfaltet diese Zusammenarbeit dann, wenn Analystenteams zusammenarbeiten, deren Arbeitgeber in derselben Branche tätig sind. Ähnliche Unternehmen teilen oft gemeinsame Angriffsvektoren. Ein effektiver Austausch zwischen solchen Teams kann so selbst Advanced Persistent Threats (APT), der Topliga der fortgeschrittenen Malware, entgegenwirken.

Grund genug also, sich in das Thema hineinzudenken und sich nach links und rechts umzuschauen, falls Sie das nicht schon längst tun. Hackerangriffe sind ein schmerzhaftes Thema und geteiltes Leid ist bekanntlich halbes Leid.

Hier gehts zum Teil 1 der Serie (Aufklärung auf dem Cyber-Schlachtfeld)
Hier gehts zum Teil 2 der Serie (Threat Information vs. Threat Intelligence)
Hier gehts zum Teil 3 der Serie (Ordnung in der Asservatenkammer)
Hier gehts zum Teil 5 der Serie (Threat Sharing Platforms)


 

http://taxiiproject.github.io/about/
http://taxiiproject.github.io/getting-started/whitepaper/
http://stixproject.github.io/getting-started/whitepaper/
https://www.it-cube.net/cubespotter/ordnung-in-der-asservatenkammer/

Schreibe einen Kommentar