zurück zur Übersicht

Threat Information vs. Threat Intelligence

Bringen Sie Ihre digitalen Wachhunde auf Trab mit Threat IntelligenceThreat Intelligence (TI) ist wie ein digitaler Krimi: Wer kennt nicht die Gaunerstücke im Fernsehen oder in Buchformat, in denen ein geschicktes Team von Kriminalbeamten einen verzwickten Fall löst, der zu Beginn vollkommen wirr und unlösbar erscheint.

Stück für Stück sammeln die Ermittler die einzelnen Informationshäppchen ein und verbinden sie zu einem großen Gesamtbild, aus dem sie dann den Tathergang ableiten und den Täter überführen können.

Dieses Bild lässt sich gut auf Netzwerkangriffe übertragen. Natürlich können wir Mauer um Mauer (respektive Firewalls) um unsere Netzwerksegmente ziehen und analoge wie digitale Wachhunde halten. Trotzdem bleibt immer ein Restrisiko. Ein geschickter Einbrecher kommt als Haushaltshilfe, ein versierter Hacker tarnt seine Werkzeuge als harmloses Gimmick. Die starke Außenverteidigung – so wichtig sie zur Abwehr von „Gelegenheitstätern“ auch ist – läuft ins Leere.

Wenn es dann zu spät ist und die persönlichen Kronjuwelen erst gestohlen sind, brauchen wir Detektive, die Indizien und Informationen sammeln und sie so aufbereiten, dass im besten Fall der Täter gefunden werden kann. Wenn nicht, so sollte doch wenigstens der Nachbar vor der falschen Haushilfe gewarnt werden, indem Informationen zur Identifizierung der entsprechenden Person weitergegeben werden.

Threat Information vs. Threat Intelligence

Auch bei dem digitalen Gegenstück zur analogen Fahndung, der Threat Intelligence, dreht sich alles um Informationen. Nichtsdestotrotz besteht ein großer Unterschied zwischen Threat Intelligence und Threat Information.

Informationen kennt jeder von uns aus dem Alltagsleben. Sie prasseln auf uns ein, wo immer wir gehen und stehen. Der seltsam schläfrige Wachhund gehört genauso dazu wie ein zerbrochenes Glas auf dem Küchenboden und das Lied, das morgens nebenbei im Radio lief und uns den ganzen Tag lang als Ohrwurm verfolgt. Informationen können relevant sein, wie die Unordnung in der Schublade, in der wir unseren Notgroschen aufbewahren, oftmals sind sie aber auch unwichtig und rauben nur Kapazitäten. Manchmal ist der Wahrheitsgehalt einer Information nicht abschließend geklärt, und von Zeit zu Zeit ist ein Stück Information unvollständig und die Interpretation irreführend.

So verhält es sich auch mit Threat Information. Eine oft enorm hohe Anzahl von Endpunkten eines Netzwerks erzeugt einen Strom von Meldungen und Warnungen ohne expliziten Zusammenhang. Listen von IP-Adressen, Ports, Accounts, deren Anmeldung fehlgeschlagen ist, Anwendungen, die unvorhergesehen abgestürzt sind, Logins an ungewöhnlichen Maschinen – Rohdaten, ungefiltert und noch nicht geprüft. Es wäre zwar nicht klug, einen solchen Berg von Berichten zu ignorieren, aber es erfordert eine ganze Menge Geduld, aus all diesen Informationen einen Mehrwert zu erzeugen und die Spreu vom Weizen zu trennen. SIEM (Security Incident and Event Management) Systeme sind dafür ein häufiges Mittel der Wahl, aber das ist nicht alles.

Es braucht auch ein Team von Analysten, das die gesammelten Informationen evaluiert, aussortiert und die Berichte mit einem hohen Wahrheitsgehalt in einen gemeinsamen Kontext bringt und damit ungeahnte Möglichkeiten eröffnet, einen Vorfall aufzulösen. Diese Korrelation von Informationen, der Kontext, in dem sich die Haushaltshilfe plötzlich krankmeldet und der Wachhund humpelt während zeitgleich das Silberbesteck verschwindet, ist der Vorgang, der aus rohen Informationen Intelligence macht.

Kontextualisierung von Ereignissen lässt Zusammenhänge deutlich werden

Mit der richtigen Dokumentation von Threat Intelligence lässt sich die Arbeit des Teams oder des Systems, das für die Filterung und Korrelation zuständig ist, in einen noch größeren Kontext bringen. Damit stehen auch historische Daten zum Abgleich zur Verfügung. Irgendwann fällt dann auf, dass das Opfer des Einbruchs schon bemerkenswert oft im Fadenkreuz von verbrecherischen Haushaltshilfen stand und dafür reichlich Entschädigung von unterschiedlichen Versicherungen kassiert hat. Damit kristallisiert sich plötzlich ein vollkommen anderes Muster heraus, das nur mit Information und ohne Intelligence womöglich niemals aufgefallen wäre.

Insbesondere in einer Zeit, in der ein Angreifer keine speziellen Fähigkeiten mehr benötigt, sondern nur noch das nötige Kleingeld, um ein vorgefertigtes Toolkit zu kaufen oder gleich einen Hacker und dessen hauseigenes Botnetz zu mieten, ist Threat Intelligence von unschätzbarem Wert. Werden Angriffswerkzeuge wiederverwendet, zeigen sich in den Attacken Muster, die möglicherweise schon einmal aufgefallen sind und untersucht wurden. STIX bietet für den Austausch solcher Daten eine standardisierte Struktur (mehr dazu hier).

Es versteht sich von selbst, dass es klüger ist, auf aufbereitete Threat Intelligence-Daten zurückzugreifen, als auf die Masse an ungefilterten Informationen, die wiederum zu einer Masse von Fehlalarmen führt. Es ist allerdings nicht einfach, die richtigen Daten zu extrahieren, zu verifizieren und zu pflegen, sie in das richtige Format zu bringen und sie möglicherweise zu teilen. Doch der Aufwand lohnt sich! Threat Intelligence wird erst mit qualifizierter Zusammenarbeit richtig interessant und vor allem effizient.

Hier gehts zum Teil 1 der Serie (Aufklärung auf dem Cyber-Schlachtfeld)
Hier gehts zum Teil 3 der Serie (Ordnung in der Asservatenkammer)
Hier gehts zum Teil 4 der Serie (Aus den Attacken auf andere lernen)
Hier gehts zum Teil 5 der Serie (Threat Sharing Platforms)


Weiterführende Links zum Thema Threat Intelligence

https://www.it-cube.net/cubespotter/aufklaerung-auf-dem-cyber-schlachtfeld/

http://www.isightpartners.com/wp-content/uploads/2014/07/iSIGHT_Partners_What_Is_20-20_Clarity_Brief1.pdf

https://www.sans.org/reading-room/whitepapers/analyst/cyberthreat-intelligence-how-35767

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar