zurück zur Übersicht

Zum Abschuss freigegeben

Die Auswirkungen von Cyber-Attacken materialisieren sich nicht einfach so, ihnen geht immer eine Verkettung bestimmter Ereignisse voraus – wie frische Spuren im Schnee, die dem Jäger den Weg zur Beute weisen. So eine Verkettung von Ereignissen wird auch beim Threat Hunting, also der Jagd nach Cyber-Angreifern benutzt. Um einzelne relevante Ereignisse zu erkennen und miteinander in Verbindung zu bringen, wurden verschiedene Modelle entwickelt – Intrusion Kill Chain und Diamond Model sind wohl die bekanntesten. Beide Modelle dienen dazu, das Vorgehen von Angreifern zu verstehen und einordnen zu können.

Die gewonnenen Erkenntnisse werden dann verwendet, um Maßnahmen, wie zum Beispiel Detection Use Cases für SIEM-Systeme zu erstellen. Das Ergebnis ist die gezielte Intervention an möglichst vielen kritischen Angriffspunkten. Dadurch wird ermöglicht, Attacken zu erkennen und zum Erliegen zu bringen, bevor Schaden entsteht und kritische Geschäftsprozesse zum Erliegen kommen.

Intrusion Kill Chain

Die Kill Chain ist ursprünglich ein militärisches Vorgehensmodell – FIND/FIX/TRACK/TARGET/ENGAGE/ASSESS (F2T2EA) – das von Lockheed-Martin  auf Cyber-Angriffe übertragen wurde. Es unterteilt das Vorgehen der Angreifer in die Phasen RECONNAISSANCE / WEAPONIZATION / DELIVERY / EXPLOITATION /  INSTALLATION / COMMAND&CONTROL / ACTIONS ON OBJECTIVES. Das Modell basiert auf der Annahme, dass bei allen Versuchen, in ein Netzwerk einzudringen, bei denen der Angreifer keinen physischen Zugang zu der betreffenden Infrastruktur und keine detaillierten Informationen zu deren Beschaffenheit hat, mehr oder weniger alle Phasen der Kill Chain durchlaufen werden müssen, bevor er seine Ziele erreicht.

Einzelne sicherheitsrelevante Ereignisse lassen sich den Phasen zuordnen und damit zueinander in Verbindung setzen. Einzelereignisse werden mit Kontext versehen, wodurch eine einfachere und zuverlässige Erkennung von Angriffen möglich ist. Darauf aufbauend lassen sich dann auch gezielte Gegenmaßnahmen ergreifen, die die Kill Chain unterbrechen und so den Angriff unterbinden. Die Unterbrechung von Command&Control-Kommunikation durch entsprechende Firewall-Regeln ist ein Beispiel für so eine gezielte Gegenmaßnahme.

Diamond Model

Das Diamond Model basiert darauf, dass jede Aktion eines Angreifers aus vier Kernkomponenten besteht, nämlich ADVERSARY, INFRASTRUCTUR, CAPABILITY und VICTIM. Alle stehen miteinander in Verbindung und ergeben damit optisch die Form eines Diamanten, was dem Modell seinen Namen verlieh. Es ermöglicht es Analysten ein klares Bild zu entwickeln, wie Angreifer vorgehen und hilft ihre Tools, Techniken und Taktiken (TTPs) zu verstehen. Basierend auf diesen Informationen können Response-Maßnahmen besser und umfassender koordiniert werden. Beispielsweise kann bei einer Phishing Email ein Beziehungsmodell erstellt werden, aus dem hervorgeht, wer diese versendet und empfangen hat und welche Domains und IP-Adressen damit in Verbindung stehen. Mit diesem Modell ist es dann möglich nach Domains zu suchen, die die gleichen DNS-Resolver verwenden und Hosts zu identifizieren, die DNS-Requests zu diesen Domains senden.

Beide Modelle schließen sich nicht gegenseitig aus, sondern ergänzen sich und können gemeinsam genutzt werden.

Threat Hunting im Überblick

Im Allgemeinen versteht man unter Threat Hunting ein proaktives, iteratives Vorgehen, bei dem, ausgehend von einer konkreten Angriffshypothese, Beweise für deren Korrektheit gesucht werden. Um bei der Jagdmetapher zu bleiben: Es wird ausgewählt, was auf der Speisekarte steht, um dann gezielt dem entsprechenden Wild nachzustellen.

Es wird also davon ausgegangen,dass ein Angreifer auf einem bestimmten Weg bereits eingedrungen ist und dafür werden konkrete Anhaltspunkte gesucht – frei nach dem Motto „Denn wo Rauch ist, da ist auch Feuer!“. Mit den daraus gewonnenen Erkenntnissen soll die Erkennung von Angriffen und Sicherheitsvorfällen kontinuierlich optimiert und effektiviert werden. Threat Hunting basiert dabei auf zwei Kernkompetenzen – der Fähigkeit Hypothesen aufzustellen und diese zu testen. Ausführliche Informationen zu Thema Angriffshypothesen und deren Erstellung finden sich hier.

Der iterative Prozess lässt sich prinzipiell in 4 Schritte einteilen, die sich an ein anderes Vorgehensmodell anlehnen – die OODA-Loop:

  1. Hypothese aufstellen (OBSERVE)
  2. Analyse von Ereignisdaten (ORIENT)
  3. Aufbereitung der Ergebnisse zur Identifizierung neuer Erkennungsmuster & TTPs (DECIDE)
  4. Ergreifen von Gegenmaßnahmen & Optimierung bestehender Schutzmaßnahmen (ACT)

Auch wenn dieser Prozess hochgradig von Automatismen und Technologie abhängig ist, vollständig automatisierbar ist er nicht. Den Ausgangspunkt bildet immer eine Hypothese deren Grundlage die Expertise und die Kreativität der Threat Hunter ist. Ein guter Jäger kennt sein Revier und weiß, wie sich die Tiere darin verhalten.

Angreifer im Visier

Wie so oft gilt „Aller Anfang ist schwer“. Die folgenden vier gängigen Techniken gehören zum Handwerkszeug der Jäger und helfen, durch das Datendickicht zu sehen:

Searching

Suchen nach spezifischen Artefakten, die auf Angreifer hindeuten, sind eine einfache Methode, die mit verschiedensten Tools durchgeführt werden kann. Allerdings gilt es bei der Auswahl der Suchkriterien immer zwei Faktoren im Hinterkopf zu behalten:

Sind diese zu unspezifisch, wird man von zu vielen Ergebnissen erschlagen, sind sie zu spezifisch, werden potentiell aufschlussreiche Ergebnisse ausgeschlossen.

Clustering

Clustering ist eine statistische Methode, die auch sehr gut durch Machine-Learning-Techniken unterstützt werden kann. Sie basiert auf der Trennung von Gruppen, die bestimmte, nicht immer offensichtliche Charakteristika teilen und eignet sich besonders gut für sehr große Datenmengen, die analysiert werden müssen.

Grouping

Unter Gruppierung versteht man die Zusammenfassung von einzelnen, eigenständigen Artefakten, die basierend auf bestimmten Kriterien zusammen auftreten. Ein solches Kriterium kann beispielsweise ein Zeitraum sein, in dem diese Artefakte auffindbar sind. Ein solche Gruppe von Artefakten kann beispielsweise auf bestimmte Tools oder TTPs hindeuten, die spezifische Angreifer verwenden.

Stack Counting

Beim Stack Counting oder Stacking wird die Anzahl eines spezifischen Ereignistyps und dessen Werte über die Zeit ausgewertet und nach Ausreißern oder Extrema gesucht. Hierfür sollte jedoch ein grundlegendes Verständnis über den Ereignisdatenbestand und dessen Bedeutung bestehen, damit Filterkriterien sinnvoll gesetzt werden können.

Munition für angehende Threat Hunter

Eine gute Sammlung von Prozeduren zur Auswertung von Informationsquellen bietet das GIT Repository des ThreatHunting Projects. Auch die Studie „Detecting Lateral Movement through Tracking Event Logs“ vom Japan Computer Emergency Response Team Coordination Center (JPCERTCC) bietet besonders für die Suche nach Angreifern bei deren Bewegung (Lateral Movement) auf Windows Systemen einen guten Einstiegspunkt.

In diesem Sinne, Happy Hunting & Waidmannsheil!

 


Bild: ©iStock/domin_domin

Schreibe einen Kommentar