Um zu ermitteln, wer hinter einem Sicherheitsvorfall steckt, gilt es die Motivation und die grundlegenden Eigenschaften eines Angreifers zu analysieren. Die Erkenntnisse dienen dazu, proaktive Abwehrmaßnahmen zu verfeinern und zu fokussieren. [...]
Wer greift ein Netzwerk an und warum? Damit beschäftigt sich das moderne Computer Network Defense (CND)-Konzept, auf das vor allem Unternehmen mit wertvollem intellektuellem Kapital und geistigem Eigentum vertrauen. CND ist ein Unterbegriff der Computer Network Operations (CNO) und kommt aus dem militärischen Bereich. Es umfasst alle Maßnahmen zur Verteidigung des eigenen Computernetzwerks. Hierfür kommen Überwachung, Abwehr und Analyse zum Einsatz. Ziel von CND ist es, Schwachstellen im Netzwerk frühzeitig aufzudecken, um diese Sicherheitslücken vor einem Angriff zu schützen. Ebenso gehört dazu das Abfangen und Blockieren laufender Angriffe.
Im Rahmen des CND-Ansatzes werden sicherheitsrelevante Vorfälle nicht als singuläre Ereignisse, sondern Teil von mehreren Schritten betrachtet, die erst in ihrer Gesamtheit zum erfolgreichen Angriff führen. Bei diesem Modell profitieren die Verteidiger von einem zusammenhängenden Blick darauf, wie die Widersacher innerhalb eines Netzwerks vorgehen. Dies ermöglicht den Verteidigern nicht nur aktuelle Bedrohungen zu erkennen, sondern auch einen wissenschaftlichen, evidenzbasierten Ansatz zu nutzen, um neue Bedrohungen von morgen zu erkennen. Die Basis hierfür bildet die Identifizierung, Analyse und Überwachung der Instanzen, die ein gegnerischer Akteur in Wechselwirkung mit einem Netzwerk aufsucht sowie der direkten und indirekten Aktivitäten, die sich gegen ein oder mehrere Ziele richten.
Für Netzwerke mit konsequent durchgeplanter und umgesetzter Sicherheitsarchitektur steht eine Fülle von Informationen zur Verfügung, um Präventionsstrategien und eine effizientere und effektivere CND zu unterstützen. Unternehmen, die die kontinuierliche Verbesserung ihrer CND vorantreiben, was Personal, Prozesse und Technologie betrifft, können bald äußerst nützliches Wissen generieren. Dieses kann in eine kontinuierliche Rückkopplungsschleife eingebracht werden, um schrittweise eine stärkere Verteidigung aufzubauen.
Für jeden Vorfall gibt es einen inhärenten Kompromiss zwischen Vollständigkeit der Untersuchung (d.h. Qualifizierung, Quantifizierung) und der Zeit bis zum Abschluss (d.h. Isolierung des Problems und dauerhafte Sanierung). Die organisatorische Führung konzentriert sich bei Sicherheitsvorfällen traditionell auf die Beantwortung der Fragen „was“, „wann“, „wo“ und „wie“. Dies ist verständlich, wenn man bedenkt, dass diese Informationen helfen, das Geschäftsrisiko zu quantifizieren. Doch manchmal werden die Fragen „wer“ und „warum“ übersehen, die bei einem Zwischenfall ebenso wertvoll sind. Bei richtiger Anwendung kann ein Unternehmen auf strategischer und taktischer Ebene profitieren und die reaktive zu einer proaktiven Vorgehensweise weiterentwickeln.
MAXIMIERUNG DER VORTEILE AUS DER BEDROHUNGSANALYSE
Durch die optimale Integration aller W-Fragen kann ein Unternehmen die Vorteile seiner Bedrohungsanalyse-Fähigkeiten maximieren. Jeder dieser Faktoren unterstützt die Beantwortung der jeweils anderen Fragen zu verschiedenen Graden. Antworten auf „wer“ und „warum“ können sehr nützlich sein für die Netzwerkverteidigung, um zusätzlichen Kontext zu gewinnen. Hierbei erweisen sich eine proaktive Netzwerkblockierung oder Identifizierung von Malware der nächsten Generation durch automatisierte dynamische Analyse oder Forensik als sehr nützlich. Insbesondere unterstützen diese Maßnahmen eine besser informierte Entscheidungsfindung für defensive Prioritäten, Kontrollen, Prozesse und Aktivitäten.
Die Integration von „wer“ und „warum“ in die Gleichung trägt bei zur:
- Isolierung verwendeter Taktiken, Techniken und Prozeduren (TTP)
- Erkennung und Entschärfung der Angriffswerkzeuge
- Beurteilung der Raffinesse und Finanzierung der Akteure
- Einschätzung des Engagements und der Beharrlichkeit der Angreifer
- Erfassung der Angriffsziele (Technologie, Informationen und Mitarbeiter)
Diese Erkenntnisse ermöglichen eine:
- verfeinerte Priorisierung der Ressourcen (z.B. Mitarbeiter, zu schützende Bereiche, Finanzierung)
- effizientere und effektivere CND-Operationen (d.h. intelligenter arbeiten, nicht energischer)
- Verbesserung der Sicherheitslage insgesamt (d.h. die Erhöhung der Ressourcenkosten für einen Gegner)
MOTIVATION DER BÖSARTIGEN AKTEURE
Auch böswillige Akteure sind Menschen. Sie werden getrieben von bestimmten Motivationen, um ihre jeweiligen Ziele zu erreichen. Unit 42, die Forschungsabteilung von Palo Alto Networks, hat die sechs wichtigsten Motivationen kategorisiert:
- Cyberspionage: geduldige, hartnäckige und kreative Auskundschaftung von Computernetzwerken zum strategischen wirtschaftlichen, politischen und militärischen Vorteil
- Cyberkriminalität: Erweiterung traditioneller krimineller Aktivitäten auf den Diebstahl persönlicher und finanzieller Daten
- Cyber-Hacktivismus: Cyberangriffe von Aktivisten, die versuchen, die Meinung und / oder den Ruf eines Unternehmens für bestimmte Zwecke zu beeinflussen
- Cyberkriegsführung: Cyberoperationen, die alleine oder in Ergänzung zu physischer Kriegsführung den Gegner schwächen sollen
- Cyberterrorismus: Die Konvergenz aus Cyberspace und Terrorismus, um Gegner auszuschalten oder wirtschaftlich schwer zu schädigen
- Cyberstörenfriede: Planlose oder amateurhafte Cyberbedrohungen als eine Art „Grundrauschen“ im Internet
Be the first to comment