Nach dem Angriff die Zuordnung: Wer ist es gewesen?

Zeit ist Trumpf. Das gilt vor allem, wenn ein Unternehmen angegriffen wurde und eine Lösegeldforderung erhält. Das IT-Sicherheitsteam kann schnell und angemessen reagieren, sobald es eines verstanden hat: Es muss nicht alles wissen. Manchmal genügt es, wenn der forensische Analyst die IP-Adresse des Angreifers ermittelt hat. [...]

Jamie Collier ist Senior Threat Intelligence Advisor bei Mandiant. (c) Mandiant

Cyber-Delikte wie Hacking, Datenbeschädigung oder -fälschung sind gemäß dem Statista Research Departments um fast 70 Prozent gestiegen. Herauszufinden, wer hinter den Angriffen steckt, dazu sind die forensischen Analysten da. Doch die betroffenen Unternehmen stehen vorab vor grundlegenden Entscheidungen. Zum Beispiel: Müssen sie wirklich erfahren, wer der Angreifer war? Ja. Aber wie genau? Reicht die IP-Adresse oder benötigen die IT-Sicherheitsteams den konkreten Namen und das Gesicht jener Person, von der die Bedrohung ausging?

Die Antwort auf diese Frage ist nicht so offensichtlich, wie manche glauben. Dahinter steckt das gesamte Wissen, wie die Attribute eines Angriffs zuzuordnen sind. Cyber-Threat-Intelligence-(CTI)-Analysten definieren Merkmale für Bedrohungen, um deren Art, ihre Quelle, ihre Ziele und ihre Methoden zu speichern. Diese Kriterien einem Angriff zuzuweisen – die Attribution – ist ein komplexer Vorgang. Je genauer das IT-Sicherheitsteam eines Unternehmens wissen möchte, wer der Angreifer war, desto chaotischer wird die Arbeit eines forensischen Analysten. Er muss konkurrierende Prioritäten abwägen: Da sind einmal die Fristen, die von den Beteiligten festgelegt wurden. Auch muss er abschätzen, wie vollständig die Daten sind, über die er verfügt – und ob er ihnen vertrauen kann.

Die drei Stufen der Attribution

  1. Taktisch: Wenn CTI-Forscher eine Bedrohung analysieren, suchen sie nach Hinweisen wie zum Beispiel IP-Adressen oder Domains, um Zusammenhänge zwischen verschiedenen Aktivitäten zu finden. Diese „taktische Zuordnung“ ist die erste Stufe der Analyse.
  2. Operativ: Sobald genug Hinweise gesammelt wurden, können sie ein „operationelles Profiling“ erstellen. Damit bekommen sie eine Vorstellung, wer hinter der Bedrohung steckt und wie die Angreifer agieren könnten. Die „operative Zuordnung“ gibt Antworten auf die Frage: Handelt es sich um eine lose Gruppe von Amateur-Hackern oder ist es ein kriminelles Netzwerk, das auf durchdachte Tools zugreifen kann? Wenn genug Informationen gesammelt wurden, lassen sich mögliche zukünftige Attacken voraussagen.
  3. Strategisch: Hierbei versuchen die forensischen Analysten, die Identität der Hacker zu bestimmen. Sie suchen auch nach Hinweisen auf die Person oder Organisation, die hinter der Attacke steht. Falls es nicht gelingt, deren Identität zu ermitteln, konzentrieren sie sich darauf, Nutznießer des Cyberangriffs zu identifizieren.

Die Sicherheitsteams der Unternehmen benötigen in jedem Fall die IP-Adresse oder die Domain der Hacker. Sie ist die Beweisgrundlage für alles Weitere. Wollen sie aber, dass die Forensiker ihre Recherche fortsetzen, müssen sie abwägen: Lohnt es sich, noch mehr Zeit und Ressourcen in die Ermittlung zu investieren? Diese Entscheidung hängt von mehreren Faktoren ab.

Welche Fragen muss das IT-Sicherheitsteam beantworten?

  • Welche Mittel sind für die Recherche nötig?

Die verschiedenen Ebenen der Attributionen erfordern ein unterschiedliches Level an Ressourcen. Für die taktische Zuordnung ist es nicht notwendig, die gesamte Infrastruktur des Angreifers zu überwachen oder zu analysieren. Indem sie sich an den CTI-Funktionen bedienen, sammeln die Analysten taktische Informationen wie zum Beispiel die verwendeten Taktiken, Techniken und Verfahren (TTPs) oder die IP-Adresse. Eine strategische Attribution benötigt schon mehr: Zeit der Mitarbeiter und des Analysten, Expertise und weitere Ressourcen wie Personal, neue Technologien und Tools. Außerdem müssen hochwertige Daten erfasst werden. Und um einen einheitlichen Prozess etablieren zu können, muss das Team zusätzliche Abläufe formalisieren und Workflow-Modelle erstellen.

  • Wie unabhängig soll die Analyse sein?

Es gilt abzuwägen, ob das Cyber-Sicherheitsteam die Erkenntnisse von anderen CTI-Anbietern wie der Polizei, den Geheimdiensten und unabhängige Forscher berücksichtigen will oder nicht. Auch dabei sollten die Sicherheitsexperten das Gleichgewicht suchen. Denn eine schlampige Gruppierung von Crackern, die von verschiedenen Stellen gleichzeitig verfolgt wird, kann zu Verwirrung führen.

  • Wie detailliert muss das Analyseergebnis sein, um angemessen reagieren zu können?

Hierbei spielt das Konfidenzniveau eine Rolle. Eine höhere Konfidenz bedeutet, dass es mehr Beweise und Indizien gibt, welche die Attribution stützen. Damit ist auch die Wahrscheinlichkeit höher, dass die Analyse korrekt ist. Natürlich dürfen keine voreiligen Schlüsse gezogen. Ein allzu vorsichtiger Ansatz kann jedoch das Handeln des Unternehmens erschweren. Je genauer, desto länger dauert die Analyse. Für die betroffenen Unternehmen kann es dann zu schwierig werden, die wichtigsten Bedrohungen rechtzeitig zu bekämpfen.

Best Practice zur Abwehr von Cyberbedrohungen 

Die beste forensische Analyse verfolgt einen flexiblen Ansatz. Zunächst geht es darum, schnell Informationen über Bedrohungen zu gewinnen, ohne einen langwierigen Zuordnungsprozess durchlaufen zu müssen. Dazu verwenden die CTI-Forscher „nicht kategorisierte“ Bedrohungscluster – sogenannte UNC-Gruppen. Damit bezeichnen sie eine Gruppe von Cyberkriminellen, die noch nicht eindeutig einer bestimmten Cyberkampagne oder einer bereits bekannten Gruppe zugeordnet werden konnten. Ein Beispiel dafür ist die Gruppe UNC2452, die nach der Kompromittierung der SolarWinds-Lieferkette 2020 in kurzer Zeit identifiziert wurde. Obwohl diese Gruppe später mit APT29 zusammengeführt werden konnte, hatte bereits die taktische Attribution zum Erfolg geführt.

Hilfreich ist es auch, weniger vertrauenswürdige Entscheidungen hinsichtlich einer Zuordnung transparent zu machen. Damit können die IT-Sicherheitsteams mitverfolgen, wie sich die Zuordnungseinschätzungen entwickeln. Die diesen zugrunde liegenden Informationen sollten allerdings auf validen Beweisen und nicht auf Vermutungen oder Spekulationen basieren.

Fazit

Kompromisse bei der Attribution können ein Cyber-Sicherheitsteam vor schwierige Entscheidungen stellen. Doch eines sollten sie wissen: Ein erfolgreicher Zuordnungsprozess ist mit klaren organisatorischen Anforderungen, Anwendungsfällen und Ergebnissen verknüpft. Deshalb liegt die richtige Antwort meist auf der Hand, wenn das Team die Frage stellt: „Was ist das Beste für das Unternehmen?“

*Der Autor Jamie Collier ist Senior Threat Intelligence Advisor bei Mandiant.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*