Zeit ist Trumpf. Das gilt vor allem, wenn ein Unternehmen angegriffen wurde und eine Lösegeldforderung erhält. Das IT-Sicherheitsteam kann schnell und angemessen reagieren, sobald es eines verstanden hat: Es muss nicht alles wissen. Manchmal genügt es, wenn der forensische Analyst die IP-Adresse des Angreifers ermittelt hat. [...]
Cyber-Delikte wie Hacking, Datenbeschädigung oder -fälschung sind gemäß dem Statista Research Departments um fast 70 Prozent gestiegen. Herauszufinden, wer hinter den Angriffen steckt, dazu sind die forensischen Analysten da. Doch die betroffenen Unternehmen stehen vorab vor grundlegenden Entscheidungen. Zum Beispiel: Müssen sie wirklich erfahren, wer der Angreifer war? Ja. Aber wie genau? Reicht die IP-Adresse oder benötigen die IT-Sicherheitsteams den konkreten Namen und das Gesicht jener Person, von der die Bedrohung ausging?
Die Antwort auf diese Frage ist nicht so offensichtlich, wie manche glauben. Dahinter steckt das gesamte Wissen, wie die Attribute eines Angriffs zuzuordnen sind. Cyber-Threat-Intelligence-(CTI)-Analysten definieren Merkmale für Bedrohungen, um deren Art, ihre Quelle, ihre Ziele und ihre Methoden zu speichern. Diese Kriterien einem Angriff zuzuweisen – die Attribution – ist ein komplexer Vorgang. Je genauer das IT-Sicherheitsteam eines Unternehmens wissen möchte, wer der Angreifer war, desto chaotischer wird die Arbeit eines forensischen Analysten. Er muss konkurrierende Prioritäten abwägen: Da sind einmal die Fristen, die von den Beteiligten festgelegt wurden. Auch muss er abschätzen, wie vollständig die Daten sind, über die er verfügt – und ob er ihnen vertrauen kann.
Die drei Stufen der Attribution
- Taktisch: Wenn CTI-Forscher eine Bedrohung analysieren, suchen sie nach Hinweisen wie zum Beispiel IP-Adressen oder Domains, um Zusammenhänge zwischen verschiedenen Aktivitäten zu finden. Diese „taktische Zuordnung“ ist die erste Stufe der Analyse.
- Operativ: Sobald genug Hinweise gesammelt wurden, können sie ein „operationelles Profiling“ erstellen. Damit bekommen sie eine Vorstellung, wer hinter der Bedrohung steckt und wie die Angreifer agieren könnten. Die „operative Zuordnung“ gibt Antworten auf die Frage: Handelt es sich um eine lose Gruppe von Amateur-Hackern oder ist es ein kriminelles Netzwerk, das auf durchdachte Tools zugreifen kann? Wenn genug Informationen gesammelt wurden, lassen sich mögliche zukünftige Attacken voraussagen.
- Strategisch: Hierbei versuchen die forensischen Analysten, die Identität der Hacker zu bestimmen. Sie suchen auch nach Hinweisen auf die Person oder Organisation, die hinter der Attacke steht. Falls es nicht gelingt, deren Identität zu ermitteln, konzentrieren sie sich darauf, Nutznießer des Cyberangriffs zu identifizieren.
Die Sicherheitsteams der Unternehmen benötigen in jedem Fall die IP-Adresse oder die Domain der Hacker. Sie ist die Beweisgrundlage für alles Weitere. Wollen sie aber, dass die Forensiker ihre Recherche fortsetzen, müssen sie abwägen: Lohnt es sich, noch mehr Zeit und Ressourcen in die Ermittlung zu investieren? Diese Entscheidung hängt von mehreren Faktoren ab.
Welche Fragen muss das IT-Sicherheitsteam beantworten?
- Welche Mittel sind für die Recherche nötig?
Die verschiedenen Ebenen der Attributionen erfordern ein unterschiedliches Level an Ressourcen. Für die taktische Zuordnung ist es nicht notwendig, die gesamte Infrastruktur des Angreifers zu überwachen oder zu analysieren. Indem sie sich an den CTI-Funktionen bedienen, sammeln die Analysten taktische Informationen wie zum Beispiel die verwendeten Taktiken, Techniken und Verfahren (TTPs) oder die IP-Adresse. Eine strategische Attribution benötigt schon mehr: Zeit der Mitarbeiter und des Analysten, Expertise und weitere Ressourcen wie Personal, neue Technologien und Tools. Außerdem müssen hochwertige Daten erfasst werden. Und um einen einheitlichen Prozess etablieren zu können, muss das Team zusätzliche Abläufe formalisieren und Workflow-Modelle erstellen.
- Wie unabhängig soll die Analyse sein?
Es gilt abzuwägen, ob das Cyber-Sicherheitsteam die Erkenntnisse von anderen CTI-Anbietern wie der Polizei, den Geheimdiensten und unabhängige Forscher berücksichtigen will oder nicht. Auch dabei sollten die Sicherheitsexperten das Gleichgewicht suchen. Denn eine schlampige Gruppierung von Crackern, die von verschiedenen Stellen gleichzeitig verfolgt wird, kann zu Verwirrung führen.
- Wie detailliert muss das Analyseergebnis sein, um angemessen reagieren zu können?
Hierbei spielt das Konfidenzniveau eine Rolle. Eine höhere Konfidenz bedeutet, dass es mehr Beweise und Indizien gibt, welche die Attribution stützen. Damit ist auch die Wahrscheinlichkeit höher, dass die Analyse korrekt ist. Natürlich dürfen keine voreiligen Schlüsse gezogen. Ein allzu vorsichtiger Ansatz kann jedoch das Handeln des Unternehmens erschweren. Je genauer, desto länger dauert die Analyse. Für die betroffenen Unternehmen kann es dann zu schwierig werden, die wichtigsten Bedrohungen rechtzeitig zu bekämpfen.
Best Practice zur Abwehr von Cyberbedrohungen
Die beste forensische Analyse verfolgt einen flexiblen Ansatz. Zunächst geht es darum, schnell Informationen über Bedrohungen zu gewinnen, ohne einen langwierigen Zuordnungsprozess durchlaufen zu müssen. Dazu verwenden die CTI-Forscher „nicht kategorisierte“ Bedrohungscluster – sogenannte UNC-Gruppen. Damit bezeichnen sie eine Gruppe von Cyberkriminellen, die noch nicht eindeutig einer bestimmten Cyberkampagne oder einer bereits bekannten Gruppe zugeordnet werden konnten. Ein Beispiel dafür ist die Gruppe UNC2452, die nach der Kompromittierung der SolarWinds-Lieferkette 2020 in kurzer Zeit identifiziert wurde. Obwohl diese Gruppe später mit APT29 zusammengeführt werden konnte, hatte bereits die taktische Attribution zum Erfolg geführt.
Hilfreich ist es auch, weniger vertrauenswürdige Entscheidungen hinsichtlich einer Zuordnung transparent zu machen. Damit können die IT-Sicherheitsteams mitverfolgen, wie sich die Zuordnungseinschätzungen entwickeln. Die diesen zugrunde liegenden Informationen sollten allerdings auf validen Beweisen und nicht auf Vermutungen oder Spekulationen basieren.
Fazit
Kompromisse bei der Attribution können ein Cyber-Sicherheitsteam vor schwierige Entscheidungen stellen. Doch eines sollten sie wissen: Ein erfolgreicher Zuordnungsprozess ist mit klaren organisatorischen Anforderungen, Anwendungsfällen und Ergebnissen verknüpft. Deshalb liegt die richtige Antwort meist auf der Hand, wenn das Team die Frage stellt: „Was ist das Beste für das Unternehmen?“
*Der Autor Jamie Collier ist Senior Threat Intelligence Advisor bei Mandiant.
Be the first to comment