Cyber-Abwehr

So funktioniert Threat Intelligence in der Praxis

14.09.2020
Anzeige  Zuverlässige Informationen, die zu direkten Entscheidungen führen, sind die Grundlage für die frühzeitige Erkennung und Abwehr von Cyberattacken. Erfahren Sie, wie Sie Ihr Unternehmen mit der richtigen Threat Intelligence besser schützen und mögliche Schäden durch Cyberangriffe minimieren können.

Viele Unternehmen stellen Cyberangriffe erst an deren auffälligen negativen Auswirkungen fest, wie zum Beispiel ungewollt verschlüsselte Daten auf den eigenen Computern, Geldverlust bei Online-Bankkonten oder Kundenbeschwerden wegen geleakter Dateien. Die Hälfte der Vorfälle wird sogar erst nach einigen Wochen entdeckt, wenn bereits ein großer Schaden entstanden ist, wie der Incident Response Analyst Report von Kaspersky zeigt.

Cybersicherheit kann und darf nicht auf die Folgen eines Angriffs warten, bis sie aktiv wird. Das Security-Team sollte über mögliche Cyberattacken informiert sein, bevor diese das Unternehmen schaden können. Möglich wird dies durch Threat Intelligence, die in Form von topaktuellen und strategischen Bedrohungsinformationen kommen. Darin enthalten sind Infos über neue Tools, Techniken und Taktiken (TTPs (Tactics, Techniques and Procedures)), die von Cyberkriminellen und anderen Angreifern verwendet werden.

Kaspersky verfolgt in seiner Threat Attribution Engine mehr als 600 APT-Akteure und -Kampagnen mit mehr als 120 APT Intelligence Reports, die jedes Jahr veröffentlicht werden.
Kaspersky verfolgt in seiner Threat Attribution Engine mehr als 600 APT-Akteure und -Kampagnen mit mehr als 120 APT Intelligence Reports, die jedes Jahr veröffentlicht werden.
Foto: Kaspersky

Das Kaspersky Threat Intelligence Portal bietet einen Zugriff auf die Threat Intelligence-Informationen und -Daten des Security-Spezialisten und stellt dort eine Vielzahl zuverlässiger Informationen und Erkenntnisse zu Cyberangriffen zur Verfügung, die Kaspersky in mehr als 20 Jahren gesammelt hat.

Beispiel Spionage-Attacken: Mehr über die Angreifer wissen

Im August 2020 zum Beispiel entdeckten Security-Experten von Kaspersky zielgerichtete Spionage-Kampagnen, die sich zu Beginn gegen Finanz- und Militärorganisationen richteten und zu einer branchenübergreifenden Bedrohung werden können. Mithilfe der Kaspersky Threat Attribution Engine konnten die Forscher die dabei verteilte Schadsoftware mit einer Kampagne der Cyberspionage-Gruppe CactusPete in Verbindung bringen, die Kaspersky bereits seit 2018 im Blick hat. Der Erfolg der Angriffe beruht dabei nicht auf komplexer Technologie oder ausgeklügelten Verteilungs- und Verschleierungstaktiken, sondern auf erfolgreichem Social Engineering. Die Angreifer schaffen es, gezielt hochrangige Mitarbeiter zu infizieren, indem ihre Opfer schädliche Anhänge in Phishing-Mails öffnen.

Anders als bei einer herkömmlichen Malware-Analyse können Informationen aus der Kaspersky Threat Intelligence viel über die Angreifer, ihre Werkzeuge, Taktiken und Strategien verraten: Bei CactusPete, auch bekannt als Karma Panda oder Tonto Team, handelt es sich um eine Cyberspionage-Gruppe, die seit mindestens 2012 aktiv ist. Ihre aktuell eingesetzte Backdoor hat Vertreter des Militär- und Finanzsektors im Visier, um Zugang zu vertraulichen Informationen zu erhalten.

Die Funktionalität der Schadsoftware lässt laut Kaspersky-Analysen darauf schließen, dass die Gruppe auf der Suche nach hochsensiblen Informationen ist. Nach der Backdoor-Installation auf dem Gerät des Opfers kann die Gruppe verschiedene Programme unbemerkt starten, Prozesse beenden, Dateien hochladen, herunterladen oder löschen und eine Liste der verfügbaren Laufwerke abrufen. Sobald die Angreifer tiefer in das infizierte System vorgedrungen sind, kommt ein Keylogger zum Einsatz, um Anmeldeinformationen zu sammeln und Malware herunterzuladen, die eine Änderung der Berechtigungen und somit schrittweise mehr Kontrolle über das System ermöglicht.

"Dies ist ein gutes Beispiel dafür, warum Phishing weiterhin eine so effektive Methode zum Starten von Cyber-Angriffen ist und warum es für Unternehmen so wichtig ist, ihre Mitarbeiter darin zu schulen, wie sie solche E-Mails erkennen und wie sie mittels Threat Intelligence über die neueste Bedrohung auf dem Laufenden bleiben können", so Konstantin Zykov, Sicherheitsexperte bei Kaspersky.

Threat Intelligence bietet konkrete Unterstützung für die Erkennung und Abwehr

Das Sicherheitsteam sollte wissen, wer und mit welchem Ziel Ihr Unternehmen angreift, um einen Plan für die Abwehr und die Reaktion auf Vorfälle ausarbeiten zu können, um bei neuen Angriffen schnell reagieren zu können. Die Identifizierung der Hintermänner eines Angriffes ist dabei jedoch eine anspruchsvolle Aufgabe.

Je mehr man über mögliche Angreifer weiß, desto besser kann man seine Abwehr vorbereiten. Möglich wird dies durch die Kaspersky Threat Attribution Engine und das Kaspersky Threat Intelligence Portal.
Je mehr man über mögliche Angreifer weiß, desto besser kann man seine Abwehr vorbereiten. Möglich wird dies durch die Kaspersky Threat Attribution Engine und das Kaspersky Threat Intelligence Portal.
Foto: Profit_Image - shutterstock.com

Die Kaspersky Threat Intelligence kann Ihr Security-Team bei dieser Aufgabe unterstützen. Um festzustellen, ob eine akute Bedrohung mit einer bekannten APT-Gruppe oder -Kampagne (APT = Advanced Persistent Threat) in Verbindung steht und um welche es sich dabei handeln könnte, zerlegt die Kaspersky Threat Attribution Engine eine neu gefundene bösartige Datei automatisiert in binäre Kleinstteile. Im Anschluss vergleicht sie diese mit den bereits von Kaspersky dokumentierten 60.000 APT-bezogenen Dateien. .

Für eine genauere Zuordnung bezieht die Lösung darüber hinaus eine umfangreiche Datenbank mit Dateien auf der Whitelist (gutartige Dateien) mit ein. Dadurch wird die Qualität der Malware-Klassifizierung und -Identifizierung von Angriffen verbessert und die Reaktion auf Vorfälle erleichtert.

Je nachdem, wie sehr eine analysierte Datei den dokumentierten Beispielen in der Datenbank ähnelt, berechnet die Kaspersky Threat Attribution Engine ihren Reputationswert und benennt die mögliche Herkunft des Angriffs und den mutmaßlichen Angreifer mit einer Kurzbeschreibung. Darüber hinaus werden Links zu privaten und öffentlichen Informationen über bereits bestehende Kampagnen gleicher Art zur Verfügung gestellt. Abonnenten des Kaspersky APT Intelligence Reporting erhalten zudem einen dedizierten Report mit weiteren Informationen zu Taktiken, Techniken und Verfahren des identifizierten Bedrohungsakteurs sowie weiterer Schritte, um auf eine entsprechende Attacke zu reagieren.

Über Schnittstellen können maschinenlesbare Versionen der Berichte und Handlungsanweisungen in passende Security-Lösungen eingelesen werden, um Teile der Security-Abwehr automatisieren zu können. Damit bietet die Kaspersky Threat Intelligence nicht nur umfassendes Wissen über Bedrohungen und Angreifer, sondern bildet auch die Basis für eine intelligente Incident Response und Cyberabwehr.