Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?

Komplexe und zielgerichtete Angriffe, die von staatlichen Hacker-Gruppen begangen werden, sogenannte Advanced Persistent Threats (APT), sind schwer zu erkennen und abzuwehren. Ein Ansatz, den Angriffen zu begegnen, ist Threat Intelligence. Diese liefert sogenannte Indicators of Compromise (IoC), welche Informationen über Bedrohungen, beispielsweise Listen mit IP-Adressen oder Domains von Command-and-Control-Servern, enthalten. Über Sensoren im lokalen Netzwerk können auf diese Weise beispielsweise Angriffe von APT-Gruppen erkannt werden. Provider, die derartige Threat-Intelligence-Informationen liefern, gibt es etliche - es stellt sich jedoch die Frage, welcher am besten zur Risikoanalyse des betroffenen Unternehmens passt. Dieser Frage gingen die Sicherheitsforscher Alicia Hickey und Dror-John Röcher nach und präsentierten ihre Ergebnisse auf der Sicherheitskonferenz Troopers.

Hickey und Röcher arbeiten bei der Deutschen Cyber-Sicherheitsorganisation (DCSO), einem nicht profitorientierten Sicherheitsunternehmen, das vor drei Jahren von den Unternehmen BASF, Bayer, Allianz und Volkswagen gegründet wurde. In den Netzwerken ihrer Kunden betreibt die DCSO Intrusion Detection Systeme (IDS) auf Basis der Open-Source-Software Suricata, die den Netzwerk-Traffic auf bekannte Gefahren und Anomalien hin analysieren. Um die Erkennungsrate zu erhöhen und im Speziellen APT-Angriffe zu erkennen, benötigen sie Threat-Intelligence-Informationen. Hickey und Röcher testeten insgesamt zehn Threat Intelligence Provider: Crowdstrike, Proofpoint, Team Cymru, Recorded Future, Clearsky, Bae Systems, Fox IT, Symantec, Eset und Kaspersky. Unter den getesteten Providern seien mindestens drei klassische Antivirenhersteller, sagt Röcher. Ziel der Forschung seien Antworten auf die Fragen: Welchen Threat Intelligence Provider empfehlen wir unseren Kunden? Wie können die Sensoren und damit die Erkennungsrate von Angriffen verbessert werden?

Kein einfacher Vergleich

Für die Untersuchung verglichen die Sicherheitsforscher die als APT eingestuften Indikatoren der Threat Intelligence Provider. Wie diese zu einer Einschätzung kamen, was ein APT ist und was nicht, lasse sich nicht überprüfen. Die erhaltenen Daten hätten zum Teil aufwendig in ein standardisiertes Format überführt werden müssen, um sie überhaupt vergleichen zu können. In der Untersuchung hätten sie sich auf die einfacheren Daten wie Domainnamen oder IP-Adressen konzentriert, die sich automatisch verarbeiten lassen, erklärt Röcher. Der Aufwand sei dennoch sehr hoch und frustrierend gewesen, ergänzt Hickey.

Eine weitere Schwierigkeit war, dass die Testkonten der Threat Intelligence Provider zu verschiedenen Zeitpunkten und für unterschiedlich lange Zeiträume zur Verfügung gestellt wurden. Eine zeitliche Korrelation von Indikatoren war dementsprechend erschwert.

Von Äpfeln und Birnen

Stellenmarkt

1. InnoGames GmbH, Hamburg
2. Birkenstock GmbH & Co. KG Services, Neustadt (Wied), Köln

Aus den zehn Threat Intelligence Providern wählten sie die vier analytisch vielversprechendsten aus und untersuchten sie detaillierter. Die Namen der vier detailliert analysierten Anbieter sowie Vergleichszahlen dürften sie jedoch in der Präsentation nicht nennen, sagte Hickey. Für die Präsentation verwendeten sie stattdessen vier Obstsorten: einen Apfel, der sich unschwer als einer der drei klassischen Antivirenhersteller erkennen lasse, sowie eine Birne, eine Orange und eine Banane.

Da weder Zahlen noch Namen genannt werden können, bereiteten die Sicherheitsforscher die Daten in Diagrammen auf. Zuerst präsentierten sie ein Diagramm zu Falsch-Positiven, also URLs, Domains und IPs, die von dem Threat Intelligence Provider fälschlicherweise als Gefahr eingestuft wurde. Häufig resultierten die Falsch-Positiven daraus, dass die Sicherheitsforscher die Herangehensweise des Providers nicht verstanden haben. Beispielsweise wenn dieser viele Kontextinformationen mitliefert, die wie die anderen Indikatoren formatiert wurden.

In der Untersuchung sticht der Apfel besonders deutlich heraus: Der Balken bei den Falsch-Positiven-IP-Adressen übertrifft die anderen drei Anbieter um ein Vielfaches. Ein Teil der als bösartig eingeordneten IP-Adressen stammt aus den lokalen Adressbereichen des RFC 1918. Ein anderer Anbieter meldete mehrfach example.com als eine bösartige Domain. Immer wieder liefern Anbieter Zusatzinformationen, beispielsweise die URL eines Tweets mit. Diese können jedoch von Maschinen als Bedrohungs-Indikator interpretiert werden - ein Falsch-Positiv.

Klarere Antworten können die Sicherheitsforscher auf die Frage nach dem jeweiligen geografischen Fokus der Anbieter geben. Nicht alle konzentrieren sich auf China und Russland.