• IT-Karriere:
  • Services:

Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?

Mit Threat Intelligence sollen Angreifer wie staatliche Hacker-Gruppen erkannt werden. Zwei Sicherheitsforscher erklären die Fallstricke bei der Suche nach dem richtigen Provider.

Artikel von veröffentlicht am
Aus welchem Netzwerk stammt der Angreifer?
Aus welchem Netzwerk stammt der Angreifer? (Bild: TheAndrasBarta/Pixabay)

Komplexe und zielgerichtete Angriffe, die von staatlichen Hacker-Gruppen begangen werden, sogenannte Advanced Persistent Threats (APT), sind schwer zu erkennen und abzuwehren. Ein Ansatz, den Angriffen zu begegnen, ist Threat Intelligence. Diese liefert sogenannte Indicators of Compromise (IoC), welche Informationen über Bedrohungen, beispielsweise Listen mit IP-Adressen oder Domains von Command-and-Control-Servern, enthalten. Über Sensoren im lokalen Netzwerk können auf diese Weise beispielsweise Angriffe von APT-Gruppen erkannt werden. Provider, die derartige Threat-Intelligence-Informationen liefern, gibt es etliche - es stellt sich jedoch die Frage, welcher am besten zur Risikoanalyse des betroffenen Unternehmens passt. Dieser Frage gingen die Sicherheitsforscher Alicia Hickey und Dror-John Röcher nach und präsentierten ihre Ergebnisse auf der Sicherheitskonferenz Troopers.

Inhalt:
  1. Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?
  2. Anbieter konzentrieren sich auf verschiedene Regionen

Hickey und Röcher arbeiten bei der Deutschen Cyber-Sicherheitsorganisation (DCSO), einem nicht profitorientierten Sicherheitsunternehmen, das vor drei Jahren von den Unternehmen BASF, Bayer, Allianz und Volkswagen gegründet wurde. In den Netzwerken ihrer Kunden betreibt die DCSO Intrusion Detection Systeme (IDS) auf Basis der Open-Source-Software Suricata, die den Netzwerk-Traffic auf bekannte Gefahren und Anomalien hin analysieren. Um die Erkennungsrate zu erhöhen und im Speziellen APT-Angriffe zu erkennen, benötigen sie Threat-Intelligence-Informationen. Hickey und Röcher testeten insgesamt zehn Threat Intelligence Provider: Crowdstrike, Proofpoint, Team Cymru, Recorded Future, Clearsky, Bae Systems, Fox IT, Symantec, Eset und Kaspersky. Unter den getesteten Providern seien mindestens drei klassische Antivirenhersteller, sagt Röcher. Ziel der Forschung seien Antworten auf die Fragen: Welchen Threat Intelligence Provider empfehlen wir unseren Kunden? Wie können die Sensoren und damit die Erkennungsrate von Angriffen verbessert werden?

Kein einfacher Vergleich

Für die Untersuchung verglichen die Sicherheitsforscher die als APT eingestuften Indikatoren der Threat Intelligence Provider. Wie diese zu einer Einschätzung kamen, was ein APT ist und was nicht, lasse sich nicht überprüfen. Die erhaltenen Daten hätten zum Teil aufwendig in ein standardisiertes Format überführt werden müssen, um sie überhaupt vergleichen zu können. In der Untersuchung hätten sie sich auf die einfacheren Daten wie Domainnamen oder IP-Adressen konzentriert, die sich automatisch verarbeiten lassen, erklärt Röcher. Der Aufwand sei dennoch sehr hoch und frustrierend gewesen, ergänzt Hickey.

Eine weitere Schwierigkeit war, dass die Testkonten der Threat Intelligence Provider zu verschiedenen Zeitpunkten und für unterschiedlich lange Zeiträume zur Verfügung gestellt wurden. Eine zeitliche Korrelation von Indikatoren war dementsprechend erschwert.

Von Äpfeln und Birnen

Stellenmarkt
  1. GIRA Giersiepen GmbH & Co. KG, Radevormwald
  2. Web Service Kaupa - HomepageWartung24, Remscheid

Aus den zehn Threat Intelligence Providern wählten sie die vier analytisch vielversprechendsten aus und untersuchten sie detaillierter. Die Namen der vier detailliert analysierten Anbieter sowie Vergleichszahlen dürften sie jedoch in der Präsentation nicht nennen, sagte Hickey. Für die Präsentation verwendeten sie stattdessen vier Obstsorten: einen Apfel, der sich unschwer als einer der drei klassischen Antivirenhersteller erkennen lasse, sowie eine Birne, eine Orange und eine Banane.

Da weder Zahlen noch Namen genannt werden können, bereiteten die Sicherheitsforscher die Daten in Diagrammen auf. Zuerst präsentierten sie ein Diagramm zu Falsch-Positiven, also URLs, Domains und IPs, die von dem Threat Intelligence Provider fälschlicherweise als Gefahr eingestuft wurde. Häufig resultierten die Falsch-Positiven daraus, dass die Sicherheitsforscher die Herangehensweise des Providers nicht verstanden haben. Beispielsweise wenn dieser viele Kontextinformationen mitliefert, die wie die anderen Indikatoren formatiert wurden.

In der Untersuchung sticht der Apfel besonders deutlich heraus: Der Balken bei den Falsch-Positiven-IP-Adressen übertrifft die anderen drei Anbieter um ein Vielfaches. Ein Teil der als bösartig eingeordneten IP-Adressen stammt aus den lokalen Adressbereichen des RFC 1918. Ein anderer Anbieter meldete mehrfach example.com als eine bösartige Domain. Immer wieder liefern Anbieter Zusatzinformationen, beispielsweise die URL eines Tweets mit. Diese können jedoch von Maschinen als Bedrohungs-Indikator interpretiert werden - ein Falsch-Positiv.

Klarere Antworten können die Sicherheitsforscher auf die Frage nach dem jeweiligen geografischen Fokus der Anbieter geben. Nicht alle konzentrieren sich auf China und Russland.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Anbieter konzentrieren sich auf verschiedene Regionen 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Tutorial
    Portscans durch Webseiten unterbinden
  2. Streaming
    Spotify plant Preiserhöhung
  3. ProtectPhoto
    Gesichtserkennung bei Gruppenfotos technisch austricksen
  4. Motor und 60-kWh-Akku
    Chevrolet plant Elektroauto-Selbstbausätze
  5. In eigener Sache
    Golem-PCs mit RTX 3070 günstiger und schneller
Anzeige
Hardware-Angebote
Kommentarübersicht
Was war denn das für ein Artikel?
pigzagzonie 29. Mär 2019

Hat der überhaupt EINE Frage beantwortet?!

Re: Das Problem ist: Es ist alles Schlangeöl.
Frostwind 28. Mär 2019

IoCs sind Schlangenöl. Thread Intel ist für mich eher Techniken, Taktiken, Prozeduren (TTP).

Folgen Sie uns
       
Besuch beim Cyberbunker

Wir haben uns den ominösen Cyberbunker an der Mosel oberhalb von Traben-Trarbach von außen angeschaut.

Besuch beim Cyberbunker Video aufrufen
Verkehr
Logistik: Hamburg bekommt eine Röhre für autonome Warentransporte
Logistik
Hamburg bekommt eine Röhre für autonome Warentransporte

Ein Kölner Unternehmen will eine neue Elbunterquerung bauen, die nur für autonom fahrende Transporter gedacht ist.
Ein Bericht von Werner Pluta

  1. Intelligente Verkehrssysteme Wenn Autos an leeren Kreuzungen warten müssen
  2. Verkehr Akkuzüge sind günstiger als Brennstoffzellenzüge
  3. Hochgeschwindigkeitszug JR Central stellt neuen Shinkansen in Dienst
Big Blue Button
Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck

    Ericsson
    5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
    5G
    Nokias und Ericssons enge Bindungen zu Chinas Führung

    Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
    Eine Recherche von Achim Sawall

    1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
    2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
    3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /