Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?
Mit Threat Intelligence sollen Angreifer wie staatliche Hacker-Gruppen erkannt werden. Zwei Sicherheitsforscher erklären die Fallstricke bei der Suche nach dem richtigen Provider.
Komplexe und zielgerichtete Angriffe, die von staatlichen Hacker-Gruppen begangen werden, sogenannte Advanced Persistent Threats (APT), sind schwer zu erkennen und abzuwehren. Ein Ansatz, den Angriffen zu begegnen, ist Threat Intelligence. Diese liefert sogenannte Indicators of Compromise (IoC), welche Informationen über Bedrohungen, beispielsweise Listen mit IP-Adressen oder Domains von Command-and-Control-Servern, enthalten. Über Sensoren im lokalen Netzwerk können auf diese Weise beispielsweise Angriffe von APT-Gruppen erkannt werden. Provider, die derartige Threat-Intelligence-Informationen liefern, gibt es etliche - es stellt sich jedoch die Frage, welcher am besten zur Risikoanalyse des betroffenen Unternehmens passt. Dieser Frage gingen die Sicherheitsforscher Alicia Hickey und Dror-John Röcher nach und präsentierten ihre Ergebnisse auf der Sicherheitskonferenz Troopers.
