Abo
  • IT-Karriere:

Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?

Mit Threat Intelligence sollen Angreifer wie staatliche Hacker-Gruppen erkannt werden. Zwei Sicherheitsforscher erklären die Fallstricke bei der Suche nach dem richtigen Provider.

Artikel von veröffentlicht am
Aus welchem Netzwerk stammt der Angreifer?
Aus welchem Netzwerk stammt der Angreifer? (Bild: TheAndrasBarta/Pixabay)

Komplexe und zielgerichtete Angriffe, die von staatlichen Hacker-Gruppen begangen werden, sogenannte Advanced Persistent Threats (APT), sind schwer zu erkennen und abzuwehren. Ein Ansatz, den Angriffen zu begegnen, ist Threat Intelligence. Diese liefert sogenannte Indicators of Compromise (IoC), welche Informationen über Bedrohungen, beispielsweise Listen mit IP-Adressen oder Domains von Command-and-Control-Servern, enthalten. Über Sensoren im lokalen Netzwerk können auf diese Weise beispielsweise Angriffe von APT-Gruppen erkannt werden. Provider, die derartige Threat-Intelligence-Informationen liefern, gibt es etliche - es stellt sich jedoch die Frage, welcher am besten zur Risikoanalyse des betroffenen Unternehmens passt. Dieser Frage gingen die Sicherheitsforscher Alicia Hickey und Dror-John Röcher nach und präsentierten ihre Ergebnisse auf der Sicherheitskonferenz Troopers.

Inhalt:
  1. Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?
  2. Anbieter konzentrieren sich auf verschiedene Regionen

Hickey und Röcher arbeiten bei der Deutschen Cyber-Sicherheitsorganisation (DCSO), einem nicht profitorientierten Sicherheitsunternehmen, das vor drei Jahren von den Unternehmen BASF, Bayer, Allianz und Volkswagen gegründet wurde. In den Netzwerken ihrer Kunden betreibt die DCSO Intrusion Detection Systeme (IDS) auf Basis der Open-Source-Software Suricata, die den Netzwerk-Traffic auf bekannte Gefahren und Anomalien hin analysieren. Um die Erkennungsrate zu erhöhen und im Speziellen APT-Angriffe zu erkennen, benötigen sie Threat-Intelligence-Informationen. Hickey und Röcher testeten insgesamt zehn Threat Intelligence Provider: Crowdstrike, Proofpoint, Team Cymru, Recorded Future, Clearsky, Bae Systems, Fox IT, Symantec, Eset und Kaspersky. Unter den getesteten Providern seien mindestens drei klassische Antivirenhersteller, sagt Röcher. Ziel der Forschung seien Antworten auf die Fragen: Welchen Threat Intelligence Provider empfehlen wir unseren Kunden? Wie können die Sensoren und damit die Erkennungsrate von Angriffen verbessert werden?

Kein einfacher Vergleich

Für die Untersuchung verglichen die Sicherheitsforscher die als APT eingestuften Indikatoren der Threat Intelligence Provider. Wie diese zu einer Einschätzung kamen, was ein APT ist und was nicht, lasse sich nicht überprüfen. Die erhaltenen Daten hätten zum Teil aufwendig in ein standardisiertes Format überführt werden müssen, um sie überhaupt vergleichen zu können. In der Untersuchung hätten sie sich auf die einfacheren Daten wie Domainnamen oder IP-Adressen konzentriert, die sich automatisch verarbeiten lassen, erklärt Röcher. Der Aufwand sei dennoch sehr hoch und frustrierend gewesen, ergänzt Hickey.

Eine weitere Schwierigkeit war, dass die Testkonten der Threat Intelligence Provider zu verschiedenen Zeitpunkten und für unterschiedlich lange Zeiträume zur Verfügung gestellt wurden. Eine zeitliche Korrelation von Indikatoren war dementsprechend erschwert.

Von Äpfeln und Birnen

Stellenmarkt
  1. Schöck Bauteile GmbH, Baden-Baden
  2. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig

Aus den zehn Threat Intelligence Providern wählten sie die vier analytisch vielversprechendsten aus und untersuchten sie detaillierter. Die Namen der vier detailliert analysierten Anbieter sowie Vergleichszahlen dürften sie jedoch in der Präsentation nicht nennen, sagte Hickey. Für die Präsentation verwendeten sie stattdessen vier Obstsorten: einen Apfel, der sich unschwer als einer der drei klassischen Antivirenhersteller erkennen lasse, sowie eine Birne, eine Orange und eine Banane.

Da weder Zahlen noch Namen genannt werden können, bereiteten die Sicherheitsforscher die Daten in Diagrammen auf. Zuerst präsentierten sie ein Diagramm zu Falsch-Positiven, also URLs, Domains und IPs, die von dem Threat Intelligence Provider fälschlicherweise als Gefahr eingestuft wurde. Häufig resultierten die Falsch-Positiven daraus, dass die Sicherheitsforscher die Herangehensweise des Providers nicht verstanden haben. Beispielsweise wenn dieser viele Kontextinformationen mitliefert, die wie die anderen Indikatoren formatiert wurden.

In der Untersuchung sticht der Apfel besonders deutlich heraus: Der Balken bei den Falsch-Positiven-IP-Adressen übertrifft die anderen drei Anbieter um ein Vielfaches. Ein Teil der als bösartig eingeordneten IP-Adressen stammt aus den lokalen Adressbereichen des RFC 1918. Ein anderer Anbieter meldete mehrfach example.com als eine bösartige Domain. Immer wieder liefern Anbieter Zusatzinformationen, beispielsweise die URL eines Tweets mit. Diese können jedoch von Maschinen als Bedrohungs-Indikator interpretiert werden - ein Falsch-Positiv.

Klarere Antworten können die Sicherheitsforscher auf die Frage nach dem jeweiligen geografischen Fokus der Anbieter geben. Nicht alle konzentrieren sich auf China und Russland.

Anbieter konzentrieren sich auf verschiedene Regionen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 177,90€ + Versand (Bestpreis!)
  2. (reduzierte Überstände, Restposten & Co.)
  3. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)

otraupe 29. Mär 2019 / Themenstart

Hat der überhaupt EINE Frage beantwortet?!

Frostwind 28. Mär 2019 / Themenstart

IoCs sind Schlangenöl. Thread Intel ist für mich eher Techniken, Taktiken, Prozeduren (TTP).

Kommentieren


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

    •  /