• IT-Karriere:
  • Services:

Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?

Mit Threat Intelligence sollen Angreifer wie staatliche Hacker-Gruppen erkannt werden. Zwei Sicherheitsforscher erklären die Fallstricke bei der Suche nach dem richtigen Provider.

Artikel von veröffentlicht am
Aus welchem Netzwerk stammt der Angreifer?
Aus welchem Netzwerk stammt der Angreifer? (Bild: TheAndrasBarta/Pixabay)

Komplexe und zielgerichtete Angriffe, die von staatlichen Hacker-Gruppen begangen werden, sogenannte Advanced Persistent Threats (APT), sind schwer zu erkennen und abzuwehren. Ein Ansatz, den Angriffen zu begegnen, ist Threat Intelligence. Diese liefert sogenannte Indicators of Compromise (IoC), welche Informationen über Bedrohungen, beispielsweise Listen mit IP-Adressen oder Domains von Command-and-Control-Servern, enthalten. Über Sensoren im lokalen Netzwerk können auf diese Weise beispielsweise Angriffe von APT-Gruppen erkannt werden. Provider, die derartige Threat-Intelligence-Informationen liefern, gibt es etliche - es stellt sich jedoch die Frage, welcher am besten zur Risikoanalyse des betroffenen Unternehmens passt. Dieser Frage gingen die Sicherheitsforscher Alicia Hickey und Dror-John Röcher nach und präsentierten ihre Ergebnisse auf der Sicherheitskonferenz Troopers.

Inhalt:
  1. Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?
  2. Anbieter konzentrieren sich auf verschiedene Regionen

Hickey und Röcher arbeiten bei der Deutschen Cyber-Sicherheitsorganisation (DCSO), einem nicht profitorientierten Sicherheitsunternehmen, das vor drei Jahren von den Unternehmen BASF, Bayer, Allianz und Volkswagen gegründet wurde. In den Netzwerken ihrer Kunden betreibt die DCSO Intrusion Detection Systeme (IDS) auf Basis der Open-Source-Software Suricata, die den Netzwerk-Traffic auf bekannte Gefahren und Anomalien hin analysieren. Um die Erkennungsrate zu erhöhen und im Speziellen APT-Angriffe zu erkennen, benötigen sie Threat-Intelligence-Informationen. Hickey und Röcher testeten insgesamt zehn Threat Intelligence Provider: Crowdstrike, Proofpoint, Team Cymru, Recorded Future, Clearsky, Bae Systems, Fox IT, Symantec, Eset und Kaspersky. Unter den getesteten Providern seien mindestens drei klassische Antivirenhersteller, sagt Röcher. Ziel der Forschung seien Antworten auf die Fragen: Welchen Threat Intelligence Provider empfehlen wir unseren Kunden? Wie können die Sensoren und damit die Erkennungsrate von Angriffen verbessert werden?

Kein einfacher Vergleich

Für die Untersuchung verglichen die Sicherheitsforscher die als APT eingestuften Indikatoren der Threat Intelligence Provider. Wie diese zu einer Einschätzung kamen, was ein APT ist und was nicht, lasse sich nicht überprüfen. Die erhaltenen Daten hätten zum Teil aufwendig in ein standardisiertes Format überführt werden müssen, um sie überhaupt vergleichen zu können. In der Untersuchung hätten sie sich auf die einfacheren Daten wie Domainnamen oder IP-Adressen konzentriert, die sich automatisch verarbeiten lassen, erklärt Röcher. Der Aufwand sei dennoch sehr hoch und frustrierend gewesen, ergänzt Hickey.

Eine weitere Schwierigkeit war, dass die Testkonten der Threat Intelligence Provider zu verschiedenen Zeitpunkten und für unterschiedlich lange Zeiträume zur Verfügung gestellt wurden. Eine zeitliche Korrelation von Indikatoren war dementsprechend erschwert.

Von Äpfeln und Birnen

Stellenmarkt
  1. InnoGames GmbH, Hamburg
  2. Birkenstock GmbH & Co. KG Services, Neustadt (Wied), Köln

Aus den zehn Threat Intelligence Providern wählten sie die vier analytisch vielversprechendsten aus und untersuchten sie detaillierter. Die Namen der vier detailliert analysierten Anbieter sowie Vergleichszahlen dürften sie jedoch in der Präsentation nicht nennen, sagte Hickey. Für die Präsentation verwendeten sie stattdessen vier Obstsorten: einen Apfel, der sich unschwer als einer der drei klassischen Antivirenhersteller erkennen lasse, sowie eine Birne, eine Orange und eine Banane.

Da weder Zahlen noch Namen genannt werden können, bereiteten die Sicherheitsforscher die Daten in Diagrammen auf. Zuerst präsentierten sie ein Diagramm zu Falsch-Positiven, also URLs, Domains und IPs, die von dem Threat Intelligence Provider fälschlicherweise als Gefahr eingestuft wurde. Häufig resultierten die Falsch-Positiven daraus, dass die Sicherheitsforscher die Herangehensweise des Providers nicht verstanden haben. Beispielsweise wenn dieser viele Kontextinformationen mitliefert, die wie die anderen Indikatoren formatiert wurden.

In der Untersuchung sticht der Apfel besonders deutlich heraus: Der Balken bei den Falsch-Positiven-IP-Adressen übertrifft die anderen drei Anbieter um ein Vielfaches. Ein Teil der als bösartig eingeordneten IP-Adressen stammt aus den lokalen Adressbereichen des RFC 1918. Ein anderer Anbieter meldete mehrfach example.com als eine bösartige Domain. Immer wieder liefern Anbieter Zusatzinformationen, beispielsweise die URL eines Tweets mit. Diese können jedoch von Maschinen als Bedrohungs-Indikator interpretiert werden - ein Falsch-Positiv.

Klarere Antworten können die Sicherheitsforscher auf die Frage nach dem jeweiligen geografischen Fokus der Anbieter geben. Nicht alle konzentrieren sich auf China und Russland.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Anbieter konzentrieren sich auf verschiedene Regionen 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 13,99€
  2. (-70%) 11,99€
  3. (-72%) 8,50€
  4. 2,49€

pigzagzonie 29. Mär 2019

Hat der überhaupt EINE Frage beantwortet?!

Frostwind 28. Mär 2019

IoCs sind Schlangenöl. Thread Intel ist für mich eher Techniken, Taktiken, Prozeduren (TTP).


Folgen Sie uns
       


Samsung Galaxy Z Flip - Hands on

Das Galaxy Z Flip ist Samsungs zweites Smartphone mit faltbarem Display - und besser gelungen als das Galaxy Fold.

Samsung Galaxy Z Flip - Hands on Video aufrufen
Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

    •  /