Original-URL des Artikels: https://www.golem.de/news/hacking-schutz-wie-findet-man-den-besten-threat-intelligence-provider-1903-140301.html    Veröffentlicht: 28.03.2019 09:09    Kurz-URL: https://glm.io/140301

Hacking-Schutz

Wie findet man den besten Threat Intelligence Provider?

Mit Threat Intelligence sollen Angreifer wie staatliche Hacker-Gruppen erkannt werden. Zwei Sicherheitsforscher erklären die Fallstricke bei der Suche nach dem richtigen Provider.

Komplexe und zielgerichtete Angriffe, die von staatlichen Hacker-Gruppen begangen werden, sogenannte Advanced Persistent Threats (APT), sind schwer zu erkennen und abzuwehren. Ein Ansatz, den Angriffen zu begegnen, ist Threat Intelligence. Diese liefert sogenannte Indicators of Compromise (IoC), welche Informationen über Bedrohungen, beispielsweise Listen mit IP-Adressen oder Domains von Command-and-Control-Servern, enthalten. Über Sensoren im lokalen Netzwerk können auf diese Weise beispielsweise Angriffe von APT-Gruppen erkannt werden. Provider, die derartige Threat-Intelligence-Informationen liefern, gibt es etliche - es stellt sich jedoch die Frage, welcher am besten zur Risikoanalyse des betroffenen Unternehmens passt. Dieser Frage gingen die Sicherheitsforscher Alicia Hickey und Dror-John Röcher nach und präsentierten ihre Ergebnisse auf der Sicherheitskonferenz Troopers.

Hickey und Röcher arbeiten bei der Deutschen Cyber-Sicherheitsorganisation (DCSO), einem nicht profitorientierten Sicherheitsunternehmen, das vor drei Jahren von den Unternehmen BASF, Bayer, Allianz und Volkswagen gegründet wurde. In den Netzwerken ihrer Kunden betreibt die DCSO Intrusion Detection Systeme (IDS) auf Basis der Open-Source-Software Suricata, die den Netzwerk-Traffic auf bekannte Gefahren und Anomalien hin analysieren. Um die Erkennungsrate zu erhöhen und im Speziellen APT-Angriffe zu erkennen, benötigen sie Threat-Intelligence-Informationen. Hickey und Röcher testeten insgesamt zehn Threat Intelligence Provider: Crowdstrike, Proofpoint, Team Cymru, Recorded Future, Clearsky, Bae Systems, Fox IT, Symantec, Eset und Kaspersky. Unter den getesteten Providern seien mindestens drei klassische Antivirenhersteller, sagt Röcher. Ziel der Forschung seien Antworten auf die Fragen: Welchen Threat Intelligence Provider empfehlen wir unseren Kunden? Wie können die Sensoren und damit die Erkennungsrate von Angriffen verbessert werden?

Kein einfacher Vergleich

Für die Untersuchung verglichen die Sicherheitsforscher die als APT eingestuften Indikatoren der Threat Intelligence Provider. Wie diese zu einer Einschätzung kamen, was ein APT ist und was nicht, lasse sich nicht überprüfen. Die erhaltenen Daten hätten zum Teil aufwendig in ein standardisiertes Format überführt werden müssen, um sie überhaupt vergleichen zu können. In der Untersuchung hätten sie sich auf die einfacheren Daten wie Domainnamen oder IP-Adressen konzentriert, die sich automatisch verarbeiten lassen, erklärt Röcher. Der Aufwand sei dennoch sehr hoch und frustrierend gewesen, ergänzt Hickey.

Eine weitere Schwierigkeit war, dass die Testkonten der Threat Intelligence Provider zu verschiedenen Zeitpunkten und für unterschiedlich lange Zeiträume zur Verfügung gestellt wurden. Eine zeitliche Korrelation von Indikatoren war dementsprechend erschwert.

Von Äpfeln und Birnen

Aus den zehn Threat Intelligence Providern wählten sie die vier analytisch vielversprechendsten aus und untersuchten sie detaillierter. Die Namen der vier detailliert analysierten Anbieter sowie Vergleichszahlen dürften sie jedoch in der Präsentation nicht nennen, sagte Hickey. Für die Präsentation verwendeten sie stattdessen vier Obstsorten: einen Apfel, der sich unschwer als einer der drei klassischen Antivirenhersteller erkennen lasse, sowie eine Birne, eine Orange und eine Banane.

Da weder Zahlen noch Namen genannt werden können, bereiteten die Sicherheitsforscher die Daten in Diagrammen auf. Zuerst präsentierten sie ein Diagramm zu Falsch-Positiven, also URLs, Domains und IPs, die von dem Threat Intelligence Provider fälschlicherweise als Gefahr eingestuft wurde. Häufig resultierten die Falsch-Positiven daraus, dass die Sicherheitsforscher die Herangehensweise des Providers nicht verstanden haben. Beispielsweise wenn dieser viele Kontextinformationen mitliefert, die wie die anderen Indikatoren formatiert wurden.

In der Untersuchung sticht der Apfel besonders deutlich heraus: Der Balken bei den Falsch-Positiven-IP-Adressen übertrifft die anderen drei Anbieter um ein Vielfaches. Ein Teil der als bösartig eingeordneten IP-Adressen stammt aus den lokalen Adressbereichen des RFC 1918. Ein anderer Anbieter meldete mehrfach example.com als eine bösartige Domain. Immer wieder liefern Anbieter Zusatzinformationen, beispielsweise die URL eines Tweets mit. Diese können jedoch von Maschinen als Bedrohungs-Indikator interpretiert werden - ein Falsch-Positiv.

Klarere Antworten können die Sicherheitsforscher auf die Frage nach dem jeweiligen geografischen Fokus der Anbieter geben. Nicht alle konzentrieren sich auf China und Russland.

Anbieter konzentrieren sich auf verschiedene Regionen

Deutliche Unterschiede konnten die Sicherheitsforscher bei der regionalen Ausrichtung der jeweiligen Threat Intelligence Provider ausmachen.

Ein Anbieter hat beispielsweise einen klaren Fokus auf China und Russland und liefert dabei vor allem netzwerkbezogene und weniger dateibezogene Indikatoren für diese Länder aus. Ein anderer Provider liefert dagegen vor allem netzwerkbezogene Indikatoren zu Iran und hat deutliche Stärken bei dateibezogenen Indikatoren für Iran, China und Russland. Ein dritter Anbieter weist die umfangreichste Sammlung von Netzwerkindikatoren zu China auf, daneben spielt auch Russland eine Rolle.

Der als Apfel dargestellte, traditionelle Antivirenhersteller analysiert alltäglich umfangreiche Mengen an Dateien zur Abwehr von Viren und Trojanern und nutzt die dabei anfallenden Signaturen als Indikatoren für seine Threat-Intelligence-Sparte. "Diese Signaturen werden hier für eine Menge Geld als Threat Intelligence verkauft", erklärt Röcher. Relevante Kontextinformationen würden dazu nicht gegeben, vielmehr handle es sich um automatisch erzeugten Müll. Entsprechend konnten Sicherheitsforscher die meisten Indikatoren keinem Land zuordnen.

Verteidiger haben es schwer

Eine klare Kaufempfehlung können die Sicherheitsforscher nicht geben, vielmehr sei eine Entscheidung für einen Threat Intelligence Provider abhängig vom jeweiligen Einsatzzweck und den jeweiligen Zielen des Käufers. Hierfür müssten Kriterien entwickelt werden, anhand derer sich auch der Erfolg der Maßnahme messen lasse. Nicht zu unterschätzen sei es, die Dokumentation des Providers zu studieren. "Man muss verstehen, was man von seinem Provider bekommt", sagt Röcher.

Eine Analyse, wie sie die Sicherheitsforscher durchgeführt hätten, helfe. "Die Ergebnisse sind aus einer Management-Perspektive ziemlich nützlich", sagt Hickey. Je nachdem, aus welchen Regionen Unternehmen Angreifer befürchten, können sie den Threat Intelligence Provider mit dem entsprechenden Fokus auswählen. Viele Frage bleiben jedoch offen, beispielsweise wie die Qualität von Threat Intelligence gemessen werden könne. Hier sei noch viel Forschung nötig, meint Röcher.

Im Moment würden die Verteidiger nicht von der Situation profitieren. "Angreifer profitieren, weil wir uns nur schwer verteidigen können und Hersteller profitieren, weil es für sie leicht ist, Geld zu verdienen", kritisiert Röcher. Manchmal erinnere ihn die Threat Intelligence an die Antivirenindustrie. Diese wird immer wieder mit dem Verkauf von Schlangenöl assoziiert.  (mtr)


Verwandte Artikel:
Windows 10: Die Anatomie der Telemetrie   
(22.03.2019, https://glm.io/140185 )
Vernetzte Yachten: Auch schwimmende IoT-Systeme sind nicht sicher   
(22.03.2018, https://glm.io/133456 )
Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"   
(16.03.2018, https://glm.io/133362 )
Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen   
(15.03.2018, https://glm.io/133344 )
Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar   
(18.03.2016, https://glm.io/119876 )

© 1997–2020 Golem.de, https://www.golem.de/