Der Fall Acer hat gezeigt, dass neue Business-Modelle für Kriminelle, wie Ransomware-as-a-Service (RaaS), zunehmend an Popularität gewinnen. Der Computerhersteller wurde Opfer eines RaaS-Angriffes, wobei die Angreifer die Verschlüsselungs-Software REvil zusammen mit der benötigten Infrastruktur gemietet und damit einen erfolgreichen Angriff durchgeführt haben.
Laut Medienberichten liegt die Lösegeldforderung der Erpresser bei 50 Millionen Dollar und stellt damit eine neue Rekordsumme dar. In Anbetracht dieser Tatsache stellen sich immer mehr Unternehmen die Frage, wie sie sich vor derartigen Angriffen schützen können. Die Antwort darauf muss lauten: mehr Proaktivität in der IT-Sicherheit.
Aktion statt Reaktion
Neben der Tatsache, dass gemietete Schadsoftware für Kriminelle äußerst attraktiv ist, da der Aufwand für Entwicklung und Infrastruktur wegfällt, spiegelt dieser Fall die generelle Situation im IT-Sicherheitsbereich wider: Unternehmen agieren nicht proaktiv, sondern reagieren und der Fokus liegt auf Schutz- und Erkennungstechnologien.
Man versucht den Angriff als erstes abzuwehren – hierbei kommen Technologien wie Firewalls, E-Mail- und Webgateway-Protection oder Antivirensoftware ins Spiel. Gelingt dies nicht, vertraut man im zweiten Schritt auf Erkennungstechnologien wie Log-, Prozess- und Netzwerk-Analyse.
Wenn diese Technologien allerdings anschlagen, ist es meistens schon zu spät und der Angreifer bzw. die Schadsoftware befindet sich bereits im eigenen Netzwerk. Angreifer wissen dies und versuchen mit immer ausgefeilteren Methoden und immer komplexer werdenden Schadcodes Schutztechnologien zu umgehen sowie unter dem Radar von Erkennungstechnologien zu bleiben.
Die kontinuierlich komplexer werdenden Netzwerke und die damit verbundenen neuen Angriffsvektoren führen dazu, dass die Zahl der Unternehmen, die ins Visier geraten, stetig wächst. Es ist an der Zeit, den Spieß umzudrehen und die Angreifer ins Visier zu nehmen oder besser gesagt Informationen über sie zu sammeln und sich auf einen Angriff vorzubereiten.
Threat Intelligence: Schutz durch Information
Nachrichtendienste in aller Welt praktizieren dies bereits seit Jahrzehnten: Über verschiedene Informationskanäle werden Informationen über potentielle Angreifer wie z.B. terroristische Vereinigungen gesammelt. Sobald eine Gruppe als gefährlich eingestuft wurde, wird diese sehr genau analysiert und es werden tiefergehende Informationen über Aufbau, Hintergrund, Motivation, Taktiken oder sogar geplante Angriffe gesammelt und ausgewertet.
Kommt man zur Erkenntnis, dass eine unmittelbare Gefahr z.B. durch einen Terroranschlag droht, werden diese Informationen an weitere Organe wie Militär oder Polizei weitergegeben, welche dann durch die bereits erlangten Erkenntnisse geeignete Maßnahmen einleiten und den Anschlag verhindern können. In der Cybersicherheit existiert ein ähnliches Konzept:
Mithilfe von Bedrohungsinformationen, so genannter „Threat Intelligence“, ist es möglich, Angriffe nicht nur reaktiv, sondern auch proaktiv abzuwehren. Hierzu müssen zunächst, wie in der physikalischen Welt, möglichst viele Informationen über derzeitige Cyberangriffe aus verschiedenen Quellen gesammelt werden, damit die Sicherheitsverantwortlichen ein Verständnis für die allgemeine Bedrohungslage entwickeln können.
Diese Informationen müssen operative (Indicators of Compromise, kurz: IOC, wie IP-Adressen, Hash-Werte, URLs etc.), taktische (Vorgehensweise der Angreifer) sowie strategische (Herkunft, Motivation) Erkenntnisse beinhalten.
Die erste Frage, die sich Unternehmen stellen müssen, ist: Bin ich aufgrund meiner Größe, Branche, Region oder dem Aufbau meines Netzwerkes grundsätzlich ein potenzielles Ziel für einen bestimmten Angriff, bzw. wurde ein ähnliches Unternehmen bereits erfolgreich angegriffen?
Sollte man zur Erkenntnis kommen, dass die REvil Schadsoftware für die eigene Organisation gefährlich sein könnte, werden nach der Sammlung der allgemeinen Informationen die für REvil relevanten herausgefiltert und tagesaktuell angezeigt.
Hierdurch erhält das Security-Team des eigenen Unternehmens alle Informationen und es können automatische (das Blockieren von bestimmten IPs oder Hash-Werten) oder manuelle Maßnahmen (das Schließen von Ports, Patchen von Systemen etc.) eingeleitet werden, noch bevor der Angreifer einen überhaupt ins Visier genommen hat.
Fazit
Der Bereich Security Operations verlässt sich seit Jahrzehnten auf die Säulen Schutz und Erkennung. Die neue Säule „Intelligence“ ermöglicht es Unternehmen vorausschauend zu agieren, indem gewonnene Informationen über Cyber-Angriffe im Vorfeld in Technologien und Prozesse einfließen können.
Unternehmen können diese Informationen nutzen, um einen besseren Schutz zu gewährleisten, da als schädlich bekannte IoCs automatisch geblockt werden oder ausgenutzte Schwachstellen im Vorfeld beseitigt werden.