Attribution – Warum es für Unternehmen wichtig ist, seinen Gegner zu kennen und zu benennen

Angriffsvektor

Bei einem Cyberangriff denken viele Unternehmen, sie hätten lediglich ein punktuelles Problem mit einer bestimmten Ransomware, einem Bot- oder DDoS-Angriff. Dies ist jedoch zu kurz gegriffen, denn hinter jedem Cyberangriff steckt ein Mensch, der aus einem bestimmten Motiv angreift. diese Angreifertypen lassen sich in drei Kategorien unterteilen: nationalstaatliche Akteure, finanziell motivierte Angreifer sowie Hacktivisten, die politischen Unfrieden stiften wollen. Das „Wer, Wie und Warum“ hinter einem Angriff zu verstehen, ist für Unternehmen entscheidend. Indem sie die Motivation, die Tools und die Taktiken ihrer Gegner verstehen, können sie proaktive und präventive Maßnahmen ergreifen.

CrowdStrike beobachtet und analysiert derzeit über 180 Angreifer, Tendenz steigend. Allein im Jahr 2021 sind 21 neue Aktivitätscluster hinzugekommen. Der wichtigste Schritt bei der Identifizierung eines Aktivitätsclusters besteht darin, die richtigen Daten zu sammeln, um unzulässige Aktionen im Netzwerk oder System aufdecken zu können. Bei CrowdStrike werden daher täglich Billionen von Ereignissen gesammelt, die zusätzlich mit weiteren Rohdaten aus verschiedenen anderen Quellen angereichert werden, darunter Incident-Response-Fälle, Malware-Samples, Informationen aus dem Deep und Dark Web, aus Untergrund-Communities und sozialen Medien sowie Open Source und vieles mehr.

Anzeige

Anschließend werden diese Daten mit Hilfe von computerbasierten Verfahren sowie von Experten aus dem Bereich Threat Intelligence analysiert. Dabei verfügen die Threat Intelligence-Analysten über unterschiedliche Fachkompetenzen in Bezug auf Cyber-Bedrohungen, z. B. in den Bereichen Angriffsverfolgung, Malware-Analyse, geopolitische Analysen sowie Threat-Campaign-Analysen. So erhält ein Unternehmen umfassende Einblicke in die Bedrohungslage, und zwar über mehrere Dimensionen hinweg, wie z. B. zur Angriffsmotivation (Warum passsiert das? Warum passiert das gerade jetzt?) sowie den angewandten Techniken und Taktiken (Womit und wie werde ich angegriffen?). 

Aktivitätscluster basieren in der Regel auf einer oder mehreren verwandten technischen Angriffstechniken, Tools oder Infrastrukturen, die vom Gegner genutzt werden. Im Falle von nationalstaatlichen Angreifern überprüfen die Threat Intelligence-Analysten die geopolitischen Zusammenhänge aller beobachteten Aktivitäten, um das Attributionsniveau von einem Cluster auf einen namentlich genannten staatlich unterstützten Angreifer anzuheben. 

Anders verhält es sich bei eCrime-Akteuren: Hier konzentrieren sich die Threat Intelligence-Analysten auf gegnerische Tools, Techniken und Infrastrukturen, wobei ein besonderes Augenmerk auf die Operationen der Bedrohungsakteure gelegt wird, z. B. auf die Verwendung von “As-a-Service”-Angeboten, die gemeinsame Nutzung von Infrastrukturen oder die Einbeziehung von gängigen Tools im Verlauf des Angriffs. Während des gesamten Attributionsprozesses wird die Integrität der Analyse durch eine ausgedehnte, sorgfältige Überprüfung durch die verschiedenen CrowdStrike-Teams mit jahrelanger Bedrohungsexpertise gewahrt. Erst nach einer Reihe strenger Analyseschritte erhält ein Akteur einen Namen und wird in die CrowdStrike-Liste der benannten Gegner aufgenommen.

  • Bei Akteuren mit dem Zusatz SPIDER handelt es sich um Cyberkriminelle, die auf finanziellen Gewinn aus sind. 
  • Nationalstaatliche Angreifer werden durch das jeweilige Nationaltier ihres Herkunftslandes wie BEAR (Russland) oder PANDA (China) gekennzeichnet. 
  • Hacktivisten, die politischen Unfrieden stiften wollen, werden JACKALS genannt.

Eine erfolgreiche Attribution und der damit verbundene angreiferzentrierte Ansatz hilft Sicherheitsteams dabei, die tägliche Flut an Sicherheitsdaten zu filtern und gezielt zu analysieren. Sollte es sich zum Beispiel um einen zielgerichteten Spionageangriff handeln, wird die Bedrohung für das Unternehmen höchstwahrscheinlich dauerhaft sein und eine Reihe von ausgeklügelten Angriffen umfassen, die darauf abzielen, Zugang zu den sensiblen Daten des Unternehmens zu erlangen. Das Wissen, dass es sich um einen durch Spionage motivierten Gegner handelt, gibt wertvolle Hinweise darauf, wo ein Unternehmen Abwehrmaßnahmen ergreifen sollte und wie es sich am besten vorbereiten kann. Dies könnte in diesem Fall das proaktive Patchen von Schwachstellen oder das Blockieren von Datei-Hashes oder IP-Adressen an der Peripherie umfassen, sowie Verteidigungstaktiken, die auf Angriffsvektoren basieren, von denen bekannt ist, dass der Gegner sie in der Vergangenheit verwendet hat. Dank der vorgenommenen Attribution können Sicherheitsteams ihre tatsächliche Risikolage verstehen, indem sie definieren, wer sie wie angreifen könnte und ihre Sicherheitsstrategie präventiv anpassen. 

Sobald ein bekannter, fortschrittlicher Angreifer in der Infrastruktur eines Unternehmens entdeckt wurde, können die Warnstufen erhöht und Abwehrmaßnahmen ergriffen werden. Fehlt dieses Wissen, vergeuden die Analysten des Security Operations Center (SOC) Zeit und Ressourcen, indem sie bei der Verfolgung von Standardangriffen “Maulwurfsjagd” spielen oder blind für die Aktivitäten des Gegners sind, die ohne den durch Bedrohungsdaten bereitgestellten Kontext als normale Aktivitäten angesehen werden könnten. 

Attribution ermöglicht es dem gesamten Team, proaktiven und reaktiven Verteidigern gleichermaßen, nicht nur ihre Aktionen auf bestimmte Akteure auszurichten, die es auf das Unternehmen abgesehen haben, sondern schafft zugleich mit der eindeutigen Benennung des Gegners eine gemeinsame Sprache. Dieser Ansatz hilft den Teams weltweit, sich von tool- oder prozesslastigen Taktiken zu lösen und Strategien zu entwickeln, um die Effektivität ihrer Sicherheitsmaßnahmen zu erhöhen.

Jörg Schauff

CrowdStrike -

Strategic Threat Intelligence Advisor

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.