Threat Intelligence / Statt viel Lärm um Nichts: SearchLight für Smarte Threat Intelligence

Statt viel Lärm um Nichts: SearchLight für Smarte Threat Intelligence

Statt viel Lärm um Nichts: SearchLight für Smarte Threat Intelligence
Michael Marriott
Mehr Von Michael Marriott
April 12, 2021 | Lesedauer 7 Min

Stellen Sie sich folgendes Szenario vor: Nach viel Überzeugungsarbeit hat sich Ihr Unternehmen endlich entschlossen, in Threat Intelligence zu investieren. Die Geschäftsleitung ist Feuer und Flamme. Und die Projektverantwortlichen können es kaum abwarten, mit dem neuen CTI-Tool Daten zu sammeln, Sicherheitsberichte zu erstellen und digitale Risiken aufzuspüren.

Doch schon sechs Monate später hat sich die Begeisterung spürbar gelegt. Die Threat Intelligence-Feeds liefern eine Flut an Informationen, die es kaum wert scheinen, überprüft zu werden. Und wenn, wer hätte die Zeit für eine gründliche Durchsicht? Für die IT-Sicherheitsteams werden die täglich eintreffenden Alerts, Hinweise und Verdachtsfälle mehr lästig als nützlich.

Wenn Ihnen dieses Szenario bekannt vorkommt, dann deshalb, weil es sich so oder ähnlich in vielen Unternehmen abspielt. Es vergeht keine Woche, in der ich nicht eine Geschichte über die Probleme bei der Cyber Threat Intelligence (CTI) zu hören bekomme. Über den Mehrwert von IOCs (Indicators of Compromise) wurde bereits viel geschrieben. (Lesenswert ist zum Beispiel der Beitrag von David Bianco „Pyramid of Pain that still stands up seven years later”.)

In diesem Blog geht es um den unnötigen Ballast, den Digital Risk Protection in der Regel mit sich bringt und wie er sich abwerfen lässt. DRP oder Brand Intelligence ist für viele der erste Schritt beim Aufbau von Threat Intelligence-Funktionalitäten in Unternehmen. In der Theorie lässt sich so die Relevanz und die Verwertbarkeit von Threat Intelligence-Daten verbessern. Tatsächlich machen die meisten Lösungen jedoch „viel Lärm um nichts“. Wie können also Unternehmen dieses Rauschen auf ein erträgliches Maß reduzieren und Threat Intelligence effektiv für die Cybersicherheit nutzen?

FOKUS AUF PRAXISNAHE THREAT INTELLIGENCE

Unser digitaler Fußabdruck wächst von Tag zu Tag. Die Spur, die wir im Netz hinterlassen, ist zwar oft harmlos, birgt jedoch auch (digitale) Risiken. Ein Unternehmen wird so pro Jahr bis zu 15 Millionen Mal im Open Web, in technischen Quellen, aber auch im Darknet und in geleakten Dokumenten erwähnt.

Online-Erwähnungen eines durchschnittlichen Unternehmen pro Jahr: 15 Millionen (Digital Shadows, 2020)

Echte digitale Risiken aus dem riesigen Datenpool des Open, Deep und Dark Webs herauszufischen ist für Unternehmen jedoch eine enorme Herausforderung. Selbst große und erfahrene Sicherheitsteams tun sich schwer damit, alle Informationen zu sichten und innerhalb einer angemessenen Zeit zu evaluieren.
Digital Shadows verfolgt deshalb einen speziellen Ansatz. Im Mittelpunkt steht das Filtern relevanter Threat Intelligence-Daten sowie die Automatisierung der nächsten Schritte. Ziel ist es, die kostbare Zeit von Analysten nicht zu verschwenden, sondern ihre Aufmerksamkeit auf die tatsächlich wichtigsten und dringlichsten Fragen zu lenken. Wann lohnen sich Maßnahmen zur Brand Protection? Wie glaubwürdig ist die Information einer bestimmten Darknet-Quelle? Welche Cyber-Bedrohung hat momentan die höchste Priorität?
Grundsätzlich lässt sich dieser Ansatz in drei Schritte zusammenfassen:

  • Einsatz von Software/Tools zum Scannen von Quellen, Sammeln von Daten, etc.
  • Individuelle Überprüfung von erkannten Risiken/Bedrohungen durch Analysten
  • Automatisierung von Aktionen/Standard-Tasks

SCHRITT 1: SMARTE SOFTWARE FÜR DIE SCHWERSTARBEIT

Bei 15 Millionen Online-Erwähnungen im Jahr führt kein Weg an einer Softwarelösung vorbei. Die Tools übernehmen den aufwändigsten Teil und entfernen alle nichtrelevanten Suchergebnisse. In vielen Fällen lässt sich leicht erkennen, ob eine Erwähnung ein echtes Risiko darstellt. Dazu gehören beispielsweise exponierte Logindaten, bekannte Schwachstellen oder offene Ports.

Mit Hilfe von Algorithmen lässt sich die Suche für bestimmte Bereiche weiter verfeinern. Fake Domains zum Beispiel können die Unternehmenswebseite mittlerweile täuschend echt nachahmen. In die Analyse werden deshalb Faktoren wie die Ähnlichkeit zur Original-Webseite oder der Entstehungszeitraum der Domain miteinbezogen. Smarte Softwaretools filtern so Millionen von Suchergebnissen, blenden irrelevante Daten aus und sparen Sicherheitsteams viel Zeit.

Ähnlich effektiv läuft die Analyse von Dokumenten ab, bei denen nicht nur Erwähnungen des Unternehmensnamen identifiziert werden. Auch spezielle Kennzeichnungen oder Markierungen oder das Alter eines Dokuments werden von den Algorithmen erfasst und ausgewertet.

SCHRITT 2: ANALYSTEN-EXPERTISE FÜR ERKANNTE RISIKEN

Threat Intelligence-und Monitoring-Tools können bei der Auswertung der Datenflut viel Zeit einsparen. Ob Fake Domains, Phishing-Webseiten, Erwähnungen im Dark Web oder gefälschte Produkte auf kriminellen Marktplätzen jedoch tatsächlich eine Bedrohung darstellen lässt sich über die Lösungen nicht immer einwandfrei feststellen. Um das Risiko und die Folgen einer Bedrohung auf den Geschäftsverlauf beurteilen zu können, ist daher bei vielen Cyber-Bedrohungen nach wie vor die Expertise von Analysten gefragt. Vor allem dann, wenn die Zahl der Erwähnungen im Darknet bei großen Fortune 500-Unternehmen jedes Jahr leicht die eine Millionen-Marke erreicht.

Hier zählt die menschliche Expertise. Von den rund 13.000 Alerts, die unsere Lösung SearchLight erkennt, werden 91% von den Digital Shadows-Analysten als nicht relevant für den Kunden eingestuft und aus dem Threat Intelligence Feed entfernt. So verhindern wir, dass Sicherheitsteams in Unternehmen von einer Flut an Bedrohungsdaten und Alerts überschwemmt werden und ihre Zeit mit der Triage und dem Identifizieren von False Positives verschwenden. Smarte Digital Risk Protection-Tools schlagen nur bei relevanten Bedrohungen Alarm und geben dabei automatisch eine Risikobewertung und Priorisierung ab. Damit gewinnen die Sicherheitsteams an Zeit und können sich stärker auf die Beseitigung und Eindämmung von Bedrohungen konzentrieren.

Wie wichtig das Ineinandergreifen von technischer Lösung und menschlicher Expertise ist, zeigt sich unter anderem bei Takedown-Verfahren. Die Domain-Registrare mit Anträgen und E-Mails zu bombardieren ist nur selten von Erfolg gekrönt. Wer Fake Domains und Phishing-Webseiten entfernen will, braucht Erfahrung, Kontakte, Fingerspitzengefühl und geographisches Know-how.

SCHRITT 3: AUTOMATISIEREN VON STANDARD-TASKS

“Die Definition von Wahnsinn: Das Gleiche immer und immer wieder zu tun und dabei ein anderes Ergebnis erwarten.“ -Albert Einstein

Wahnsinn kann auch sein, wenn ein und dieselbe Meldung zu einem Sicherheitsvorfall immer und immer wieder im Threat Intelligence-Feed auftaucht. Zum Glück lässt sich diese Endlosschleife durch automatisierte Prozesse und Regeln durchbrechen.

Ein gutes Beispiel dafür sind exponierte Logindaten. Viele Unternehmen führen bei den von SearchLight erkannten Datenleaks zunächst eine automatische Validierung durch. Dazu prüfen sie, ob die Zugangsdaten dem Standardformat für Passwörter/Unternehmenskonten entsprechen, oder ob sie mit Authentifizierungsdaten aus Azure Active Directory (Azure AD) oder Okta übereinstimmen. Handelt es sich um ungültige oder veraltete Logindaten, werden die entsprechenden Alerts in SearchLight stumm geschaltet und automatisch aus dem Feed entfernt. Unternehmen können mit SearchLight auf diese Weise durchschnittlich 11.000 Anmeldeinformationen schnell und sicher ausschließen. Mehr über die Validierung von Zugangsdaten erfahren Sie in unserem Praxis-Leitfaden „Exposed Credential Monitoring Solutions Guide”.

Überhaupt lässt sich der Automatisierungsgrad des Threat Intelligence-Feeds flexibel an den Anforderungen von Unternehmen anpassen. Dazu gehört beispielsweise die Integration von Commits Alerts (nicht autorisierte Veröffentlichung von Softwareversionen auf öffentlichen Code-Repositories) in Splunk Phantom. Ein Unternehmen konnte mit SearchLight auf diesem Weg die Zeit zur Eindämmung der ungewollten Veröffentlichungen von drei Wochen auf nur wenige Stunden reduzieren.

ERFOLGSMESSUNG VON CYBER THREAT INTELLIGENCE (CTI)

Wer im Rahmen von Digital Risk Protection diese drei Schritte berücksichtigt, muss sich nicht mit 15 Millionen Erwähnungen und Alerts auseinandersetzen. Vielmehr erhält er konkrete und klar definierte Aussagen zu digitalen Risiken für eine schnelle Priorisierung und Eindämmung. Im Durchschnitt sieht ein Jahresbericht für Unternehmen wie folgt aus:

  • 10 Phishing-Webseiten
  • 29 Alerts zu exponierten Access Keys
  • 29 Fake Apps
  • 55 Angreifbare Vulnerabilities
  • 57 Fake Social Media-Profile
  • 84 Alerts zu exponierten Dokumenten
  • 178 Schwache Zertifikate
  • 835 Fake Domains

Über den Erfolg von Digital Risk Protection und Cyber Threat Intelligence entscheidet wie so oft die richtige Balance. Im Klartext heißt das: Automatisieren Sie Ihre Prozesse und geben Sie Ihrem Analystenteam die Zeit zurück, um sich auf schwierige Aufgaben wie Managed Takedowns und Cyber Threat Analysis zu konzentrieren.

Melden Sie sich jetzt für eine Testversion von SearchLight an und erstellen Sie Alerts für Fake Domains, exponierte Logindaten und Sicherheitslücken in Ihrer Infrastruktur – 7 Tage lang kostenlos.