APT und gezielte Angriffe
„Unnötige“ Datensammlung in der IT-Security
Viele Firmen stehen dem Teilen von angeblich „unnötig vielen“ Daten mit Sicherheitsanbieter skeptisch gegenüber. Wir zeigen, wie wichtig die Datensammlung für die Qualität und Geschwindigkeit der Erkennung von Bedrohungen ist - und nicht nur dafür.
Es ist nur eine Zeile in einem Artikel über IT-Security-Technologie. Die Autoren merken an, dass viele der von ihnen getesteten Hersteller „unnötig viele Daten“ einsammeln. Es ist eine dieser Aussagen, die für den Durchschnittsbürger völlig logisch klingen und doch so unglaublich schädlich sind. Denn es wird nur ein Generalverdacht geäußert. Weder bringen die Autoren Beispiele, noch weisen sie darauf hin, warum sie das Sammeln dieser Daten für unnötig halten. Die Hersteller der Sicherheitslösungen haben also keine Möglichkeit, die Aussage zur Diskussion zu stellen. Leser aber müssen folglich den Eindruck erhalten, der Vorwurf entspräche der Tatsache und ziehen möglicherweise den Schluss, die Datenweitergabe zu unterbinden.
Natürlich ist das Teilen von Daten mit einem Hersteller freiwillig. Jedoch sollten Sie wissen, was wir mit diesen Daten tun, bevor Sie sich dagegen entscheiden. Die Anwendungsbereiche für diese Daten sind einerseits eine verbesserte Qualität der Erkennung und andererseits in der effizienteren Bekämpfung der Cyberkriminellen (dargestellt im nächsten Teil des Beitrags).
Qualität der Erkennung
Die Zeiten, in denen eine Signatur als ausreichender Schutz für IT-Umgebungen galt, gab es vor etwa 15 Jahren. Heute benötigen wir Verhaltensanalysen, Reputation und künstliche Intelligenz, um mit Cyberangriffen umzugehen. Der Grund dafür ist, dass diese Attacken automatisiert neu erstellt werden. So gibt es täglich etwa 350.000 neue Malware Samples, die auf Millionen neuer Webseiten und über einzigartige Mails verbreitet werden.
Jede Information, die wir mit Angriffen in Verbindung setzen können, erlaubt es uns, das Mosaik aus einzelnen Bestandteile besser zusammenzusetzen. Je mehr Hinweise wir zu den Attacken sammeln können, desto genauer und zuverlässiger sind unsere Aussagen. Dies dient genauso der Erkennung von Angriffen, als auch der Vermeidung von Fehlern (False/Positive). Unsere künstlichen Intelligenzmodelle müssen dazu mit den neuesten Angriffsmethoden gefüttert werden, und diese kommen am zuverlässigsten von denen, die damit konfrontiert sind – also Anwender. Da auch bei uns automatisierte Systeme die Informationen verarbeiten, bieten wir unseren Kunden dadurch Echtzeitschutz und können auch bei unbekannten Artefakten eine sehr zuverlässige Aussage über deren Hintergründe treffen.
Geschwindigkeit
Im Allgemeinen spricht man heute von zwei Kategorien von Angriffen. Zum einen sind das Massenangriffe, die jeden treffen können und bei denen es um Geschwindigkeit geht. Zum anderen sind es gezielte Attacken auf einzelne Unternehmen oder solche einer bestimmten Branche, die dieselben Herausforderungen und Produkte haben. Sobald ein Angreifer bei einer Company Erfolg hatte, wird er in möglichst kurzer Zeit viele Unternehmen derselben Branche attackieren um möglichst viel Nutzen bei geringem Aufwand zu erzielen.
Die EU hält branchenweite Angriffe für derart gefährlich, dass sie mit der NIS2-Direktive eine Meldepflicht für betroffene Unternehmen einführt. Diese müssen unverzüglich, spätestens aber nach 24 Stunden, eine erste Meldung abgeben und innerhalb von 72 Stunden Details über die Indikatoren eines schweren Angriffs mitteilen. Diese gehen dann mittels staatlicher „zentraler Anlaufstelle“ (in Deutschland voraussichtlich das BSI) und seiner europäischen Äquivalenz der ENISA (European Network and Information Security Agency) wiederum an die Mitgliedsstaaten und von dort an angeschlossene Branchen. Nach etwa drei Tagen wissen dann also alle EU-Unternehmen die über NIS2 organisiert sind, von den neuen Angriffsmethoden und können manuell nach den entsprechenden Indikatoren suchen.
Werden diese dagegen über automatisierte Werkzeuge wie z.B. XDR eingesammelt, ausgewertet und geteilt, so können sie in Echtzeit automatisiert in angeschlossenen Kundensystemen festgestellt und geblockt werden. Auch das Identifizieren und Melden entsprechender Indikatoren wird dadurch vereinfacht. Sollten dann solche Systeme nicht direkt mit BSI und ENISA gekoppelt werden? Das ist heutzutage eine politische Diskussion, keine technische.
Der individuelle Firmennutzen
Neben den bereits geschilderten Vorteilen bezüglich Qualität und Geschwindigkeit der Erkennung bieten diese Daten auch noch individuellere Vorteile. Hier ein Blick zurück. Seitdem Cyberangriffe zunehmend politische Hintergründe haben, steigt auch das Interesse bösartiger Akteure an bestimmten Zielen. Dazu zählen u.a. (Industrie)Spionage und Sabotage. Unternehmen und Behörden, die sich im Fokus sehen, beauftragen Security-Unternehmen damit herauszufinden, welche Akteure eine Bedrohung für sie darstellen und was über ihr Unternehmen im Untergrund verfügbar ist. Das daraus entstehende Bedrohungsbild dient der Einführung und Beurteilung von Gegenmaßnahmen.
Auch wenn sich zum Glück nur verhältnismäßig wenige Organisationen tatsächlich mit der Herausforderung gezielter, politischer Angriffe auseinandersetzen müssen, so ist ein auf diese Weise entstandenes Bedrohungsprofil für jedes Unternehmen interessant. Ransomware-Akteure setzen oft ähnliche Angriffsmethoden ein. Ist man gegen eine solche verwundbar, weil beispielsweise wichtige Sicherheitslücken nicht gepatcht sind, dann steigt das Risiko für einen erfolgreichen Angriff.
Die Analyse ist ein steter Abgleich der innerhalb einer Umgebung vorliegenden Voraussetzungen mit den in der IT-Sicherheit bekannten Angriffsmustern, wie sie beispielsweise auch in einer Mitre Att&ck-Datenbank dargestellt werden. Darüber hinaus können wir andere Quellen wie z.B. den Leak von Zugangsdaten oder Untergrundangebote für Zugriffe auf bestimmte IP Adressbereiche (so genanntes Access as a Service) einordnen. Je mehr Quellen wir miteinander vergleichen können, desto genauer das Lagebild, dass wir einem Kunden im Rahmen des Attack Surface Risk Managements bieten können. Aber zugegeben, hier handelt es sich um einen kostenpflichtigen Dienst und Daten, die zu dessen Betrieb eingesammelt werden, muss ein Kunde im Rahmen der Aktivierung genehmigen bzw. die entsprechenden Sensoren verknüpfen.
Ja, aber DSGVO…
Wie üblich in Diskussionen zum Thema IT-Sicherheit und Daten wird gern suggeriert, dass die Datenschutz-Grundverordnung (DSGVO) das Teilen verhindert, zumindest, wenn diese Daten Persönlich Identifizierbare Informationen (PII) enthalten. Auch wenn dieser Punkt als Thema nicht ignoriert werden darf, so ist die Vereinfachung einer solchen Betrachtung schlicht falsch.
Unternehmen haben neben dem Schutz der Persönlichkeitsrechte auch den Schutz der Daten an sich zu verantworten. Für diesen ist die Zusammenarbeit mit Sicherheitsdienstleistern unumgänglich. Dadurch entsteht eine theoretische Zwickmühle, die der Gesetzgeber mit dem Zauberwort „Interessensabwägung“ beantwortet. Ein Fachanwalt für deutsches Internetrecht hat für uns alles Wissenswerte in einem Whitepaper für Datenschutzbeauftragte zusammengefasst. Sie können es hier erhalten oder in unserem Blog eine kurze Zusammenfassung nachlesen.
Fazit
Dieser erste Teil unserer Übersicht zum Nutzen der Daten stellt die Vorteile für Unternehmen dar. Sie dienen der Reaktionsgeschwindigkeit sowie der Qualität der Analysen in Angriffsfällen. Durch den Vergleich vieler unterschiedlicher Informationen können aber genauso Risiken dargestellt werden sowie Richtwerte und Vergleichszahlen, anhand derer beispielsweise beurteilt werden kann, wie gut das eigene Unternehmen abgesichert ist.
Im zweiten Teil der Betrachtung konzentrieren wir uns auf den Nutzen der Daten für den Kampf gegen organisierte Kriminalität und gegen andere Akteure.