Was ist Threat Intelligence ... und Bedrohungsakteure?

Die Leute fragen mich immer wieder: 'Was hält Sie nachts wach?' Und ich sage: "Scharfes mexikanisches Essen, Massenvernichtungswaffen und Cyberangriffe."
- Dutch Ruppersberger, amerikanischer Rechtsanwalt und Politiker

Intelligente Bedrohung

Wo auch immer Sie leben - in einem Haus, einer Wohnung oder was auch immer - Sie haben mit Sicherheit Schlösser an Ihren Türen. Warum? Weil Sie wissen, dass ein Einbrecher ohne sie einfach in Ihr Haus eindringen und stehlen könnte, was er will. Sie haben also eine grundlegende Sicherheitsstrategie (Schlösser) gegen eine wohlbekannte Bedrohung (einen Einbrecher) eingesetzt.

Nehmen wir an, Sie lesen in den Lokalnachrichten, dass Diebe in Ihrer Gemeinde durch unverschlossene Fenster in Häuser eindringen. Was tun Sie dann? Sie überprüfen, ob Ihre Fenster verschlossen sind, und bringen vielleicht Schlösser an. Indem Sie sich über eine Sicherheitslücke informieren, die für einen Angriff auf Ihr Eigentum genutzt werden könnte, und dann eine Gegenmaßnahme einrichten, bevor Sie angegriffen werden, haben Sie Ihr Risiko verringert. Vor allem aber haben Sie auf Sicherheitsinformationen (die gemeldete Bedrohung) reagiert und Ihr Verständnis für die Bedrohungslage (d. h. die Liste der Möglichkeiten, wie Sie für einen Angriff anfällig sein könnten) erweitert und verringert.

Danach beginnen Sie, noch strategischer auf die Sicherheit Ihres Hauses zu achten. Sie lesen jeden Tag die Nachrichten, die Kriminalitätsstatistiken und die Meldungen Ihrer örtlichen Polizeibehörde und treten vielleicht Ihrer örtlichen Nachbarschaftswache bei. Sie sind nun daran beteiligt, auf aktive Sicherheitsinformationen in der realen Welt zu reagieren und zu reagieren.

Die Cyber-Bedrohungsseite von Threat Intelligence

Die traditionelle Herangehensweise an die Cybersicherheit war ähnlich wie das erste Szenario, das wir gerade besprochen haben: Sie haben Schlösser an Ihre Türen angebracht. Sie haben darüber nachgedacht, wie die Bösewichte versuchen könnten, in Ihr Netzwerk einzudringen, also haben Sie eine Firewall installiert und sichergestellt, dass Personen, die Ihre Netzwerkressourcen aus der Ferne nutzen, nur über ein VPN Zugang erhalten. Sie haben Ihre Endbenutzersysteme mit Anti-Malware ausgestattet und Ihre Mitarbeiter darin geschult, wie sie Phishing-Betrug erkennen und vermeiden können. Wie in dem Beispiel für die Sicherheit zu Hause haben Sie auf der Grundlage von Sicherheitsinformationen gehandelt, um Ihre Abwehrmaßnahmen gegen jede Art von Cyber-Bedrohung zu entwickeln und zu verbessern.

Dann kamen Angriffe, die sich auf spezifische Ziele konzentrierten. Ein aktuelles Beispiel für diese Art von Cyber-Bedrohung war die im Jahr 2021 entdeckte Log4j-Schwachstelle. Dabei handelte es sich nicht um eine allgemeine Bedrohung wie Phishing, sondern um einen spezifischen Risikovektor. Wenn Sie als Teil Ihrer Infrastruktur die weit verbreitete Apache Log4j-Java-Protokollierungsbibliothek vor Version 2.17.0 einsetzten ("einsetzten", in der Hoffnung, dass Ihr Unternehmen nicht zu den Tausenden gehört, die das Problem noch immer nicht behoben haben), war Ihr Risiko sicher und Sie mussten die Schwachstelle sofort beheben.

Arten von Bedrohungsdaten

Wir können die Bedrohungsdaten in vier Typen unterteilen:

1. Operative Sicherheitsinformationen

Das Ziel von Operational Security Intelligence ist es, spezifische Bedrohungen im Kontext der aktuellen Arbeitsweise des Unternehmens zu verstehen. Wenn Sie beispielsweise nicht wissen, wie Sie DDoS-Angriffe erkennen können, werden Sie nicht wissen, wann Sie angegriffen werden, und Sie werden nicht über die richtige taktische Reaktion - eine DDoS-Abwehrstrategie - verfügen, um dagegen vorzugehen.

2. Taktische Sicherheitsaufklärung

Eine taktische Cyber-Bedrohung ist eine Bedrohung, der Sie in unmittelbarer Zukunft ausgesetzt sind. Taktische Sicherheitsinformationen geben Ihrem Sicherheitsteam Aufschluss darüber, ob Ihre bestehenden Gegenmaßnahmen Ihr Risiko erkennen und minimieren können. Im Mittelpunkt der taktischen Sicherheitsaufklärung steht die Identifizierung von Kompromissindikatoren (Indicators of Compromise, IOC), d. h. von Signalen, die es ermöglichen, z. B. DDoS-Angriffe oder ungewöhnliche Verkehrsmuster zu erkennen.

3. Strategische Sicherheitsaufklärung

Bedrohungsdaten sind nicht nur für das Sicherheitsteam wichtig, sondern auch für eine effektive Entscheidungsfindung der Geschäftsleitung. Das Verständnis der aktuellen Cyber-Risiken, der Herkunft der Bedrohungen und der längerfristigen Cyber-Bedrohungen bietet der Unternehmensleitung die Grundlage für die Budgetierung, die Bewertung finanzieller und betrieblicher Risiken, die technische Personalausstattung und die Unternehmensstrategie.

4. Technische Sicherheitsinformationen

Wenn man analysiert, wie eine Cyber-Bedrohung ausgeführt wurde, z. B. nach einer DDoS-Abwehr, würde man nach der Quelle des Angriffs, den verwendeten Tools, der Kadenz und dem Stil des hinter dem Angriff stehenden Bedrohungsakteurs, der Ähnlichkeit des aktuellen Angriffs mit früheren Angriffen und so weiter suchen. Auf diese Weise lassen sich die Erkennung und Eindämmung in Zukunft verbessern, um Kosten und Ausfallzeiten zu minimieren.

Quellen für Informationen über Cyber-Bedrohungen

Es gibt viele Möglichkeiten, die Quellen für Cyber-Bedrohungsdaten zu analysieren und zu analysieren:

1. Menschliche Intelligenz (HUMINT)

HUMINT sind Sicherheitsinformationen, die durch direkten oder indirekten Kontakt mit Menschen gesammelt werden, einschließlich Spionage und Überwachung.

2. Signals Intelligence (SIGINT)

SIGINT ist eine nachrichtendienstliche Bedrohung, die durch das Abhören von Nachrichten zwischen Menschen (HUMINT) oder Maschinen (ELINT) entsteht.

3. Open-Source-Intelligence (OSINT)

Dazu gehören öffentlich zugängliche Quellen wie Nachrichten, soziale Medien (SOCINT) und öffentliche Berichte aller Art, einschließlich Finanzinformationen (FININT) und gemeinsame Cybersicherheitsinformationen.

4. Finanzielle Aufklärung (FININT)

Finanzielle Anreize sind ein wichtiger Anhaltspunkt für die Motivation und die Ressourcen, die für die Durchführung einer bestimmten Art von Angriffen eingesetzt werden könnten. Nordkorea setzt bekanntlich Cyberangriffe ein, um seine finanziellen Ressourcen aufzustocken. Daher ist es sowohl für die Angreifer (Nordkorea) als auch für die potenziellen Opfer (Banken und andere traditionelle Finanzinstitute, Kryptobörsen usw.) von entscheidender Bedeutung zu wissen, wo das Geld ist und welche Angriffsvektoren es gibt.

5. Marktforschung (MARKINT)

Die Kenntnis des Marktes eines Bedrohungsakteurs und seiner potenziellen Ziele ist der Schlüssel zum Verständnis nicht nur der Motivation, sondern auch der möglichen Cyber-Bedrohungen, die er einsetzen könnte.

Wenn diese Quellen für Bedrohungsinformationen von Sicherheitsanalysten geschickt kombiniert werden, entsteht ein umfassendes Bild von Art, Umfang, Motiven und Risiken aktueller und zukünftiger Cyber-Bedrohungen.

DDoS-Angriffe und Bedrohungsdaten

Die häufigste Cyber-Bedrohung geht heute von DDoS-Angriffen aus. Durch den Einsatz verschiedener Techniken kann ein Bedrohungsakteur gefälschten Datenverkehr von verschiedenen Quellen zu einem Online-Ziel leiten und so das Ziel mit genügend Anfragen überschwemmen, um die Reaktion eines Webservers oder einer Webanwendung zu verlangsamen. Im schlimmsten Fall können DDoS-Angriffe Online-Dienste vollständig lahmlegen und gleichzeitig anderen Arten von Cyber-Bedrohungen Deckung bieten.

Die aktuelle geopolitische und gesellschaftspolitische Lage bietet Bedrohungsakteuren nicht nur Gelegenheit, sondern auch Gründe, Exploits und Kampagnen aller Art zu starten, insbesondere DDoS-Angriffe. In den letzten sechs Monaten haben Bedrohungsakteure Länder, Regierungsorganisationen, das Gesundheitswesen, Banken, soziale Gruppen und prominente Einzelpersonen ins Visier genommen, die durch Themen wie Politik (der russische Krieg gegen die Ukraine ist ein offensichtliches Beispiel), Religion und sogar Sport motiviert sind.

Die größte Quelle für DDoS-Angriffe sind Botnets, d. h. riesige Armeen von untergeschobenen Computern wie PCs, Routern und IP-Kameras, die dazu missbraucht werden, gleichzeitig im Namen eines Bedrohungsakteurs zu agieren. Diese Botnets können riesige Mengen an Anfragen generieren. In den letzten Jahren haben die Bedrohungsakteure ihre Botnets vergrößert, so dass die Angriffe jetzt häufig Minuten bis Tage dauern. Sie gehen von Hunderttausenden oder Millionen von Endpunkten aus und werden in Dutzenden Millionen von Anfragen pro Sekunde oder Terabits pro Sekunde gemessen. Dies macht die DDoS-Abwehr extrem schwierig und kompliziert.

Wie A10 helfen kann: DDoS-Bedrohungsintelligenz und Entschärfungslösungen

Um im^21. Jahrhundert online zu überleben und zu gedeihen, müssen Sie die Arten von Cyber-Bedrohungen verstehen, mit denen Sie konfrontiert sind, und keine ist generell gefährlicher für Ihre digitalen Ressourcen als DDoS-Angriffe. In A10's Three Reasons You Need DDoS Weapons Intelligence wird erklärt, womit Sie es zu tun haben und was für den DDoS-Schutz erforderlich ist.

Die marktführende Expertise von A10 bei der DDoS-Abwehr beruht auf der eigenen Forschung und dem Verständnis der Bedrohungsakteure, ihrer Motivationen und ihrer Tools. Die DDoS Threat Intelligence und der DDoS Attack Report von A10 bieten Einblicke in das Wer, Wie und Warum. Die neue DDoS Weapons Intelligence Map bietet einen unvergleichlichen Einblick in die aktuelle DDoS-Bedrohungslage

Für Anbieter von Kommunikationsdiensten, Rechenzentren und Colocation-Anbietern, die DDoS-Erkennung und DDoS-Abwehr benötigen, bietet A10 mit dem DDoS Scrubbing Service eine Lösung, die DDoS-Schutz im Unternehmensmaßstab bietet. Sie basiert auf dem A10 Thunder Threat Protection System (TPS) , dem Thunder TPS Detector und dem A10 aGalaxy®Centralized Management System.