Wirft man einen Blick auf die Vergangenheit, kann man sich ein detailliertes Bild von der Gegenwart machen; der analytische Verstand vieler Experten kann Warnungen für die absehbare Zukunft aussprechen oder letztere sogar vorhersagen. Auf diese Weise können auch wir bei K oft genau prognostizieren, in welche Richtung sich die digitale Landschaft entwickeln wird. Zudem halten wir uns über die neuesten Cybertrends auf dem Laufenden, um rechtzeitig die entsprechenden Technologien entwickeln zu können, die wir im Kampf gegen bevorstehende Cyberangriffe benötigen. Ja, tatsächlich hat es auch Zeiten gegeben, in denen wir uns mit unserer auf Fachwissen basierenden Cyber-Prophezeiung geirrt haben – dennoch waren solche Fälle immer die Ausnahme; meistens lagen wir goldrichtig.
Aber wie genau machen wir das? Stecken hinter unseren Cyber-Prophezeiungen ausschließlich superschlaue Typen und Typinnen? Nein, ganz im Gegenteil! Vieles davon ist automatisiert und das ist auch gut so: Menschen können mit der heutigen Rechenleistung, den Algorithmen, Robotern, KI und maschinellem Lernen nicht mehr mithalten. Natürlich wird die humane Denkkapazität noch immer benötigt, aber warum sollte der Mensch die ganze Arbeit allein machen?
In diesem Beitrag möchte ich Ihnen von der technologisch wissenschaftlich fundierten Schwerstarbeit berichten, die es uns ermöglicht, die Zukunft vorherzusagen (bei der es sich übrigens nicht um eine mystische Wahrsagerei à la Wanga handelt).
Lassen Sie mich Ihnen zunächst von der Entwicklung unserer Threat Intelligence Platform (TIP) erzählen.
Aufschlüsseln möchte ich das Thema wie im Titel bereits angedeutet: In die Analyse der Vergangenheit, das Testen der Gegenwart testen und die Vorhersage der Zukunft.
Die Vergangenheit analysieren
Als wir 2016 mit der Entwicklung unserer TIP begonnen haben, befassten sich die ersten Tools mit der Analyse der Vergangenheit. Dies waren (und sind immer noch) die sogenannten Threat Data Feeds. Wie der Name schon sagt, handelt es sich dabei um Daten-Feeds über bereits bekannte Bedrohungen: Angriffsindikatoren, Adressen von Malware-Websites, Adressen von Botnet-Kontrollzentren und vieles mehr. Sie können sich für diese Feeds anmelden, um Updates in Echtzeit zu erhalten.
Auf der nächsten Stufe stehen unsere detaillierten Bedrohungsberichte. Zum Beispiel: analytische Berichte über APT-Bedrohungen, die sich auf zielgerichtete Angriffe und kriminelle Gruppierungen beziehen; Crimeware Intelligence Reporting, das neue Varianten von Schadprogrammen beschreibt; und ICS TI Reporting, bei dem es um die Erfassung neuer Bedrohungen für industrielle Kontrollsysteme geht.
Da wir die Daten, die wir im Laufe des letzten Vierteljahrhunderts gesammelt haben, wahrscheinlich niemals vernichten werden, haben wir jetzt Bedrohungsdaten in Form von unendlichen Petabytes, Exabytes, Zettabytes gespeichert. Und es wäre eine Schande, diese Daten unter Verschluss zu halten. Deshalb haben wir beschlossen, unseren Kunden (wir sprechen hier eindeutig von Unternehmen, d. h. deren IT-/IT-Sicherheitsabteilungen) die Möglichkeit zu geben, unsere Datenbank selbst zu durchsuchen. So entstand unser Threat Lookup Service, eine Art Google Threats, der bereits von Hunderten bekannter und hoch angesehener Unternehmen aus der ganzen Welt genutzt wird.
Die Gegenwart testen
Wenden wir uns nun der Gegenwart zu…
Stellen Sie sich vor, Sie haben irgendwo in Ihrem Unternehmensnetzwerk eine verdächtige Datei gefunden, die Sie umgehend analysieren müssen. Will heißen, dass Ihre Threat Intelligence (TI)-Plattform unverzüglich die notwendigen Analysetools bereitstellen muss.
Als Erstes ist eine statische Code-Analyse fällig. Damit haben wir uns schon vor langer Zeit befasst, als wir mit klassischen Antiviren-Methoden (Hashes, Heuristiken) begannen, die sich im Laufe der Jahre zu einem hochmodernen System für die Bedrohungsanalyse entwickelt haben. Unser System ist jetzt in der Lage, den Ursprung von Malware zu ermitteln, selbst wenn es sich um eine weitgehend umgeschriebene Version von bereits bekannter Malware handelt.
Bestimmte „Gene“ – charakteristische Teile des Computercodes – sind so etwas wie die Signatur eines Hackers und bleiben daher unveränderbar. Und genau solche Gene werden von unserer Threat Attribution Engine erkannt, die darauf trainiert wurde, die Hunderte Millionen von guten und schlechten Genen zu erkennen, die wir in den letzten 25 Jahren gesammelt haben. Das Ergebnis ist, dass wir in der Lage sind, neue Malware bekannten Autoren zuzuordnen.
Danach werfen wir die verdächtige Datei in unsere Cloud-Sandbox. Dabei handelt es sich buchstäblich um eine kontinuierliche dynamische Analyse einer Datei bei ihrer Ausführung in einer isolierten Umgebung. Denn Dateien können unter bloßer Betrachtung ihres Codes vollkommen harmlos erscheinen, aber in der Sandbox ausgeführt versucht die Datei ganz plötzlich etwas zu verschlüsseln! Wer hätte das gedacht?
Nun stellt sich die Frage: Woher kommt diese Hinterlist? Und sollten wir uns in der Umgebung umsehen, um herauszufinden, ob dort noch etwas anderes lauert? Ja, das sollten wir!…
Dazu werfen wir einen Blick auf unseren Research Graph, der die Verbindung der untersuchten Datei zu anderen Objekten darstellt: Domains, mit denen sie interagiert hat, Dateien, die sie geladen hat sowie Verbindungen zu anderen Bedrohungen und Indikatoren, die in unserer Datenbank aufgeführt sind. Diese Indikatoren können dann vom Kunden selbst im Internet gesucht werden.
Die Zukunft vorhersagen
Wir haben also unser Wissen aus der Vergangenheit genutzt, um einen Vorgang in der Gegenwart zu untersuchen. Aber was ist mit der Zukunft? Selbstverständlich ist die Zukunft noch nicht geschrieben – aber wir können bereits Anzeichen dafür erkennen, wie sie höchstwahrscheinlich aussehen könnte. Dinge wie Schwachstellen im Schutz Ihrer Infrastruktur, Schwachstellen in Software und Einstellungen sowie potenzielle Einfallstore für Cyberangriffe gehören zu solchen Indikatoren. In den oben erwähnten abonnementbasierten Berichten (Threat Intelligence Reporting) finden Sie derartige Informationen. Hier beschreiben wir detailliert, welche kriminellen Gruppierungen es auf der Welt gibt, welche Tools und mit welchen Absichten sie diese verwenden. D. h., wir decken ihre TTPs (Tactics, Techniques, and Procedures) – Taktiken, Techniken und Verfahren – auf. Wenn man all dies weiß, kann man sich viel besser auf mögliche zukünftige Angriffe vorbereiten.
Die Methoden der Kriminellen können sich jedoch in verschiedenen Kontexten unterscheiden, und unsere Kunden bitten uns oft um weitere Daten darüber, wie bestimmte Angriffstechniken in einer für sie typischen Situation angewendet werden können. Eine solche Beratung durch Analysten erhalten Sie nun in Echtzeit über unseren Dienst Ask the Analyst.
Weitere Anzeichen, über das, was in der Zukunft passieren könnte, bieten verdächtige Aktivitäten „irgendwo im Internet“, bei denen die Daten eines Unternehmens verwendet werden, was als Planung eines Angriffs angesehen werden kann. Diesen Anzeichen widmet sich unser Dienst Digital Footprint Intelligence (DFI).
Funktionieren tut dies folgendermaßen: Mit Hilfe von speziellen Robotern erstellt unser Expertenteam ein „digitales Porträt“ der jeweiligen Organisation und verfolgt dann, wie diese Daten im Internet genutzt werden, um mögliche Angriffe voraussagen zu können.
Wird beispielsweise eine Domain registriert, die der eines bestimmten Unternehmens sehr ähnlich ist (z. B. durch Änderung eines Buchstabens oder Hinzufügen eines Bindestrichs), und eine Website ins Leben gerufen, die dem „Original“ zum Verwechseln ähnlich sieht, warnt der DFI-Dienst Sie vor solchen Phishing-Seiten, während der Takedown Service bei der raschen Sperrung der Fake-Seite hilft.
Außerdem gibt es in der neuen Version unseres TI-Portals jetzt eine spezielle Internet-Suchfunktion. Was Sie früher in unserer internen Bedrohungsdatenbank fanden, wird nun durch frische Daten aus geprüften offenen Quellen ergänzt, darunter Medien zur Cybersicherheit, Informationssicherheitsforen und Expertenblogs.
Abschließend kann unser TIP auch dazu verwendet werden, die dunkelsten Ecken des Webs (Dark Web, Deep Web) zu durchsuchen. Sie können überprüfen, ob Daten eines Unternehmens einem Leck zum Opfer gefallen sind, ob es Gerüchte über die Schwachstellen eines Unternehmens oder andere Anzeichen für die Vorbereitung eines Angriffs gibt.
Jetzt fragen Sie sich vielleicht, ob wir vorhersagen können, wer in 3 Jahren einen Angriff auf Ihr Unternehmen plant. Und die Antwort ist selbstverständlich nein! Was wir tun können, ist, den Nutzern unserer Analyseplattform die wichtigsten Informationen über die Bedrohungen zu geben, mit denen sie realistischerweise konfrontiert werden können: von wem und warum sie angegriffen werden können, wie solche Angriffe durchgeführt und wie sie sich davor schützen können.
Ich nenne dies ganz gerne unsere „Zeitmaschinen-Cybersicherheit“ bei der Vergangenheit, Gegenwart und Zukunft miteinander verwoben sind! Aber trotz dieser Science-Fiction-Formulierung hoffe ich, dass Sie jetzt erkennen, dass dies alles andere als Science-Fiction ist. Nicht Wanga, nicht Sauron, keine Wahrsager, keine Astrologie, keine Magie. Nur pure Wissenschaft und Technologie!
Wer hätte gedacht, dass man die Vergangenheit analysieren, die Gegenwart erforschen und die Zukunft vorhersagen muss, um im Jahr 2022 erstklassige Cybersicherheit zu gewährleisten? Wir! Und wir tun dies mit Kaspersky Threat Intelligence.