Threat Intelligence – das Ohr auf dem Gleis
Auch wenn Stellen wie das IT-Lagezentrum des Bundesamtes für Sicherheit in der Informationstechnik (BSI) großen Aufwand betreibt, Gefahren frühzeitig zu erkennen und über sie zu informieren, erfahren Unternehmen in vielen Fällen erst dann von einem konkreten Risiko, wenn sich dessen Auswirkungen zeigen, sie also bereits als Opfer zu betrachten sind. Nicht zuletzt konzentriert sich das BSI auf die Information zu Gefahren, die eine breite Öffentlichkeit oder die kritischen Infrastrukturen betreffen, also eine erkennbar gesamtwirtschaftliche und sicherheitsrelevante Bedeutung haben. Gefahren, die einzelne Unternehmen betreffen, sind hier zwar oft mit eingeschlossen stehen aber nicht im Fokus des BSI. Diese sind vielmehr gehalten, eigenständig Strategien zu entwickeln und umzusetzen, um sich zu schützen.
Im Rahmen ihres Cyber Defense Centers arbeitet die ConSecur GmbH aus Meppen mit den Mitteln der Threat Intelligence daran, Gefahren für ihre Kunden frühzeitig zu erkennen und ihnen den erforderlichen Vorsprung zu verschaffen, um Angriffe abzuwehren oder zumindest frühzeitig zu erkennen und angemessen zu reagieren.
Gefahr erkannt, Gefahr gebannt …
Die IT-Sicherheitsexperten im ConSecur Cyber Defense Center nutzen ihre langjährige Erfahrung, um die Denk- und Handlungsweise von Hackern zu verstehen und nachzuvollziehen. ConSecur untersucht bekanntgewordene Bedrohungen, definiert Indicators of Compromise (IoC) und Indicators of Attack (IoA) und entwickelt ein grundlegendes Verständnis für Tactics, Techniques and Procedures (TTP).
Von besonderer Bedeutung für die frühzeitige Erkennung konkreter Bedrohungen im Rahmen der Threat Intelligence sind intensive Einblicke in die „Szene“. Je näher es gelingt, an die Akteure heranzukommen, desto früher können Signale für eine Bedrohung erkannt und analysiert werden. ConSecur arbeitet zu diesem Zweck mit erfahrenen Researchern zusammen. Diese nutzen ihr Fachwissen und ihre Netzwerke, um Informationen in relevanten Communities, aus Social Media Kanälen oder aus IoC Feeds zu sammeln. Wachsende Bedeutung haben hierbei auch Darknet-Blogs, die Hacker wie die LockBit-Ransomware-Bande nutzen, um Attacken anzukündigen und Betroffene zu erpressen.
„Beispiele wie LockBit demonstrieren anschaulich, wie groß die Gefahr durch organisierte Cyber-Kriminelle ist und dass selbst erfolgreich umgesetzte behördliche Maßnahmen wie die Operation ‚Endgame‘ das Problem nicht endgültig beseitigen“, weiß Christoph Kronabel, Cyber Threat Intelligence Lead bei ConSecur. „Mit ConSecur und Cyber Threat Intelligence im Cyber Defense Center verschaffen wir unseren Kunden den individuellen Vorsprung, um sich aktiv zu schützen oder durch schnelle und effiziente Maßnahmen Schaden zu minimieren.“