Data Breach Datenbanken - Viele Incidents, nur wenige Daten

Data Breach Datenbanken

Viele Incidents, nur wenige Daten

Rocco Gagliardi
von Rocco Gagliardi
am 02. Mai 2019
Lesezeit: 10 Minuten

Keypoints

Starten Sie Ihr Cyber Threat Intelligence basierend auf Datenbreaches

  • Wir wissen langsam, dass wir ständig angegriffen werden. Doch durch wen und wie?
  • Selbst heutzutage sind die zu IT-Incidents verfügbaren Daten verschwindend klein in Bezug zu ihrer Anzahl
  • Die paar wenigen öffentlichen Datensätze im Netz sind nicht strukturiert und machen eine Analyse entsprechend aufwändig
  • Heutzutage helfen generische CTI-Reports die wichtigsten Probleme zu identifizieren. Wir benötigen jedoch mehr Details.

Wir fügen Technologie zu jedem Aspekt unseres Lebens hinzu. Das Netz wurde zu einem Medium, wie Luft und Wasser auch. Wie sie, kann es ebenfalls Gefahren weitertragen. Falls ein Land geftigen Attacken unterworfen ist, kann man es dann komplett vom Internet trennen? Eigentlich weiss niemand so recht, was dann passieren würde. Im Zeitalter von 5G nehmen die Chancen zu, dass ein physischer Angreifer KI zur Manipulation der transnationalen Kommunikation beiziehen würde: Totale oder teilweise Entkoppelung des Netzes würde praktisch unmöglich werden. Nachdem dieser simple Ansatz verworfen werden muss, muss über die nächstbeste Lösung diskutiert werden: Wir müssen Risiken analysieren, Zwischenfälle verhindern und bereit sein für eine Wiederherstellung.

Doch wie können wir die Prioritäten festlegen? Angreifer im virtuellen Raum tendieren eher zurück zu schauen als in die Zukunft. Deshalb ist es auch für uns von Vorteil zu diskutieren, was zuvor passiert ist und wie wir zukünftig damit umgehen können. Klingt soweit ganz einfach, doch was ist denn nun eigentlich bisher passiert?

Wir alle kennen die sogenannten Cyber Threat Intelligence (CTI) Reports. Diese oft alljährlich erscheinenden Dokumente voller Statistiken, Grafiken, Trends und Kommentaren. Und wir alle wissen eigentlich nicht genau, auf welchen oftmals proprietären Daten diese Resultate eigentlich basieren. Doch wenn wir die Berichte ein bisschen genauer anschauen, dann fallen uns ein paar Dinge auf:

Das Bedürfnis für Datenqualität

Bisher haben generische CTI Reports dabei geholfen, die wichtigsten Aspekte zu identifizieren. Jetzt geht es jedoch darum, einen Schritt weiter zu gehen und Details zu Akteuren, Opfern und Vektoren zu diskutieren. Das Verwalten von Listen zu Incidents und Statistiken ist grundsätzlich nützlich. Damit aber mit diesen Daten wirklich gearbeitet werden kann, müssen sie in Bezug auf technische, industrielle und soziale Aspekte normalisiert werden. Viele Listen und Datenbanken halten zwar Daten zu Akteuren, Opfern und betroffenen Assets bereit. Dabei wird oftmals aber nur eine sehr minimalistische Zusammenfassung der Ereignisse bereitgestellt.

Für einzelne Punkte eines Risk Management Prozesses ist es wichtig, dass verlässliche Daten und nicht nur ein Bauchgefühl vorhanden ist. Ein guter Datensatz sollte detaillierte Fragen beantworten, wie zum Beispiel, welche Rolle Flash-Drives bei einem Incidents gespielt haben. Und welche Incidents mit Flash-Drives für mich relevant sind, weil sie Organisationen ähnlicher Strukturen betroffen haben.

Entwicklung unser eigenen CTI Reports

Um einen eigenen Report ausarbeiten zu können, müssen Rohdaten in hoher Qualität herangezogen werden können. Wir können diese dann aus unserer Sicht untersuchen und die relevanten Fakten extrahieren. Dabei ist es nicht genug, sich auf einzelne Aspekte wie Finanz oder Malware zu fokussieren. Wir müssen möglichst exakt herausfinden, welche Akteure involviert waren, wer die Opfer waren und was angegriffen wurde.

Die VERIS Database bietet die am besten strukturierten und komplettesten Daten zu Incidents an. Incidents werden analysiert und die Daten – sofern vorhanden – normalisiert und verifiziert. Dadurch kann ein hohes Mass an Konsistenz gewährleistet werden. Jeder Incident wird dabei in vier Elemente aufgegliedert:

Das Opfer wird einem Industriesektor zugewiesen, wobei man sich auf den NAICS Standard beruft (die Umwandlung nach SIC/ISIC oder anderen ist möglich). Dies ist von elementarer Wichtigkeit, um die Incidents den entsprechenden Firmen eines Sektors zuweisen zu können.

Zum Beispiel wir im Bereich Herstellung (Manufacturing) zwischen Erdöl- und Kohleförderung (Petroleum and Coal Products Manufacturing) und Chemische Herstellung (Chemical Manufacturing) unterschieden. Obwohl die Verfahren sehr ähnlich sind, können sich grosse Unterschiede – gerade bei der Nutzung von IT-Standards – auftun. Auf den ersten Blick können Eigenheiten und Unterschiede von Angriffen identifiziert werden, wodurch die eigene Risikomatrix angepasst werden kann:

Ausgehend von der Perspektive Sektor:

Sector Asset Variety Action Variety Actor
3240 – Petroleum and Coal Products Manufacturing S – Database Misconfiguration Internal
3250 – Chemical Manufacturing U – Laptop Theft External
3250 – Chemical Manufacturing M – Payment card Possession abuse Internal

Ausgehend von der Perspektive Asset:

Asset Variety Actor Action Variety C-I-A Impact
S – Database External Knowledge abuse CIA
S – Database Internal Misconfiguration -IA
S – Database Internal Abuse of functionality -IA

Dies sind schlussendlich die Fakten. Basieren also nicht nur auf subjektiver Wahrnehmung, sondern gewähren eine verlässliche Ausgangslage für die Weiterverarbeitung im Rahmen eines Risk Management Frameworks.

Die VERIS Database ist als JSON-Datei verfügbar, wodurch sie einfach mittels R, Phyton/Panda/Jupiter und anderen Tools geparst werden kann. Im Rahmen unserer Risikoanalysen tendiern wir dazu, JSON als CSV zu nutzen und die für uns relevanten Parameter innerhalb von Worksheets weiterzuverwenden.

Andere Ressourcen

VERIS Database ist nicht die einzige Datenquelle dieser Art, die sich im Internet findet. Dies sind einige weitere Datenbanken, die Incidents dokumentieren:

Desweiteren einige CTI-Quellen:

Fazit

Bei Betrachtungen dieser Art ist es wichtig, dass das genutzte Modell verschiedene Variablen mitberücksichtigen kann. Intuition ist zwar eine gute Sache, doch schlussendlich sollen harte Fakten massgebend für eine Entscheidung sein. Im Cyber-Bereich ist dies keine einfache Aufgabe, da trotz ständigem Bekanntwerden neuer Incidents die öffentlich verfügbaren Details zu diesen oftmals ausbleiben. Verschiedene Initiativen haben in den vergangenen Jahren versucht derlei Daten zugänglich zu machen. Es liegt jedoch noch ein weiter Weg vor uns, bis wir alle wirklich davon profitieren können.

Über den Autor

Rocco Gagliardi

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Routing, Firewalling und Log Management.

Links

Sie wollen eine KI evaluieren oder entwickeln?

Unsere Spezialisten kontaktieren Sie gern!

×
Schutz vor Phishing

Schutz vor Phishing

Rocco Gagliardi

Logging

Logging

Rocco Gagliardi

IT Security Policies

IT Security Policies

Rocco Gagliardi

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv