Wir fügen Technologie zu jedem Aspekt unseres Lebens hinzu. Das Netz wurde zu einem Medium, wie Luft und Wasser auch. Wie sie, kann es ebenfalls Gefahren weitertragen. Falls ein Land geftigen Attacken unterworfen ist, kann man es dann komplett vom Internet trennen? Eigentlich weiss niemand so recht, was dann passieren würde. Im Zeitalter von 5G nehmen die Chancen zu, dass ein physischer Angreifer KI zur Manipulation der transnationalen Kommunikation beiziehen würde: Totale oder teilweise Entkoppelung des Netzes würde praktisch unmöglich werden. Nachdem dieser simple Ansatz verworfen werden muss, muss über die nächstbeste Lösung diskutiert werden: Wir müssen Risiken analysieren, Zwischenfälle verhindern und bereit sein für eine Wiederherstellung.

Doch wie können wir die Prioritäten festlegen? Angreifer im virtuellen Raum tendieren eher zurück zu schauen als in die Zukunft. Deshalb ist es auch für uns von Vorteil zu diskutieren, was zuvor passiert ist und wie wir zukünftig damit umgehen können. Klingt soweit ganz einfach, doch was ist denn nun eigentlich bisher passiert?

Wir alle kennen die sogenannten Cyber Threat Intelligence (CTI) Reports. Diese oft alljährlich erscheinenden Dokumente voller Statistiken, Grafiken, Trends und Kommentaren. Und wir alle wissen eigentlich nicht genau, auf welchen oftmals proprietären Daten diese Resultate eigentlich basieren. Doch wenn wir die Berichte ein bisschen genauer anschauen, dann fallen uns ein paar Dinge auf:

• In einer Welt, die voller Standards ist, tendieren dennoch alle ihre eigentlichen Identifikatoren zu verwenden (einfaches Beispiel: Vietnam, VietNam, Viet Nam)
• Wir haben eine unüberschaubare Anzahl an detaillierten Informationen zu Incidents

Das Bedürfnis für Datenqualität

Bisher haben generische CTI Reports dabei geholfen, die wichtigsten Aspekte zu identifizieren. Jetzt geht es jedoch darum, einen Schritt weiter zu gehen und Details zu Akteuren, Opfern und Vektoren zu diskutieren. Das Verwalten von Listen zu Incidents und Statistiken ist grundsätzlich nützlich. Damit aber mit diesen Daten wirklich gearbeitet werden kann, müssen sie in Bezug auf technische, industrielle und soziale Aspekte normalisiert werden. Viele Listen und Datenbanken halten zwar Daten zu Akteuren, Opfern und betroffenen Assets bereit. Dabei wird oftmals aber nur eine sehr minimalistische Zusammenfassung der Ereignisse bereitgestellt.

Für einzelne Punkte eines Risk Management Prozesses ist es wichtig, dass verlässliche Daten und nicht nur ein Bauchgefühl vorhanden ist. Ein guter Datensatz sollte detaillierte Fragen beantworten, wie zum Beispiel, welche Rolle Flash-Drives bei einem Incidents gespielt haben. Und welche Incidents mit Flash-Drives für mich relevant sind, weil sie Organisationen ähnlicher Strukturen betroffen haben.

Entwicklung unser eigenen CTI Reports

Um einen eigenen Report ausarbeiten zu können, müssen Rohdaten in hoher Qualität herangezogen werden können. Wir können diese dann aus unserer Sicht untersuchen und die relevanten Fakten extrahieren. Dabei ist es nicht genug, sich auf einzelne Aspekte wie Finanz oder Malware zu fokussieren. Wir müssen möglichst exakt herausfinden, welche Akteure involviert waren, wer die Opfer waren und was angegriffen wurde.

Die VERIS Database bietet die am besten strukturierten und komplettesten Daten zu Incidents an. Incidents werden analysiert und die Daten – sofern vorhanden – normalisiert und verifiziert. Dadurch kann ein hohes Mass an Konsistenz gewährleistet werden. Jeder Incident wird dabei in vier Elemente aufgegliedert:

• Akteure: Wessen Aktionen haben ein Asset betroffen? Beinhaltet Typisierung und Länder.
• Aktionen: Welche Aktionen haben ein Asset betroffen? Beinhaltet Typisierung, Vektoren, Schwachstellen.
• Assets: Welches Asset ist betroffen? Datenbanken, Webserver, Dateiserver, etc.
• Attribute: Wie war das Asset betroffen? Welcher Teil des CIA-Modells.

Das Opfer wird einem Industriesektor zugewiesen, wobei man sich auf den NAICS Standard beruft (die Umwandlung nach SIC/ISIC oder anderen ist möglich). Dies ist von elementarer Wichtigkeit, um die Incidents den entsprechenden Firmen eines Sektors zuweisen zu können.

Zum Beispiel wir im Bereich Herstellung (Manufacturing) zwischen Erdöl- und Kohleförderung (Petroleum and Coal Products Manufacturing) und Chemische Herstellung (Chemical Manufacturing) unterschieden. Obwohl die Verfahren sehr ähnlich sind, können sich grosse Unterschiede – gerade bei der Nutzung von IT-Standards – auftun. Auf den ersten Blick können Eigenheiten und Unterschiede von Angriffen identifiziert werden, wodurch die eigene Risikomatrix angepasst werden kann:

Ausgehend von der Perspektive Sektor:

Ausgehend von der Perspektive Asset:

Dies sind schlussendlich die Fakten. Basieren also nicht nur auf subjektiver Wahrnehmung, sondern gewähren eine verlässliche Ausgangslage für die Weiterverarbeitung im Rahmen eines Risk Management Frameworks.

Die VERIS Database ist als JSON-Datei verfügbar, wodurch sie einfach mittels R, Phyton/Panda/Jupiter und anderen Tools geparst werden kann. Im Rahmen unserer Risikoanalysen tendiern wir dazu, JSON als CSV zu nutzen und die für uns relevanten Parameter innerhalb von Worksheets weiterzuverwenden.

Andere Ressourcen

VERIS Database ist nicht die einzige Datenquelle dieser Art, die sich im Internet findet. Dies sind einige weitere Datenbanken, die Incidents dokumentieren:

• Hackmageddon: Hackmageddon bietet eine von Paolo Passeri kurierte Liste von Incidents. Viele Statistiken.
• Data Breach Database: Auf Data Breaches spezialisierte Datenbank, die in erster Linie eine hübsche Liste von Ereignissen zeigt. Das Schlüsselelement ist die Anzahl der gestohlenen Datensätze.
• RISI Online Incident Database: Incident Database mit Beschreibung des Zwischenfalls und einer minimalistischen Bewertung. Wird nicht weitergeführt.
• DataLossDB: Blog über Incidents. Keine Struktur. Wird nicht weitergeführt.
• Wikipedia list of data breaches: Liste mit Incidents. Minimale Struktur verfügbar.
  DataBreaches.net: Liste von Incidents, aggregiert in Bezug auf verschiedene Quellen. Nicht strukturiert.

Desweiteren einige CTI-Quellen:

• Confronting an ‘Axis of cyber’: Sehr interessanter und aktueller Bericht mit Fokus auf das Verhalten der üblichen Verdächtigen.
• Global Cyber Strategies Index: Verlinkt die Cyber-Strategien verschiedener Länder und Kategorien: Militär, kritische Infrastruktur, Kriminalität, nationale Strategie, Privatsphäre, Inhalte, Kommerz.
• Center for Strategic & International Studies: Ein non-profit Forschungsorganisation, die sich mit den strategischen Ausrichtungen und Richtlinien von Entscheidungsträgern auseinandersetzt.
• Securelist: Kaspersky Lab Ressourcen.
• APT Groups and Operations: Ein Spreadsheet, das die öffentlich verfügbaren Informationen zu APT-Gruppen und -Aktivitäten normalisiert.
• Awesome-Threat-Intelligence: Eine kurierte Liste aller CTI-Ressourcen.

Fazit

Bei Betrachtungen dieser Art ist es wichtig, dass das genutzte Modell verschiedene Variablen mitberücksichtigen kann. Intuition ist zwar eine gute Sache, doch schlussendlich sollen harte Fakten massgebend für eine Entscheidung sein. Im Cyber-Bereich ist dies keine einfache Aufgabe, da trotz ständigem Bekanntwerden neuer Incidents die öffentlich verfügbaren Details zu diesen oftmals ausbleiben. Verschiedene Initiativen haben in den vergangenen Jahren versucht derlei Daten zugänglich zu machen. Es liegt jedoch noch ein weiter Weg vor uns, bis wir alle wirklich davon profitieren können.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• http://apt.threattracking.com
• http://veriscommunity.net/vcdb.html
• https://blog.datalossdb.org/2016/02/
• https://breachlevelindex.com/data-breach-database
• https://csis-prod.s3.amazonaws.com/s3fs-public/Cyber%20Regulation%20Index%20V2%20%28002%29.pdf
• https://en.wikipedia.org/wiki/List_of_data_breaches
• https://github.com/hslatman/awesome-threat-intelligence
• https://securelist.com/
• https://www.csis.org/programs/cybersecurity-and-governance/technology-policy-program/other-projects-cybersecurity
• https://www.databreaches.net/
• https://www.hackmageddon.com/
• https://www.ispionline.it/en/pubblicazione/confronting-axis-cyber-21458
• https://www.risidata.com/Database/event_date/desc
• https://www.us-cert.gov/Information-Sharing-Specifications-Cybersecurity