ISGroup Cybersicherheitsberatung

Threat Intelligence im Ethical Hacking: Der Schlüssel zur proaktiven Sicherheit

Ein unverzichtbares Element für die Effektivität des modernen Ethical Hackings ist die Threat Intelligence (Bedrohungsanalyse). Dabei handelt es sich um eine Sammlung detaillierter und kontextualisierter Erkenntnisse über Cyberbedrohungen, ihre Urheber, deren Motivationen und operative Vorgehensweisen.

Dieser Artikel untersucht die lebenswichtige Rolle der Threat Intelligence in der zeitgenössischen Praxis des Ethical Hackings. Wir werden sehen, wie sie für die Erstellung realistischer Angriffsszenarien, die Verbesserung von Aufklärungsaktivitäten und den Austausch wertvoller Informationen mit internen Teams unerlässlich ist. Das ultimative Ziel ist die Stärkung der Unternehmenssicherheit.

Definition von Threat Intelligence und ihre Bedeutung für die Cybersicherheit

Threat Intelligence ist die Gesamtheit der Informationen, die gesammelt, transformiert, analysiert, interpretiert oder angereichert wurden, um den notwendigen Kontext für Entscheidungsprozesse zu liefern und ein relevantes sowie ausreichendes Verständnis zu ermöglichen. Das Ziel ist es, die Auswirkungen eines IKT-bezogenen Vorfalls oder einer Cyberbedrohung zu mindern. Threat Intelligence geht über die bloße Sammlung von Daten zu Bedrohungen hinaus und konzentriert sich auf deren Analyse und Kontextualisierung, um sie wirklich nützlich und umsetzbar zu machen.

Ihre Bedeutung für die Cybersicherheit liegt in der Fähigkeit, einen überwiegend reaktiven Sicherheitsansatz in einen proaktiven und sogar prädiktiven zu verwandeln. Anstatt nur auf Vorfälle zu reagieren, wenn sie eintreten, ermöglicht Threat Intelligence Unternehmen, die spezifische Bedrohungslandschaft für ihre Branche und Infrastruktur besser zu verstehen, potenzielle Angriffe vorherzusehen und effektivere Abwehrmaßnahmen vorzubereiten.

Die untrennbare Verbindung zwischen Threat Intelligence und Ethical Hacking

Threat Intelligence integriert sich nahtlos in das Ethical Hacking und liefert Sicherheitsexperten die entscheidenden Informationen für gezieltere und realistischere Bewertungen. Sich auf einen strukturierten und durch Threat Intelligence geleiteten Ethical-Hacking-Service zu verlassen, ermöglicht es, Angriffsszenarien zu simulieren, die die konkreten Bedrohungen widerspiegeln, denen die Organisation tatsächlich ausgesetzt ist. Insbesondere:

  • Erstellung realistischer Angriffsszenarien: Dies ermöglicht es Ethical Hackern, ihre Angriffsszenarien auf konkrete und aktuelle Bedrohungen zu stützen. Das Verständnis der TTPs (Taktiken, Techniken und Verfahren), die von bestimmten Bedrohungsgruppen oder in bestimmten Kontexten verwendet werden, erlaubt es, Angriffe zu simulieren, die das Unternehmen tatsächlich erleiden könnte, wodurch die Tests wesentlich relevanter, realistischer und nützlicher werden.

Zum Beispiel ermöglicht die Kenntnis der für eine Advanced Persistent Threat (APT) typischen “Lateral Movement”-Techniken, die Fähigkeit des Unternehmens gezielt zu testen, solche Bewegungen innerhalb des Netzwerks zu erkennen und einzudämmen. Um die Fachterminologie in diesem Bereich zu vertiefen, ist ein Blick in das Glossar der wichtigsten Begriffe des Ethical Hackings hilfreich.

  • Verbesserung der Aufklärungsaktivitäten (Reconnaissance): Die Aufklärungsphase ist beim Ethical Hacking von grundlegender Bedeutung, da sie jedem Ausnutzungsversuch vorausgeht. Threat Intelligence bereichert diese Phase durch detaillierte Informationen über potenzielle Ziele, bekannte Schwachstellen in Verbindung mit bestimmten Technologien und die von echten Angreifern verwendeten Informationsbeschaffungstechniken (OSINT, HUMINT). Einen Angriff bereits in dieser Phase zu erkennen, ist entscheidend, um die Auswirkungen rechtzeitig zu begrenzen und den Schaden einzudämmen.

Zu wissen, welche Informationen ein Angreifer öffentlich über ein Unternehmen suchen könnte (via OSINT) oder welche Social-Engineering-Techniken (basierend auf HUMINT) effektiv sein könnten, leitet den Ethical Hacker bei der Simulation dieser vorbereitenden Phasen.

  • Austausch wertvoller Informationen mit internen Teams: Die Ergebnisse einer Ethical-Hacking-Übung werden, wenn sie mit der Threat Intelligence kontextualisiert werden, die die Simulation geleitet hat, zu einem mächtigen Werkzeug, um interne Sicherheitsteams zu sensibilisieren und zu schulen.

Zu verstehen, wie spezifische Akteure das Unternehmen bedrohen und welche Schwachstellen ausgenutzt wurden, hilft dem Sicherheitsteam, seine Sanierungs- und Verteidigungsbemühungen zu fokussieren. Darüber hinaus kann die geteilte Threat Intelligence die Prozesse der Incident Response verbessern, indem sie einen breiteren Kontext für die Analyse und Bewältigung realer Vorfälle bietet. Zu diesem Punkt lohnt es sich zu vertiefen, wie Ethical Hacking zur Bewältigung von IKT-Vorfällen beiträgt.

Arten von Threat Intelligence und ihre Relevanz für Ethical Hacking

Threat Intelligence kann je nach Detaillierungsgrad, Zweck und Zielgruppe in verschiedene Kategorien eingeteilt werden:

  • Strategische Threat Intelligence: Bietet einen Überblick über die Bedrohungslandschaft auf hoher Ebene, indem Trends, Motivationen der Angreifer und potenzielle Risiken für das Unternehmen und seine Branche analysiert werden.

Diese Art ist nützlich, um die allgemeine Sicherheitsstrategie zu definieren und den Kontext zu verstehen, in dem Bedrohungen operieren. Beim Ethical Hacking hilft strategische Threat Intelligence dabei, die wahrscheinlichsten Bedrohungsarten für ein Unternehmen zu identifizieren und die Auswahl der zu simulierenden Angriffsszenarien zu leiten.

  • Operative Threat Intelligence: Konzentriert sich auf die Fähigkeiten der Angreifer, ihre TTPs und vergangene Angriffskampagnen. Grundlegend, um zu verstehen, wie, wann und wo ein Angriff stattfinden könnte und über welche technischen Fähigkeiten die Angreifer verfügen.

Für Ethical Hacker ist operative Threat Intelligence entscheidend, um die spezifischen Aktionen der Angreifer zu emulieren, indem sie deren eigene Techniken und Verfahren während der Tests anwenden. Frameworks wie MITRE ATT&CK bieten eine umfangreiche Bibliothek von TTPs, die von echten Akteuren verwendet werden, und ermöglichen es Ethical Hackern, fortgeschrittene Angriffe wie “Privilege Escalation” und “Lateral Movement” zu simulieren.

  • Taktische Threat Intelligence: Liefert spezifische technische Details zu Werkzeugen, Malware, Infrastrukturen und Indikatoren für eine Kompromittierung (IOCs), die von Angreifern verwendet werden. Diese Intelligenz ist unmittelbar umsetzbar und kann genutzt werden, um Erkennungs- und Präventionssysteme zu verbessern.

Beim Ethical Hacking ermöglicht taktische Threat Intelligence die Simulation der Verwendung spezifischer Exploits oder Malware, wodurch die Wirksamkeit der technischen Abwehrmaßnahmen des Unternehmens getestet wird.
Zum Beispiel ermöglicht die Kenntnis der IOCs, die mit einer bestimmten Phishing-Kampagne verbunden sind, die Simulation des Eingangs schädlicher E-Mails und die Überprüfung, ob die Sicherheitssysteme diese korrekt erkennen.

Der Lebenszyklus


Die Hauptphasen umfassen:

  1. Planung: Klare Definition der Ziele und der Informationen, die zu deren Erreichung erforderlich sind. Im Kontext des Ethical Hackings übersetzt sich diese Phase in die Definition der Testziele und die Identifizierung der für diese Ziele relevanten Bedrohungsinformationen.
  2. Sammlung: Erfassung von Daten aus verschiedenen Quellen, sowohl intern (Logs, Audits, Firewalls) als auch extern (OSINT, Dark Web, Threat-Intelligence-Feeds). Während der Vorbereitung eines Ethical Hackings umfasst diese Phase das Sammeln von Informationen über das Ziel (via OSINT) und über wahrscheinliche Bedrohungen (basierend auf Threat-Intelligence-Feeds, Sicherheitsberichten usw.).
  3. Verarbeitung: Organisation und Strukturierung der gesammelten Rohdaten, um sie analysierbar zu machen. In dieser Phase werden die gesammelten Informationen gefiltert und korreliert, um “Rauschen” zu eliminieren und wertvolle Daten für die Angriffssimulation zu identifizieren.
  4. Analyse: Eingehende Untersuchung der verarbeiteten Daten, um Muster, Trends, spezifische Bedrohungen und Indikatoren für eine Kompromittierung zu identifizieren. Dies ist die entscheidende Phase, in der Threat-Intelligence-Experten die Informationen kontextualisieren und in nützliches Wissen für das Ethical Hacking umwandeln, indem sie die wahrscheinlichsten TTPs und potenziellen Angriffsvektoren identifizieren.
  5. Verbreitung: Austausch der analysierten Informationen mit den beteiligten Parteien (Ethical-Hacking-Team, internes Sicherheitsteam). Die verarbeitete Threat Intelligence wird dem Ethical-Hacking-Team zur Verfügung gestellt, um die Erstellung der Angriffsszenarien zu leiten, und anschließend mit dem Sicherheitsteam geteilt, um das Verständnis der Bedrohungen und die Verteidigungsfähigkeiten zu verbessern.
  6. Feedback: Überprüfung des Lebenszyklus und der erzielten Ergebnisse, um zukünftige Threat-Intelligence- und Ethical-Hacking-Aktivitäten zu verbessern. Nach dem Test werden die Ergebnisse im Lichte der verwendeten Threat Intelligence analysiert, wobei identifiziert wird, was funktioniert hat und was im Prozess verbessert werden kann.
  7. An diesem Punkt endet der Zyklus nicht: Threat Intelligence ist ein kontinuierlicher Prozess. Sobald die letzte Phase abgeschlossen ist, beginnt man von vorne und aktualisiert die Analyse ständig basierend auf neu auftretenden Bedrohungen.

Anwendung im Ethical Hacking: Das Beispiel TIBER-EU

Ein konkretes Beispiel dafür, wie Threat Intelligence in einem strukturierten Ethical-Hacking-Framework angewendet wird, ist TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). TIBER-EU ist ein europäisches Framework zur Durchführung von “Red Teaming”-Tests, die auf realen Bedrohungsinformationen basieren und speziell für den Finanzsektor konzipiert wurden.

Im Kontext von TIBER-EU:

  • Ein Threat Intelligence Provider (TIP) sammelt und analysiert die spezifische Threat Intelligence für das Ziel-Finanzinstitut unter Berücksichtigung seines Geschäfts, seines operativen Umfelds und der relevanten Bedrohungslandschaft (dies beinhaltet die Nutzung von OSINT und potenziell HUMINT).
  • Der TIP erstellt einen Targeted Threat Intelligence Report (TTIR), der realistische Angriffsszenarien skizziert, basierend auf den TTPs von Bedrohungsakteuren, die das Unternehmen und seine kritischen oder wichtigen Funktionen (CIF) tatsächlich ins Visier nehmen könnten.
  • Ein Red Team nutzt den TTIR als Grundlage für die Planung und Durchführung des fortgeschrittenen Penetrationstests, indem es die in den Bedrohungsszenarien beschriebenen Angriffe gegen die Live-Produktionssysteme simuliert, die die CIF unterstützen.
  • Der gesamte Prozess wird von einem Control Team (CT) verwaltet und von einem Test Manager (TM) beaufsichtigt.

TIBER-EU betont die enge Korrelation zwischen Threat Intelligence und Testaktivitäten und stellt sicher, dass Ethical-Hacking-Übungen wirklich bedrohungsgesteuert sind und eine genaue Bewertung der Widerstandsfähigkeit des Unternehmens gegenüber fortgeschrittenen Cyberbedrohungen liefern.

Nutzung von OSINT und anderen Intelligence-Quellen

Wie erwähnt, ist die Informationsbeschaffung eine entscheidende Phase im Lebenszyklus der Threat Intelligence und ein grundlegendes Element für effektives Ethical Hacking. Unter den verschiedenen Intelligence-Quellen spielt Open Source Intelligence (OSINT) eine vorrangige Rolle.

OSINT bezieht sich auf Informationen, die offen aus öffentlich verfügbaren Quellen stammen, wie:

  • Dark-Web-Foren
  • Soziale Medien
  • Cybersicherheits-Blogs
  • Öffentliche Sicherheitsberichte
  • Schwachstellendatenbanken
  • GitHub-Repositories
  • Feeds mit Indikatoren für eine Kompromittierung (IOC) und Branchennachrichten

Alles nützliche Quellen, um Bedrohungen, bösartige Akteure und aufkommende Trends in der Cyberlandschaft zu identifizieren.

Ethical Hacker nutzen OSINT, um während der Aufklärungsphase Informationen über das Ziel zu sammeln, wie:

  • Informationen über das Unternehmen: Unternehmensstruktur, Schlüsselmitarbeiter, verwendete Technologien, Netzwerkinfrastruktur (oft ableitbar aus Stellenangeboten, LinkedIn-Profilen usw.).
  • Digitale Angriffsfläche: Websites, Webanwendungen, öffentliche IP-Adressen, Mailserver, eventuell öffentlich bekannt gewordene Schwachstellen.
  • Potenzielle Angriffsvektoren: Online-Gewohnheiten der Mitarbeiter, versehentlich preisgegebene sensible Informationen, vergangene Sicherheitsvorfälle.

Die anderen Quellen

Neben OSINT nutzen Ethical Hacker und Threat-Intelligence-Experten weitere Informationsquellen:

  • HUMINT (Human Intelligence): Informationen, die aus menschlichen Quellen gewonnen werden, nützlich, um die Dynamik innerhalb des Unternehmens, die mit Social Engineering verbundenen Schwachstellen und potenzielle “Insider”-Bedrohungen zu verstehen.
  • CCI (Cyber Counter-Intelligence): Untersuchung der Werkzeuge und Techniken, die von Angreifern im Cyberspace verwendet werden.
  • Indikatoren für eine Kompromittierung (IOCs): Digitale Spuren vergangener bösartiger Aktivitäten, wie schädliche IP-Adressen, bösartige Domainnamen, Hashes von Dateien, die als Malware bekannt sind.
  • Malware-Analyse: Technische Analyse des Verhaltens und der Struktur von Schadsoftware, um deren Funktionen und potenzielle Auswirkungen zu verstehen.
  • Threat-Intelligence-Feeds und -Plattformen: Kommerzielle und Open-Source-Dienste, die kuratierte und aktuelle Informationen zu Cyberbedrohungen liefern, oft angereichert durch Analysen und Kontext.
  • Information-Sharing-Vereinbarungen: Abkommen zum Austausch von Informationen über Bedrohungen zwischen Organisationen, Sektoren oder mit Regierungsstellen. Der Austausch von Threat Intelligence ermöglicht es, das kollektive Wissen über Bedrohungen zu erweitern und die Verteidigungsfähigkeit aller Teilnehmer zu verbessern.

Wie sieht die Zukunft der Threat Intelligence aus?

Laut einem Bericht von Grand View Research, Inc. wird der Markt für Cyber-Threat-Intelligence bis 2025 ein Volumen von 12,6 Milliarden Dollar erreichen, was die wachsende Nachfrage nach Experten in diesem Bereich belegt. Die Zukunft der Threat-Intelligence-Dienste ist vielversprechend, da Unternehmen trotz hoher Investitionen in die Cybersicherheit weiterhin anfällig für Cyberangriffe bleiben. Dieses Szenario unterstreicht die Notwendigkeit, traditionelle Ansätze aufzugeben und effektivere Lösungen wie Cyber-Threat-Intelligence zu übernehmen, die eine proaktive und prädiktive Risikoanalyse bietet.

Zusammenfassend lässt sich sagen, dass Threat Intelligence ein unverzichtbares Element für die moderne Praxis des Ethical Hackings darstellt. In das Verständnis und die Anwendung von Threat Intelligence innerhalb der Ethical-Hacking-Praktiken zu investieren, ist grundlegend, um Unternehmen in die Lage zu versetzen, die Bewegungen der Angreifer vorherzusehen, ihre eigenen Schwächen proaktiv zu identifizieren und eine solide Sicherheitsbasis in der dynamischen und komplexen Landschaft der Cyberbedrohungen aufzubauen.

[Callforaction-EH-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *