Kapitel 4. Finde

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Sei sehr, sehr leise; wir jagen Wabbits.

Elmer J. Fudd

Die erste Hälfte des F3EAD-Zyklus enthält die primären operativen Komponenten - Finden, Beheben und Beenden. Operativ bedeutet in diesem Zusammenhang eine geplante, koordinierte Aktion als Reaktion auf eine sich entwickelnde Situation. Für uns bedeutet das, dass wir auf unautorisierte Netzwerkaktivitäten reagieren. In den ersten drei Phasen werden die Angreifer aufgespürt, identifiziert und beseitigt. Wir nutzen nachrichtendienstliche Erkenntnisse, um diese operativen Maßnahmen zu unterstützen, aber das ist nicht der einzige Einsatz von Nachrichtendiensten. Im weiteren Verlauf des Prozesses fließen die Daten aus den operativen Phasen in die zweite Hälfte von F3EAD ein, die die nachrichtendienstlich ausgerichteten Phasen Exploit, Analyze und Disseminate enthält.

Dieses Kapitel konzentriert sich auf die Find-Phase, die der Ausgangspunkt für nachrichtendienstliche und operative Aktivitäten ist. Im traditionellen F3EAD-Zyklus beginnt die Find-Phase, wenn das Operationsteam hochwertige Einrichtungen identifiziert, die ins Visier genommen werden sollen. Bei der nachrichtendienstlich gesteuerten Reaktion auf Vorfälle werden in der Find-Phase die relevanten Gegner für die Reaktion auf Vorfälle identifiziert.

Im Falle eines laufenden Vorfalls hast du vielleicht schon erste Hinweise gefunden und musst nach weiteren Anhaltspunkten suchen, oder du suchst nach anomalen Aktivitäten in deinen Netzwerken. Unabhängig von der Situation musst du eine Vorstellung davon haben, wonach du suchen willst, bevor du etwas finden kannst.

In der Findungsphase können verschiedene Ansätze verfolgt werden. Welche Methode du wählst, sollte von der Art der Situation oder des Vorfalls sowie vom Ziel der Untersuchung abhängen. Verschiedene Methoden können auch kombiniert werden, um sicherzustellen, dass du alle möglichen Informationen gefunden hast. Die Methoden für die Findephase, die wir in diesem Kapitel behandeln, sind akteurszentriert, opferzentriert, anlagezentriert, fähigkeitszentriert, infrastrukturzentriert und - die Methode, die die meisten Leute am Ende öfter anwenden, als ihnen lieb ist - medienzentriertes Targeting.

Akteurszentriertes Targeting

Wenn es glaubwürdige Informationen über den Akteur hinter einem Angriff gibt oder du gebeten wirst, Informationen über eine bestimmte Angriffsgruppe zu liefern, ist es möglich, ein akteurszentriertes Targeting durchzuführen.

Akteurszentrierte Ermittlungen sind wie das Entwirren eines Pullovers: Du findest ein paar kleine Informationsfäden und fängst an, an jedem einzelnen zu ziehen. Diese Fäden können Aufschluss über die Taktiken und Techniken geben, die der Akteur gegen dich eingesetzt hat, und dir eine bessere Vorstellung davon vermitteln, wonach du sonst noch suchen musst. Das Ergebnis ist beeindruckend, aber es kann auch frustrierend sein. Du weißt nie, welcher Faden der Schlüssel ist, um die ganze Sache zu enträtseln. Du musst es einfach weiter versuchen. Dann stößt du plötzlich auf einen Aspekt, der die gesamte Untersuchung eröffnet. Beharrlichkeit und Glück sind die Schlüsselaspekte der akteurszentrierten Ermittlungen.

Schauspieler vs. Menschen

Mit der Identität ist es so eine Sache. Wenn wir von " ihnen" oder "ihnen" sprechen oder uns auf einen Gegner beziehen, ist es leicht, anzunehmen, dass wir die Leute hinter einem Angriff meinen. In einigen seltenen Fällen sprechen wir über die tatsächlichen Personen (das nennt man Attribution, worauf wir in den Kapiteln über Geheimdienste näher eingehen werden). Aber in den meisten Fällen, wenn wir von Akteuren sprechen, meinen wir eine Persona, die auf den Taktiken, Techniken und Prozeduren (TTPs) basiert, die zusammen verwendet werden, um ein Ziel zu erreichen. Wir fassen sie gedanklich zusammen und personifizieren sie, denn Menschen verstehen Geschichten, die auf diese Weise erzählt werden. Das ist eine Abstraktion, denn wir wissen normalerweise nicht, ob es sich um eine Person oder eine große Gruppe handelt. Wir nennen diese Abstraktion aus verknüpften TTPs + Ziel einen Akteur, unabhängig von der Anzahl der beteiligten Personen.

In manchen Fällen gehen die Einsatzkräfte mit einer Vorstellung davon in die Untersuchung, wer hinter dem Vorfall stecken könnte. Diese Informationen können aus verschiedenen Quellen stammen, z. B. wenn gestohlene Informationen in Untergrundforen zum Verkauf angeboten werden oder wenn eine dritte Partei die erste Meldung macht und einige Informationen über den Angreifer liefert. Wenn zumindest einige Details über den Angreifer bekannt sind, ist es möglich, in der Findungsphase ein akteurszentriertes Targeting durchzuführen.

Bei der Durchführung eines akteurszentrierten Targetings besteht der erste Schritt darin, die Informationen über den Angreifer zu überprüfen. Es ist wichtig zu verstehen, ob und warum der betreffende Angreifer dein Unternehmen angreifen würde. Die Entwicklung eines Bedrohungsmodells, das potenzielle Bedrohungen aus der Sicht eines Angreifers identifiziert, kann diesen Prozess beschleunigen und dabei helfen, die Arten von Daten oder Zugängen zu identifizieren, die möglicherweise ins Visier genommen wurden. Diese Informationen können auch in die Find-Phase einfließen, in der die Einsatzkräfte nach Anzeichen für Angreiferaktivitäten suchen.

Ein Bedrohungsmodell kann es dir ermöglichen, akteurszentriertes Targeting zu betreiben, auch wenn du keine konkreten Informationen über den Akteur hast, indem du potenzielle oder wahrscheinliche Angreifer bestimmst. Von den Hunderten beobachteter krimineller, aktivistischer und spionageorientierter Gruppen ist nur eine kleine Handvoll generell an deinem Unternehmen interessiert. Die Einschätzung, welche dieser Gruppen wirklich eine Bedrohung für dich darstellen, ist keine perfekte Wissenschaft, aber du musst deine beste Vermutung anstellen und bedenken, dass die Liste, die du erstellst, zwar nicht verbindlich ist, aber dennoch ein guter Ausgangspunkt sein kann. Nach einiger Zeit wird die Erfahrung dein bester Ratgeber für potenzielle Bedrohungen sein.

Sobald du die ersten Informationen validiert hast, besteht der nächste Schritt darin, so viele Informationen wie möglich über den Akteur zu ermitteln. Diese Informationen helfen dabei, das Zielpaket über den Angreifer zu erstellen, das es den Operatoren ermöglicht, den Angriff zu beheben und zu beenden. Zu den Informationen über den Akteur gehören auch Details über frühere Angriffe, sowohl intern als auch extern.

Mit bekannten Informationen beginnen

In fast jeder Situation sind einige Informationen über Bedrohungsakteure verfügbar, sei es durch frühere Vorfälle oder Angriffsversuche in deiner eigenen Umgebung (interne Informationen) oder durch Geheimdienstberichte von Forschern, Anbietern oder anderen Dritten (externe Informationen). Im Idealfall steht eine Kombination aus beiden Arten von Informationen zur Verfügung, um das beste Gesamtbild der Bedrohung zu erhalten.

In dieser Phase sind sowohl strategische als auch taktische Informationen nützlich. Strategische Informationen über die Akteure können Aufschluss über ihre potenzielle Motivation oder ihre Ziele geben, darüber, wohin sie letztendlich gelangen wollen und was sie tun wollen, wenn sie dort angekommen sind. Taktische Informationen können Details darüber liefern, wie ein Akteur typischerweise vorgeht, einschließlich seiner typischen Taktiken und Methoden, seiner bevorzugten Werkzeuge, der bisher genutzten Infrastruktur und anderer Informationen, nach denen in der Fix-Phase gesucht werden kann. Beide Arten von Informationen können dabei helfen, die Informationen, die in späteren Phasen gefunden werden, in einen Kontext zu stellen.

Es ist auch nützlich, wenn auch schwierig, zu verstehen, ob die Akteure eher allein operieren oder ob sie mit anderen Akteursgruppen zusammenarbeiten. Von einigen Spionagegruppen ist bekannt, dass sie die Aufgaben zwischen mehreren Gruppen aufteilen, wobei sich eine Gruppe auf den ersten Zugang konzentriert, eine andere auf die Erreichung der Ziele des Angriffs, eine weitere auf die Aufrechterhaltung des Zugangs für zukünftige Aktivitäten und so weiter. Wenn dies der Fall ist, kann es Anzeichen für mehrere Akteure und mehrere Aktivitäten in einem Netzwerk geben, aber weitere Analysen sollten durchgeführt werden, um festzustellen, ob die Aktivitäten in das Muster mehrerer zusammenarbeitender Akteursgruppen passen oder ob es möglich ist, dass mehrere Akteure unabhängig voneinander operieren.

Nützliche Informationen während der Findungsphase

In der Find-Phase besteht unser größtes Ziel darin, Informationen zu entwickeln, die im Fix-Teil des F3EAD-Zyklus nützlich sind. Die nützlichsten Informationen sind solche, die für den Akteur schwer zu ändern sind. David J. Bianco David J. Bianco hat dieses Konzept und seine Auswirkungen auf den Gegner in seiner Schmerzpyramide(siehe Abbildung 4-1) zusammengefasst.

Die Schmerzpyramide ist ein Modell, das zeigt, wie zentral verschiedene Arten von Informationen für die Werkzeugkette und die Ziele eines Akteurs sind und wie schwer sie zu ändern sind. Ganz unten befinden sich die grundlegenden Merkmale, die Angreifer regelmäßig ändern können, indem sie kleine Details der Malware oder der Netzwerkkonfigurationen verändern, z. B. indem sie die Malware neu kompilieren (um einen neuen Hash zu generieren) oder einen Domainnamen auf eine neue IP-Adresse für die Befehls- und Kontrollfunktion verweisen. An der Spitze stehen die Kernfähigkeiten, die einen Akteur ausmachen, wie z. B. Kerntechniken und -methoden.

Wie nutzen wir also dieses Modell? Bei der Schmerzpyramide geht es darum, den relativen Wert und die zeitliche Natur verschiedener Arten von Kompromissindikatoren (mehr dazu im nächsten Abschnitt!) und Akteursinformationen zu verstehen. Sind Hashes nutzlos? Keineswegs; sie sind in vielen Zusammenhängen unglaublich nützlich und bieten einen guten Ausgangspunkt für eine Untersuchung, aber sie ändern sich oft und leicht (oft nur durch das Neukompilieren einer Malware). Am anderen Ende des Spektrums hätte es ein Akteur, der sich darauf spezialisiert hat, Websites mit SQL-Injection zu kompromittieren, relativ schwer, seine Taktik auf Spear Phishing mit Zero-Day-Exploits umzustellen. Wenn es um Informationen über Bedrohungen geht, bevorzugen wir die Informationen an der Spitze der Pyramide und nutzen sie auch länger. Sowohl bei der Reaktion auf Vorfälle als auch bei der Analyse von Informationen ist es unser Ziel, in der Pyramide weiter nach oben zu kommen, damit es für den Angreifer schwieriger wird, uns zu entkommen.

Indikatoren für Kompromisse

Die einfachsten Daten, die man sammeln kann (und die daher auf der Schmerzpyramide weiter unten stehen), sind die so genannten Kompromissindikatoren (IOCs). IOCs können zwar in verschiedenen Formaten vorliegen, die wir im nächsten Kapitel näher erläutern werden, aber sie sind alle gleich definiert: eine Beschreibung technischer Merkmale, die auf eine bekannte Bedrohung, die Methodik eines Angreifers oder andere Hinweise auf eine Kompromittierung hinweisen.

IOCs konzentrieren sich in der Regel auf atomare Informationen am unteren Ende der Schmerzpyramide. Diese können unterteilt werden, je nachdem, wo die Information zu finden ist:

Dateisystem-Indikatoren: Datei-Hashes, Dateinamen, Strings, Pfade, Größen, Typen, Signierzertifikate
Speicheranzeigen: Zeichenketten und Speicherstrukturen
Netzwerk-Indikatoren: IP-Adressen, Hostnamen, Domainnamen, HTML-Pfade, Ports, SSL-Zertifikate

Jede Art von Indikator hat ihren eigenen Nutzen, ist an verschiedenen Stellen sichtbar (ob bei der Überwachung eines einzelnen Systems oder eines Netzwerks) und kann je nach Format mit verschiedenen Tools nützlich sein.

Verhalten

Weitaus komplexer für Angreifer sind Verhaltensweisen, die in der obersten Ebene der Schmerzpyramide als TTPs bezeichnet werden. Dies ist eine lose Gruppe, die über die Werkzeuge hinausgeht und sich stattdessen darauf konzentriert, wie sie eingesetzt werden, um die Ziele des Angreifers zu erreichen. Das Verhalten ist abstrakter als die TTPs und kann nicht so einfach beschrieben werden wie die IOCs.

Verhaltensweisen lassen sich oft am besten mit Hilfe der Kill Chain aus Kapitel 3 verstehen. Wie erreicht ein Angreifer die einzelnen Teile? Hier sind ein paar hypothetische Beispiele:

Aufklärungsarbeit: (Der Angreifer erstellt ein Profil von potenziellen Opfern anhand von Konferenzberichten, die er im Internet findet.
Bewaffnung: Der Angreifer verwendet ein Visual Basic for Applications (VBA)-Makro, das in ein Microsoft Word-Dokument eingebettet ist.
Lieferung: Der Angreifer sendet eine Phishing-E-Mail von einer gefälschten Industriegruppe, die auf Informationen aus den Konferenzprotokollen basiert, die bei der Aufklärung ermittelt wurden.
Ausbeutung: Das VBA-Makro des Angreifers wird ausgeführt, wenn das Opfer das angehängte Word-Dokument öffnet und die zweite Stufe der Nutzlast herunterlädt.
Installation: Der Angreifer nutzt einen Exploit zur Privilegienerweiterung, um eine zweite Nutzlast zu installieren, einen Remote-Access-Trojaner (RAT), der bei der Anmeldung gestartet wird und bestehen bleibt.
Kommando und Kontrolle: Der RAT nutzt Verbindungen zu einer Micro-Blogging-Seite, um verschlüsselte Kommunikation für Command and Control auszutauschen.
Maßnahmen zur Zielerreichung: Der Angreifer versucht, technische Schaltpläne und E-Mails zu stehlen, indem er sie komprimiert und über einen File-Sharing-Dienst hochlädt.

Bei der Erfassung von verhaltensbasierten Informationen in einem Kill-Chain-Format solltest du darauf achten, dass du alle Informationen so dokumentierst, dass du dich an sie erinnerst, damit du sie in zukünftigen Schritten der nachrichtendienstlichen Reaktion auf Vorfälle verwenden kannst.

Verwendung der Kill Chain

Das akteurzentrierte Targeting ist oft ein guter Ausgangspunkt, auch weil es in Kombination mit der Kill Chain das einfachste Modell darstellt. Alle Informationen, die du zu Beginn deiner Ermittlungen erhältst oder findest, stammen höchstwahrscheinlich aus einer oder, wenn du Glück hast, aus zwei Phasen der Tötungskette. Eine gute Strategie ist es, Hinweise aus den vorangehenden und nachfolgenden Phasen der Tötungskette zu nutzen, um herauszufinden, nach welchen anderen Informationen du suchen musst, um herauszufinden, wo deine vorhandenen Informationen innerhalb der Tötungskette liegen.

Wenn im vorherigen Beispiel die einzige Information, die du über den Angriff weißt, ist, dass die Angreifer während der Exploitation-Phase Makros in einem Word-Dokument verwendet haben, könntest du dieses Verhalten untersuchen und feststellen, dass du nach Artefakten im Zusammenhang mit der Privilegienerweiterung suchen solltest, um festzustellen, ob die Exploitation erfolgreich war. Eine andere Möglichkeit wäre, in der Kill Chain in die andere Richtung zu gehen und nach der Übermittlungsmethode zu suchen, indem du nach E-Mail-Absendern oder Betreffzeilen suchst, die mit den ursprünglichen Informationen, die du erhalten hast, in Verbindung stehen. Auch wenn die Angreifer nicht alles zu 100 % identisch gemacht haben, lassen sich Ähnlichkeiten feststellen, vor allem, wenn du weißt, wonach du suchen musst.

Road Runner: Aufbau einer ersten Kill Chain

Die Erstellung einer Kill Chain für einen neuen Angreifer ist ein guter Anfang, wenn du einen akteurszentrierten Ansatz verwendest, auch wenn es am Anfang nicht viele Dinge auszufüllen gibt. Das Tolle an der Kill Chain, selbst wenn sie mit Fragezeichen versehen ist, ist, dass sie eine Struktur dafür bietet, wonach du als Nächstes suchen musst, und dass sie leicht aktualisiert werden kann, wenn neue Informationen auftauchen.

In Kapitel 3 haben wir eine allgemeine Kill Chain mit den typischen Verhaltensweisen und TTPs eines Akteurs erstellt, den wir als Grey Spike kennen. Jetzt werden wir eine weitere Kill Chain erstellen, um eine bestimmte Kampagne (eine Reihe von Einbrüchen, die koordiniert gegen ein Ziel durchgeführt werden) aufzuzählen, die wir als Road Runner bezeichnen. In unserem Fall beginnen wir mit einem privaten Bericht, der an eine Reihe von Organisationen weitergegeben wird, die der unseren ähneln. Obwohl dieser Bericht extern erstellt wurde, spiegeln die Aktivitäten des Gegners das wider, was wir in letzter Zeit in unserem eigenen Netzwerk beobachtet haben. Anhand dieses Berichts und unserer internen Dokumentation über das Eindringen in das Netzwerk werden wir eine Kill Chain für Road Runner erstellen und dokumentieren, was wir wissen und welche Lücken wir haben.

TLP: Amber - Beratungsbericht der Industrie

Titel: APT-Gruppe nimmt staatliche und lokale Wahlkampagnen ins Visier

Version 1.0

Zusammenfassung: Immer mehr Wahlkämpfe auf Landes- und Bundesebene werden mit Phishing-E-Mails geführt.

Überblick: Drei staatliche und lokale Kampagnen haben berichtet, dass sie sehr gezielte Phishing-E-Mails erhalten haben, die ein waffenfähiges PDF enthalten. Die E-Mails ähnelten sich in Ton und Art, waren aber sehr individuell auf den Empfänger zugeschnitten. In zwei Fällen wurde die E-Mail geöffnet und auf dem System ausgeführt. In einem Fall ließ sich die PDF-Datei nicht öffnen und der Kampagnenleiter leitete sie an die IT-Abteilung weiter, die sie als Malware identifizierte, die auf eine Schwachstelle in älteren Versionen von Adobe Acrobat Viewer (CVE-2018-4916) abzielt (siehe Tabelle 4-1).

Tabelle 4-1. Indikatoren für Kompromisse
Typ	Indikator	Bühne
E-Mail Adresse	betty.smith@ymail.com	Lieferung
E-Mail Adresse	support.network@yoohoo.com	Lieferung
Dateiname	spende.pdf	Ausbeutung
Raute	b33bf51149b4a86574648351a26a846a	Ausbeutung

Darüber hinaus hat unsere Organisation, die mehrere Kampagnen in Sachen Cybersicherheit unterstützt, ähnliche Phishing-E-Mails identifiziert, die auf die von uns unterstützten Kampagnenmanager abzielen. Sowohl die Daten als auch die Taktiken stimmen überein. Unser interner Bericht ist hier:

Zusammenfassung der Veranstaltung - Road-Runner-Aktivitäten für das Kampagnenpersonal

In der Woche ab dem 14. Februar wurden mindestens drei E-Mails an wichtige Wahlkampfmitarbeiter verschickt, die eine nationale und bundesstaatliche Wahlkampagne im Bundesstaat Washington unterstützen. Diese E-Mails waren zwar nicht identisch, wiesen aber wesentliche Ähnlichkeiten auf, unter anderem in der Bewaffnung der PDFs.

E-Mail #1:

Thema: Weiterverfolgung der Fundraising-Bemühungen

Absender: charlene_abbott@yoohoo.com

Dateiname: sendingdonation.pdf

E-Mail #2:

Thema: Brauchst du Hilfe bei etwas?

Absender: matt_albridge@yoohoo.com

Dateiname: Freiwilliger_Lebenslauf.pdf

E-Mail #3:

Thema: Wurde die Spende angenommen?

Absender: tanya_smitherton@ymail.com

Dateiname: quittung.pdf

Alle drei Anhänge wurden von den Empfängern geöffnet, obwohl keines der Systeme betroffen war, da die auf den Systemen installierte Adobe-Version nicht für den Exploit anfällig war, der nach dem Öffnen der Dateien versucht wurde, sie auszuführen.

Road Runner: Die Entwicklung der Kill Chain

Jetzt haben wir eine erste Kill Chain, die auf unseren ersten Informationen über Road Runner basiert, die sowohl aus einem externen Bericht als auch aus internen Berichten über Einbrüche stammen. Obwohl es offensichtlich ist, dass wir große Lücken in der Struktur des Verständnisses haben, da uns mehrere Phasen komplett fehlen, fängt diese Aktivität an, sich zusammenzufügen. Wir kennen einige der Techniken, die dieser Akteur verwenden könnte, um in unser Unternehmen einzudringen, und aufgrund früherer Aktivitäten des Akteurs Grey Spike haben wir beträchtliche Informationen darüber, was er versuchen könnte, wenn er erst einmal drin ist. Unsere Erkenntnisse sind in Tabelle 4-2 zusammengefasst.

Tabelle 4-2. Entwicklung der Kill Chain für die Road Runner Aktivität
Phase der Tötungskette	Externe Berichterstattung	Interne Berichterstattung
Zielsetzung	Nationales und staatliches Kampagnenpersonal	Nationales und staatliches Kampagnenpersonal Manager für Kampagnenfinanzierung Stabschef Social Media Manager
Aufklärungsarbeit	Unbekannt, aber die Ziele werden öffentlich auf der Kampagnen-Website aufgeführt und ihre Berufsbezeichnungen werden in den sozialen Netzwerken veröffentlicht.	Unbekannt, aber die Ziele werden öffentlich auf der Kampagnen-Website aufgeführt und ihre Berufsbezeichnungen werden in den sozialen Netzwerken veröffentlicht.
Bewaffnung	Makros, die in PDFs eingebettet sind, die so gestaltet sind, dass sie für das Zielpublikum ansprechend sind.	Makros, die in PDFs eingebettet sind, die so gestaltet sind, dass sie für das Zielpublikum ansprechend sind.
Lieferung	Emails von: betty.smith@ymail.com support.network@yoohoo.com	Emails von: charlene_abbott@yoohoo.com matt_albridge@yoohoo.com tanya_smitherton@ymail.com
Ausbeutung	CVE-2018-4916	CVE-2018-4916 (erfolglos)
Installation	Unbekannt	Unbekannt
C2	Unbekannt	Unbekannt
Maßnahmen zur Zielerreichung	Unbekannt	Unbekannt

In den restlichen F3-Phasen (Finden, Beheben und Beenden) nutzen wir die Informationen, die wir haben, um den Gegner aufzuspüren und auf ihn zu reagieren und einige dieser Lücken zu füllen.

Ziele

Die Ziele des Akteurs sind die abstraktesten aller Informationen, die du in der Findungsphase sammeln wirst, denn in vielen Fällen müssen sie aus den Handlungen des Akteurs abgeleitet werden, anstatt klar formuliert zu sein. Das Ziel eines Akteurs gehört jedoch zu den Dingen, die sich selten ändern, selbst wenn es von einem Verteidiger identifiziert wird. Ein Angreifer, der ein bestimmtes Ziel verfolgt, kann seine Ziele nicht einfach ändern, um nicht entdeckt zu werden, auch wenn er seine TTPs, Werkzeuge oder Indikatoren ändert. Unabhängig davon, welche Technologien der Angreifer einsetzt und wie er sie einsetzt, muss er immer dorthin gehen, wo sein Ziel ist. Folglich sind Ziele der am wenigsten veränderbare Aspekt des Verhaltens eines Akteurs und sollten ein zentrales Attribut des Angreifers sein, das es zu verfolgen gilt.

Wenn ein Akteur seine Ziele ändert, ist das ein wichtiger Hinweis und sollte immer genau beobachtet werden. Es kann ein Zeichen für eine Verlagerung der Interessen sein oder die Grundlage für eine neue Art von Angriff. In jedem Fall gibt es einen wichtigen Einblick in die Zuordnung und die strategischen Interessen.

Die Ziele von Road Runner basieren ausschließlich auf der Viktimologie. Die einzige Aktivität, die wir bisher gesehen haben, ist das Angreifen von Wahlkampfmitarbeitern, was darauf hindeutet, dass es ihr Ziel ist, sich Zugang zu Netzwerken oder Geräten zu verschaffen, die mit den bevorstehenden Wahlen in den USA in Verbindung stehen. Wenn du dich an die Killerkette von Grey Spike in Kapitel 3 erinnerst, dann haben wir festgestellt, dass dieser Akteur eine vom Staat gesponserte Gruppe ist und sein Ziel auf die strategischen Bedürfnisse des Staates ausgerichtet ist.

Die Ziele an diesem Punkt lassen sich nur durch eine genauere Betrachtung der Opfer ableiten, auf die sie es abgesehen haben. Als Nächstes werden wir uns der opferzentrierten Zielsetzung zuwenden, um zu sehen, ob wir noch etwas anderes über diese Aktivität herausfinden können, das uns in den folgenden Phasen helfen könnte.

Opferorientiertes Targeting

Wenn du es mit einem aktiven Vorfall zu tun hast, hast du vielleicht oder vielleicht auch nicht die ersten Informationen über die Akteure, die an dem Vorfall beteiligt sind, aber du wirst mit ziemlicher Sicherheit einige Informationen über das Ziel oder das Opfer des Vorfalls haben. Bei der opferorientierten Zielerfassung wird versucht, herauszufinden, worauf der Angreifer aus war, wie er an einen bestimmten Punkt im Netzwerk gelangt ist und in manchen Fällen, warum er überhaupt dort ist.

Die opferzentrierte Zielsetzung baut auf der Viktimologie auf, einem Teilgebiet der Kriminologie, das die Beziehung zwischen Opfer und Täter untersucht, indem es die Ursachen und die Art des daraus resultierenden Leids untersucht. In der Kriminologie kann das Verständnis der Opfer den Ermittlern Aufschluss über den Täter geben. Wenn man versteht, wie das Opfer eine Straftat erlebt hat, z. B. ob es verängstigt oder eingeschüchtert war oder ob der Täter versucht hat, die Straftat vor ihm zu verbergen, kann man die Beweggründe und sogar die Absicht des Täters besser verstehen. Bei der nachrichtendienstlichen Reaktion auf Vorfälle neigen wir dazu, bei den Opfern an die Geräte oder Server zu denken, die angegriffen wurden. Obwohl dies sehr wichtige Details sind, die bei der opferzentrierten Zielerfassung erfasst werden müssen, sind die Auswirkungen auf die menschlichen Nutzer dieser Geräte ebenfalls wichtig, um die Art des Vorfalls und die Akteure zu verstehen.

Wie können wir also mit dem opferzentrierten Targeting beginnen? Ähnlich wie beim akteurzentrierten Targeting brauchst du für den Anfang einige grundlegende Informationen über die Opfer. Diese Informationen können Details über die angegriffenen Geräte, ihre menschlichen Nutzer und die Art der Nutzung des Geräts umfassen. Sobald wir die grundlegenden Informationen über die Opfer erfasst haben, kannst du anfangen, Fragen zu den Daten zu stellen: Warum wurden diese Opfer angegriffen? Welche Gemeinsamkeiten haben sie (wenn überhaupt)? Kann man aus den Opfern auf die Ziele oder Motivationen der Akteure schließen?

Zielscheiben versus Opfer

In der Finde-Phase ist es wichtig, sich daran zu erinnern, dass wir so viele Hinweise und "Puzzleteile" wie möglich ermitteln. Auch wenn die Erkenntnisse in dieser Phase hilfreich sind, analysieren wir noch nicht die endgültige Bedeutung der gefundenen Dinge. Diese Unterscheidung ist besonders wichtig, wenn es darum geht, zwischen Opfern und Zielen zu unterscheiden. Ein Ziel ist die Person, das Gerät oder die Einrichtung, mit der das Ziel des Gegners erreicht werden soll. Ein Opfer ist eine Person oder Sache, die von den Aktionen des Gegners betroffen ist, unabhängig davon, ob sie absichtlich identifiziert wurde, um Zugang zu ihrem Ziel zu erhalten, oder ob sie ein Kollateralschaden bei einem schief gelaufenen Eindringen war.

Bei vielen komplexen Vorfällen kann es vorkommen, dass der Feind viele Menschen in Mitleidenschaft zieht, um sein Ziel zu erreichen. Bei der opferzentrierten Zielerfassung musst du gedanklich zwischen den Opfern, die betroffen sind, und den Zielen des Gegners unterscheiden. Die Opfer können sicherlich Hinweise auf die Ziele geben, aber bis wir zu den nachrichtendienstlichen Phasen von F3EAD kommen, haben wir nicht alle Daten oder Prozesse, um ein solides analytisches Urteil zu fällen.

Opferorientiertes Targeting nutzen

In Kapitel 3 haben wir verschiedene Modelle besprochen, die während des Incident-Response-Prozesses - oder allgemein bei Intelligence-Prozessen - eingesetzt werden können. Ein Modell, das sich besonders gut für opferzentriertes Targeting eignet, ist das Diamantmodell. Das Diamantenmodell hat einen Scheitelpunkt, der speziell für die Erfassung der Opfer eines Einbruchs gedacht ist. Eine der Stärken des Rautenmodells ist die Möglichkeit, kontextbezogene Indikatoren zu erfassen, die die verschiedenen Eckpunkte miteinander verbinden und die Art der Beziehung zwischen den verschiedenen Komponenten des Modells definieren. Beim opferzentrierten Targeting bieten diese Kontextindikatoren wichtige Erkenntnisse, die dir helfen können, weitere bösartige Aktivitäten in deinem Netzwerk zu finden.

Verbindung zwischen Opfer und Infrastruktur

Die Angreifer müssen eine Art von Infrastruktur nutzen, um ihre Aktivitäten durchzuführen, und wenn sich diese Aktivitäten direkt auf ein Opfer auswirken, bedeutet das, dass es eine Verbindung zwischen den beiden gibt. In der Finde-Phase kann diese Beziehung zwischen Opfer und Infrastruktur genutzt werden, um weitere Opfer zu finden oder zusätzliche Informationen über den Gegner aufzudecken, indem man der Verbindung folgt und zum infrastrukturzentrierten Targeting übergeht, auf das wir später in diesem Kapitel eingehen werden.

Die Fragen, die du in Bezug auf diesen Punkt stellen kannst, sind:

Wie war die Verbindung zwischen dem Opfer und der Infrastruktur des Gegners beschaffen? Hat er sich an das Opfer gewandt, oder hat das Opfer sich an ihn gewandt?
Haben andere Geräte mit dieser Infrastruktur auf die gleiche Weise interagiert wie das Opfer?
Gibt es irgendetwas Einzigartiges an dieser Beziehung, auf das man sich konzentrieren könnte?

In unserem Road-Runner-Szenario würde ein Diamond Model die E-Mail-Adressen und die PDFs im Infrastruktur-Eckpunkt erfassen, da sie das Mittel waren, mit dem die Fähigkeit an das Opfer geliefert wurde. In jedem Fall handelte es sich bei der E-Mail-Adresse um einen allgemein klingenden Namen, der im politischen Bezirk des Opfers nicht ungewöhnlich war. Außerdem stimmten der Betreff und der Dateiname der PDF-Datei mit den typischen E-Mails überein, die die Zielperson erhält - jede E-Mail über Fundraising, die an einen Vorsitzenden für Wahlkampfspenden geschickt wird, zu überprüfen, wäre wahrscheinlich keine effektive Zeitverwendung. Ein möglicher Anhaltspunkt für diese Beziehung wäre die E-Mail-Domäne, die in diesem Fall kein gängiger Anbieter ist.

Verbindung zwischen Opfer und Fähigkeit

Ähnlich wie bei der Infrastruktur gibt es immer eine Beziehung zwischen der ausgebeuteten Fähigkeit und dem Opfer, obwohl das Opfer auf verschiedene Weise genutzt werden kann. Ein Opfer kann zum Beispiel der Benutzer sein, der auf einen Phishing-Link geklickt hat, oder der Computer, an dem er sich befand, als er auf den Link klickte. In jedem Fall kann die Beziehung charakterisiert und erfasst werden.

Die Fragen, die du in Bezug auf diesen Punkt stellen kannst, sind:

Was ist das Besondere an diesem Opfer, das diese Fähigkeit erfolgreich (oder erfolglos) gemacht hat ?
Sind andere Opfer für die gleichen Fähigkeiten anfällig?

Von Road Runner wissen wir, dass die von uns identifizierte Phishing-Kampagne darauf abzielte, CVE-2018-4916 auszunutzen, eine Schwachstelle in älteren Versionen von Adobe Acrobat Reader. Die Versuche, von denen wir wissen, waren erfolglos, weil die Empfänger keine anfälligen Versionen der Software verwendeten. Dies ist eine wichtige Information für die Finde-Phase, denn wir wissen, dass jedes Gerät mit einer anfälligen Version ein attraktives Ziel für den Angreifer sein könnte.

Verbindung zwischen Opfer und Gegenspieler

Während es im Diamantenmodell normalerweise keine direkte Verbindung zwischen einem Gegner und einem Opfer gibt, gibt es das Konzept eines Meta-Merkmals, das die soziopolitische Beziehung zwischen den beiden erfasst. Dieses Meta-Merkmal kann kontextbezogene Informationen darüber enthalten, warum ein Gegner daran interessiert ist, seine Fähigkeiten gegen ein bestimmtes Opfer oder eine bestimmte Gruppe von Opfern einzusetzen. Vor allem in der Finde-Phase kann die Beschreibung möglicher Beziehungen zwischen dem Gegner und dem Opfer dabei helfen, zusätzliche Datenpunkte zu identifizieren, nach denen wir suchen, um so viele Daten wie möglich zu sammeln.

Einige Fragen, die du dir stellen solltest, wenn du die Beziehung zwischen Opfer und Gegner untersuchst:

Was würde ein Gegner erreichen, wenn er dieses Opfer ins Visier nimmt? (Erinnere dich daran, dass das Opfer das Ziel oder nur ein Zwischenstopp auf dem Weg zum Ziel gewesen sein kann; untersuche beide Möglichkeiten).
Gibt es noch andere Opfer, die ähnliche Merkmale aufweisen und möglicherweise in ähnlicher Weise angegriffen wurden?

Mit Hilfe der opferzentrierten Zielgruppenansprache haben wir herausgefunden, dass diese wichtigen Kampagnenmitarbeiter wahrscheinlich weiterhin ins Visier genommen werden, da sie die besten Quellen für die Art von Informationen sind, die Grey Spike für die Road Runner-Operation benötigt.

Vermögenszentrierte Zielsetzung

Während das opferzentrierte Targeting die Opfer und die Geräte der Opfer betrachtet, die von einem Akteur angegriffen werden oder wurden, und diese Informationen nutzt, um weitere Anzeichen für Aktivitäten zu finden, ist das anlagenzentrierte Targeting auch dann möglich, wenn es keine bestätigten Aktivitäten des Gegners gibt. Beim Asset-Centric Targeting dreht sich alles um das, was du schützen willst, und es konzentriert sich auf die spezifischen Technologien, die Operationen ermöglichen. Das kann unglaublich nützlich sein, wenn du keine konkreten Informationen über einen Angriff auf dein Netzwerk hast und wissen willst, wo und wie du nach Anzeichen für einen Angriff oder ein Eindringen suchen solltest.

Eines der bemerkenswertesten Beispiele für diese Form des Angriffs sind industrielle Kontrollsysteme (ICS). Diese spezialisierten Systeme, die z. B. Dämme, Fabriken und Stromnetze steuern, erfordern ein spezielles Fachwissen, um sie zu nutzen und anzugreifen. Ein Threat-Intelligence-Team kann ganze Klassen von Angreifern einschränken, wenn sie in der Lage sind, ICS zu verstehen, Zugang zu ihnen zu haben und Angriffe auf sie zu testen. Wir sprechen hier nicht nur über sehr komplexe, sondern in vielen Fällen auch über sehr teure Systeme. In der Pre-Kill-Chain-Phase eines Angreifers müssen sie unglaublich viel Zeit und Mühe investieren, um die richtige Software zum Aufspüren von Schwachstellen und die richtigen Umgebungen zum Testen von Exploits zu bekommen.

Zu wissen, wer in der Lage ist, die von dir geschützten Systeme anzugreifen, ist der Schlüssel zum Asset-Centric Targeting, denn so kannst du dich auf die Arten von Indikatoren und Tools konzentrieren, die für einen Angriff auf deine Technologie nützlich sind. Jedes zusätzliche System, das ein Angreifer angreift, ist mit Opportunitätskosten verbunden, d.h. er kann nicht die gleiche Zeit und die gleichen Ressourcen für eine andere Art von Technologie aufwenden, für die er die gleichen Ressourcen benötigt. Ein Team, das zum Beispiel ICS angreift, hat nicht die Ressourcen, die es für einen Angriff auf die Automobiltechnologie benötigt.

Die Forschung von Dritten kann technologieorientierte Angriffe sowohl unterstützen als auch schädigen, entweder indem sie den Angreifern bei der Grundlagenforschung hilft (und ihnen damit Zeit und Ressourcen spart) oder indem sie den Verteidigern hilft zu verstehen, wie die Angreifer vorgehen könnten und wie sie sich verteidigen können. Die meisten Verteidiger haben nur wenig Bedarf, sich mit diesen themenspezifischen Fragen zu befassen, aber sie bieten einen gezielten Blick auf das Paradigma Angreifer/Verteidiger.

Asset-zentriertes Targeting nutzen

Da sich das Asset-Centric Targeting auf die Vermögenswerte konzentriert, auf die es ein Angreifer abgesehen hat, werden in den meisten Fällen diejenigen Organisationen am meisten von dieser Methode profitieren, die eine besondere Art von Technologie entwickeln, z. B. industrielle Steuerung, Energieerzeugung, selbstfahrende Autos, fliegende Drohnen oder sogar Geräte des Internets der Dinge. Natürlich hat jede Organisation ihre eigenen spezifischen Überlegungen und daher sollte das Asset-Centric Targeting mit einem ähnlichen, aber angepassten Kill-Chain-Ansatz durchgeführt werden. Robert Lee, ein bekannter ICS-Experte, hat in seinem Artikel "The Industrial Control System Cyber Kill Chain" gezeigt, wie man eine maßgeschneiderte Kill Chain für Anlagen erstellt .

Wie können wir das Asset-Centric Targeting in unserem Road Runner-Szenario einsetzen? Bisher haben wir ein paar Informationen, die uns helfen könnten, auch wenn sie an dieser Stelle vielleicht zu weit gefasst sind. Wir wissen, dass das Road Runner-Team mit Phishing-E-Mails, die eine Schwachstelle in einem PDF-Reader ausnutzen sollen, auf Einzelpersonen gezielt hat. Auch wenn die Angreifer Personen ins Visier nehmen, von denen sie glauben, dass sie für diesen Angriff anfällig sind, scheint es, dass sie nur bestimmte Personen ins Visier nehmen, und wir haben nicht genug Informationen, um festzustellen, ob sie auch bestimmte Systeme ins Visier nehmen oder ob sie nach dem ersten Zugriff auf weitere Systeme übergehen. Wenn das Ziel der Angreifer das Sammeln von Informationen ist, kann man schon eine ganze Menge erreichen, wenn man sich Zugang zum E-Mail-Konto eines wichtigen Mitarbeiters verschafft.

Beim Asset-Centric-Targeting geht es vor allem um genaue Angaben, aber zum jetzigen Zeitpunkt haben wir noch nicht genug Informationen über die Aktivitäten des Gegners, um diese Angaben machen zu können. Wir werden weiterhin so viele Informationen wie möglich für die Find-Phase sammeln, aber das Bemerkenswerteste ist, dass wir eine Informationslücke feststellen. Wenn es wichtig wird, die Ziele des Gegners besser zu verstehen, müssen wir diese Lücke schließen, aber im Moment haben wir genügend Informationen, um mit der Find-Phase fortzufahren.

Fähigkeitsorientiertes Targeting

Wie du vielleicht mitbekommen hast, ist einer der Hauptpunkte der Findungsphase - und der Grund dafür, dass es so viele verschiedene Ansätze gibt -, dass ein Großteil dieser Arbeit auf dem Konzept basiert, das zu tun, was wir mit dem tun können, was wir haben. Im Laufe der Jahre hat sich der Austausch von Informationen zwischen verschiedenen Unternehmen sowie zwischen der Regierung und dem privaten Sektor verbessert, so dass immer mehr Informationen zur Verfügung stehen, die bei der Aufdeckung bösartiger Aktivitäten helfen können. Eine Art von Informationen, die unglaublich nützlich sein kann, sind Informationen über die Fähigkeiten des Gegners.

Fähigkeiten sind die Werkzeuge und Methoden, die Angreifer einsetzen, um ihre Ziele zu erreichen. Viele denken bei Fähigkeiten an Zero-Day-Exploits und polymorphe Malware, aber es ist wichtig, sich daran zu erinnern, dass Angreifer oft das am wenigsten ausgeklügelte Werkzeug benutzen, um ihre Ziele zu erreichen. Wenn du das im Hinterkopf behältst, kannst du verhindern, dass du eine weniger ausgeklügelte Methode für den Zugriff auf ein Netzwerk oder dessen Durchdringung übersiehst.

Eine der häufigsten Anwendungen von fähigkeitsorientiertem Targeting ist das Ausweichen auf ein Stück Malware, das in der Umgebung gefunden wurde. Mit Tools wie VirusTotal oder einem Informationsportal eines Antivirenanbieters kann ein Analyst schnell einen Malware-Hash, einen Dateinamen oder einen anderen Indikator von einem kompromittierten System eingeben und damit beginnen, andere Elemente zu identifizieren, die in der Find-Phase helfen können.

Fähigkeitsorientiertes Targeting nutzen

Die Arten von Indikatoren, die mit Hilfe von fähigkeitsorientiertem Targeting gedreht werden können, befinden sich eher am unteren Ende der Schmerzpyramide, die wir weiter oben in diesem Kapitel besprochen haben - Hashes, Dateinamen und Strings. Das ist aber nicht schlimm! In der Finde-Phase geht es darum, so viel wie möglich aufzuzählen, und das Pivoting einer Fähigkeit ist eine gute Möglichkeit, zusätzliche Informationen zu finden. Es ist auch möglich, ähnliche Elemente zu gruppieren, um mehr Erkenntnisse zu gewinnen und in der Pyramide aufzusteigen. Sieh dir zum Beispiel die Dateinamen der Anhänge an, die an die Mitarbeiter der Kampagne geschickt werden:

Quittung.pdf
Sendingdonation.pdf
Ehrenamtlicher_Lebenslauf.pdf

Es gibt hier ein klares Muster, und obwohl es vielleicht nicht sinnvoll ist, den Posteingang des Opfers nach anderen Anhängen mit Quittungen oder Lebensläufen zu durchsuchen (sie bekommen wahrscheinlich eine Menge davon!), könnte es etwas sein, wonach man in einer Malware-Datenbank suchen sollte, vor allem, wenn es mit anderen Informationen kombiniert werden kann, die in der Fähigkeit gefunden wurden, wie z. B. eine IP, die die Malware nach der Ausführung erreicht, Signaturinformationen oder andere Arten von Metadaten. Es ist wichtig zu vermeiden, dass du dich mit diesen Pivots in ein Kaninchenloch begibst. Eine allgemeine Faustregel in der Find-Phase lautet, dass du zwei Pivots von einer Information entfernt anhalten solltest, von der du weißt, dass sie für die Untersuchung relevant ist. In den späteren Phasen von F3EAD, vor allem in den Phasen der Datenauswertung und -analyse, kannst du noch weiter ausholen, da du dann viel mehr Kontext hast, der dich leitet und dich davor bewahrt, an den falschen Fäden zu ziehen.

Malware zur Identifizierung von Bedrohungsakteuren nutzen

Vor Jahren war es üblich, Angriffe aufgrund von Malware oder anderen Tools, die bei Angriffen verwendet wurden, einer bestimmten Gruppe zuzuordnen. PlugX ist ein perfektes Beispiel dafür. Ursprünglich wurde angenommen, dass es ausschließlich von der NCPH-Gruppe entwickelt und verwendet wurde. Seitdem wurde PlugX verkauft oder weitergegeben und wird von einer Vielzahl von Bedrohungsakteuren genutzt. Die Zeit der Malware-basierten Attribution ist vorbei, da viele Angriffstools und RATs von verschiedenen Gruppen von Bedrohungsakteuren veröffentlicht, verkauft und wiederverwendet wurden. Anstatt die Zuordnung ausschließlich auf Malware zu stützen, ist es wichtig, eine Reihe anderer Faktoren zu berücksichtigen, darunter Ziele und Motivationen sowie Verhaltensweisen und andere Taktiken. Die Identifizierung bereits verwendeter Malware ist jedoch in der Findungsphase nützlich und kann zur Identifizierung zusätzlicher Informationen führen, die für die Untersuchung nützlich sind.

Im Fall von Road Runner haben wir einige grundlegende Informationen über die Arten von Fähigkeiten, die sie bereits gegen uns eingesetzt haben, und wie wir bereits bei der akteurs- und opferzentrierten Zielerfassung besprochen haben, können wir anhand der Proben, zu denen wir Zugang haben, und des Hashes, der in dem externen Bericht, den wir erhalten haben, enthalten ist, möglicherweise weitere Informationen finden. Bei dem Akteur, den wir hinter Road Runner vermuten, Grey Spike, gehen wir davon aus, dass er auch andere Werkzeuge in seinem Arsenal hat, und können Informationen über diese Fähigkeiten nutzen.

Medienorientiertes Targeting

Das ist ein bisschen ironisch gemeint, aber eine der häufigsten Targeting-Methoden, die in vielen Unternehmen angewendet wird, wird oft als "CNN-zentriertes Targeting" oder "medienzentriertes Targeting" bezeichnet. In der Regel beginnt es damit, dass eine Führungskraft etwas in den Nachrichten sieht oder einen beiläufigen Kommentar von jemandem hört, der dann an das Bedrohungsanalyse-Team weitergegeben wird, das dann die Auswirkungen der Bedrohung analysieren muss.

Lass uns das klarstellen: Diese Art von Ermittlungen ist nicht immer eine schlechte Sache. Es gibt einen Grund, warum selbst die größten traditionellen Nachrichtendienste Nachrichtenquellen überwachen - Journalismus und Nachrichtendienst sind eng miteinander verbunden. Aktuelle Ereignisse können oft einen dramatischen Einfluss auf den Informationsbedarf einer Organisation haben. Der Schlüssel liegt darin, aus einer scheinbar unscharfen Anfrage etwas Stichhaltiges und klar Definiertes zu machen.

Ein Beispiel: Ein Stakeholder kommt zu dir, nachdem er den Nachrichtenbeitrag "Chinesische Hacker haben US-Firmen infiltriert" gesehen hat , und möchte wissen, ob dies für dein Unternehmen relevant ist. Bei der Beantwortung dieser Frage gibt es ein paar wichtige Punkte zu bedenken:

Nimm dir zunächst die Zeit, den Artikel zu lesen und das Video und die dazugehörigen Medien anzusehen. Wer sind die Gruppen und Personen, auf die Bezug genommen wird? Konzentriere dich nicht nur auf die Angreifer, sondern auch auf die Opfer und Dritte.
In diesem Artikel geht es um eine bestimmte Gruppe von Angreifern. Weißt du, wer diese Angreifer sind?
Was ist die Frage, die gestellt wird? Fang groß an und werde dann klein. Zunächst ist es einfach, die in dem Artikel oder Video erwähnten Namen zu betrachten und zu sagen: "Wir gehören nicht zu diesen Unternehmen oder sind sogar mit ihnen verwandt", aber geh tiefer. Die eigentliche Frage lautet wahrscheinlich: "Sind wir dem Risiko des Diebstahls geistigen Eigentums durch staatlich unterstützte Akteure ausgesetzt?"
Finde möglichst alle Informationen, die dir dabei helfen, herauszufinden, ob du kompromittiert wurdest, oder die dir dabei helfen, Schutzmaßnahmen zu ergreifen, die ähnliche Angriffsversuche erkennen lassen. Das ist das Schöne an der Finde-Phase: Du kannst alle Informationen ermitteln, die für das weitere Vorgehen nützlich sein könnten, unabhängig davon, was die Eingabeaufforderung ausgelöst hat, und sie so zu einem Teil des formalen Prozesses machen.

Es ist sinnvoll, diese Art der Ansprache als eine informelle Bitte um Informationen zu betrachten und nicht als eine unbedachte Anfrage. Die Bitte um Informationen ist der Prozess, bei dem der Ermittlungszyklus von außen gesteuert wird. Wir werden dieses Konzept später in diesem Kapitel näher erläutern. Für den Moment ist es jedoch wichtig, sich daran zu erinnern, dass die Medienberichterstattung wichtige Informationen über einen Gegner oder seine Aktivitäten enthalten kann, wie z.B. Trends in den Aktivitäten, Informationen über die Ziele des Gegners und andere nützliche Erkenntnisse. Diese Informationen helfen dir zwar nicht bei der taktischen Jagd nach Aktivitäten in deinem Netzwerk, aber sie können dir zusätzliche Daten liefern, die dir in Zukunft helfen können, die Punkte zu verbinden. Wenn du schnell und effizient auf eine Anfrage eines Interessenvertreters reagierst, kannst du ihm zumindest die dringend benötigte Unterstützung bieten und ihm einen zusätzlichen Einblick in die Rolle der Nachrichtendienste in der Organisation geben.

Targeting auf der Grundlage von Drittanbieter-Meldungen

Eine der schlimmsten Erfahrungen, die ein Team machen kann, ist, wenn eine dritte Partei - ob ein anderes Unternehmen, die Strafverfolgungsbehörden oder jemand auf Twitter - eine Sicherheitsverletzung in deinem Unternehmen meldet. Wenn eine dritte Partei dich über einen Verstoß informiert, wird in den meisten Fällen das Targeting für dich erledigt. Der Meldende gibt dir einen Akteur oder zumindest Hinweise auf einen Akteur und idealerweise auch einige Indikatoren. Dann beginnt die Phase der Reaktion auf den Vorfall, in der du herausfindest, wie du die erhaltenen Informationen am besten nutzen kannst, worauf wir im nächsten Kapitel näher eingehen werden.

Der aktive Teil der Benachrichtigung eines Dritten konzentriert sich hauptsächlich darauf, was du sonst noch von dem Melder bekommen kannst. Um so viele Informationen wie möglich von einem Dritten zu erhalten, musst du dich davon überzeugen, dass du und dein Unternehmen ein paar wichtige Eigenschaften haben: Handlungsfähigkeit, Vertraulichkeit und Betriebssicherheit.

Die Weitergabe von Informationen in einer Meldung an Dritte ist größtenteils ein Risiko für die teilende Partei. Der Schutz von Quellen und Methoden ist eine schwierige Aufgabe und wird noch schwieriger, wenn man keine Kontrolle darüber hat, z.B. wenn man die Informationen an eine unbekannte Person weitergibt. Daher muss der Empfänger nachweisen, dass die Informationen angemessen behandelt werden, sowohl beim Schutz (Betriebssicherheit und Vertraulichkeit) als auch bei der Nutzung (Handlungsfähigkeit).

Das führt dazu, dass Dritte beim ersten Mal, wenn sie Informationen weitergeben, vielleicht nicht viel mehr als die IP-Adresse der Angreiferinfrastruktur und einen Zeitrahmen weitergeben wollen. Wenn der Empfänger überprüft wurde und sich als vertrauenswürdiger und effektiver Nutzer der geteilten Informationen erwiesen hat, kann mehr Kontext geteilt werden. Diese Art der Interaktion ist der Grundgedanke von Gruppen zum Informationsaustausch, seien es formelle Gruppen wie Information Sharing and Analysis Centers (ISACs) oder informelle Gruppen wie Mailinglisten oder gemeinsame Chats. Sowohl reife als auch unreife Organisationen profitieren von der Mitgliedschaft in solchen Gruppen. Vergewissere dich nur, dass deine Organisation in der Lage ist, sowohl zu teilen, was sie kann, als auch auf das zu reagieren, was mit ihr geteilt wird. Je mehr Kontext eine Organisation zu einer bestimmten Information teilen kann, desto einfacher und effektiver kann sie auf diese Information reagieren .

Hinweis

Viele Organisationen tun sich schwer damit, die Befugnis zum Informationsaustausch zu erhalten. Obwohl die meisten Organisationen gerne Informationen von anderen Sicherheitsteams oder Forschern erhalten, zögern viele, diese Informationen an Einzelpersonen oder Gruppen zurückzugeben. Das ist eine natürliche Sorge, aber um effektiv zu sein, müssen die Teams sie überwinden. Das geht zurück auf das Sprichwort aus der Kindheit: Wenn du nicht teilst, wird niemand mit dir teilen. In vielen Fällen bedeutet dies, dass du dein Rechtsteam einschalten und Regeln für den Informationsaustausch aufstellen musst.

Zielsetzung priorisieren

An diesem Punkt der Finde-Phase hast du wahrscheinlich viele Informationen gesammelt und analysiert. Um in die nächste Phase, die Behebungsphase, überzugehen, musst du diese Informationen nach Prioritäten ordnen, damit du darauf reagieren kannst.

Unmittelbarer Bedarf

Eine der einfachsten Möglichkeiten, eine Anfrage von Interessenvertretern nach Prioritäten zu ordnen, basiert auf den unmittelbaren Bedürfnissen. Hat ein Unternehmen gerade einen Bedrohungsbericht über eine bestimmte Gruppe veröffentlicht, und jetzt stellt dein CISO Fragen? Steht das Unternehmen vor einer Entscheidung, die Auswirkungen auf ein Land mit aggressiven Bedrohungsgruppen haben könnte, und hat um eine Einschätzung der Lage gebeten? Wenn es unmittelbare Bedürfnisse gibt, sollten diese vorrangig behandelt werden.

Es ist schwierig, die Unmittelbarkeit einer Findungsaktion zu beurteilen. Es ist leicht, sich von neuen, glänzenden Hinweisen einfangen zu lassen. Die Erfahrung führt zu einem langsameren, oft skeptischeren Ansatz. Es ist leicht, einer Ahnung oder einer zufälligen Information hinterherzujagen, und es ist wichtig, ein Gespür dafür zu entwickeln, wie schnell ein Hinweis bearbeitet werden muss. Der Schlüssel liegt oft darin, das Tempo zu drosseln und sich nicht von der Dringlichkeit potenziell bösartiger Aktivitäten anstecken zu lassen. Viele erfahrene Einsatzkräfte kennen die Geschichte, dass sie sich zu sehr in ein Ziel verrannt haben, das wichtig aussah, um später festzustellen, dass es sich um eine Kleinigkeit handelte.

Vergangene Vorfälle

Wenn kein unmittelbarer Bedarf besteht, solltest du dir Zeit nehmen, um deine Sammelprioritäten festzulegen. Es ist leicht, sich auf die neueste Bedrohung oder den letzten Herstellerbericht zu konzentrieren, aber in den meisten Fällen solltest du zuerst mit deinen eigenen Vorfällen aus der Vergangenheit beginnen.

Viele Angreifer sind opportunistisch und greifen einmalig an, z. B. aufgrund eines verwundbaren Systems oder einer Fehlkonfiguration. Dies ist besonders bei Ransomware-Betreibern oder weniger raffinierten Angreifern der Fall. Andere Akteure greifen kontinuierlich an und verwenden oft dieselben Werkzeuge gegen verschiedene Ziele. Das Aufspüren dieser Gruppen ist eine der nützlichsten Anwendungen von Threat-Intelligence-Prozessen. In vielen Fällen kann die Analyse dieser vergangenen Vorfälle zu Erkenntnissen über zukünftige Angriffe führen.

Ein weiterer Vorteil, wenn du deine Suche mit vergangenen Vorfällen beginnst, ist, dass du bereits über eine beträchtliche Menge an Daten in Form von Vorfallsberichten, Beobachtungen aus erster Hand und Rohdaten (wie Malware und Laufwerke) verfügst, aus denen du weitere Informationen ziehen kannst. Details oder übersehene Teile vergangener Vorfälle können in der Find-Phase erneut untersucht werden.

Kritikalität

Einige Informationen, die du in dieser Phase aufgespürt hast, haben eine viel größere Auswirkung auf den Betrieb als andere Informationen, die du gesammelt hast. Wenn du zum Beispiel in der Finde-Phase Hinweise auf seitliche Bewegungen in einem sensiblen Netzwerk entdeckst, haben diese Informationen eine viel höhere Priorität als Informationen, die darauf hinweisen, dass jemand Scans gegen einen externen Webserver durchführt. Beide Probleme sollten untersucht werden, aber das eine hat eindeutig eine höhere potenzielle Auswirkung als das andere: Die Probleme mit der höheren Priorität sollten zuerst angegangen werden. Die Wichtigkeit ist von Organisation zu Organisation unterschiedlich und hängt davon ab, was für die jeweilige Organisation wichtig ist.

Zielgerichtete Aktivitäten organisieren

Es ist wichtig, dass du weißt, wie du die wichtigsten Ergebnisse der Findungsphase organisierst und überprüfst. Wenn du dir Zeit nimmst - egal, ob es 10 Minuten oder 10 Stunden sind -, um die verfügbaren Informationen zu prüfen und zu verstehen, womit du es möglicherweise zu tun hast, bist du in einer guten Position, um weiterzumachen. Du musst alle Informationen, die du gerade gesammelt und analysiert hast, in ein handhabbares Format bringen.

Harte Leads

Zu denharten Hinweisen gehören Informationen, die du identifiziert hast und die einen konkreten Bezug zu den Ermittlungen haben. Informationen, die in die Kategorie "harte Hinweise" fallen, liefern einen Kontext zu den Dingen, die du identifiziert hast und von denen du weißt, dass sie relevant sind. Diese Hinweise wurden in einem Teil des Netzwerks gesehen, und in der Finde-Phase wirst du nach damit verbundenen Aktivitäten in anderen Teilen des Netzwerks suchen. Es ist wichtig zu verstehen, welche Informationen direkt mit dem Vorfall in Verbindung stehen und welche Informationen nur potenziell. Ähnlich wie bei den Datenquellen, die wir in Kapitel 3 besprochen haben, sind die verschiedenen Arten von Hinweisen alle nützlich; sie werden nur auf unterschiedliche Weise genutzt.

Soft Leads

Viele der Informationen, die du in der Find-Phase entdeckt hast, fallen in die Kategorie der Soft Leads. Bei den weichen Hinweisen kann es sich um zusätzliche Indikatoren oder Verhaltensweisen handeln, die du identifiziert hast und die mit einigen der harten Hinweise zusammenhängen, aber zu diesem Zeitpunkt hast du noch nicht überprüft, ob die Indikatoren in deiner Umgebung vorhanden sind oder welche Auswirkungen sie haben. Zu den weichen Hinweisen gehören auch Informationen aus neuen Berichten über Angriffe, die auf ähnliche Organisationen wie deine abzielen, oder Dinge, die von einer Gruppe zum Informationsaustausch weitergegeben wurden, von denen du weißt, dass es sich um legitime Bedrohungen handelt, die sich aber möglicherweise nicht auf dich auswirken. Weiche Hinweise können auch Verhaltensheuristiken sein, bei denen du eher nach auffälligen Aktivitätsmustern als nach einer konkreten Information suchst. Diese Art der Suche, die oft technisch schwieriger durchzuführen ist, kann zu bedeutenden Ergebnissen führen und eine Menge an Informationen liefern.

Speicherung und Dokumentation von Blei

Alle diese Leads sollten so gespeichert und dokumentiert werden, dass du sie in den folgenden Phasen leicht wiederfinden und mit Informationen ergänzen kannst. Es gibt eine Vielzahl von Möglichkeiten, diese Informationen zu dokumentieren. Viele Teams verwenden immer noch die guten alten Excel-Tabellen. Andere sind auf Tools wie Threat-Intelligence-Plattformen umgestiegen (es gibt Open-Source- und kommerzielle Versionen davon), mit denen du Indikatoren speichern, Notizen und Tags hinzufügen und in manchen Fällen Indikatoren miteinander verknüpfen kannst. Das Wichtigste bei der Dokumentation dieser Phase des Vorfalls ist, dass du etwas findest, das mit deinem Arbeitsablauf kompatibel ist und dem Team einen Überblick darüber verschafft, was bereits identifiziert wurde und was noch überprüft oder untersucht werden muss. Wir haben erlebt, dass viele Teams in der Findungsphase viel mehr Zeit als nötig aufwenden, weil sie sich doppelt anstrengen oder nicht gut koordinieren. Tretet nicht in diese Falle! Sobald du Informationen über die Bedrohung, mit der du es zu tun hast, identifiziert und ordnungsgemäß dokumentiert hast, kannst du zur nächsten Phase übergehen.

Auch wenn wir die Verfolgung von Vorfällen und das Vorfallmanagement erst in Kapitel 7 besprechen werden, ist es wichtig, kurz auf die Verfolgung von Hinweisen einzugehen. Jeder Einsatzleiter ist schon einmal über eine Information in einem Hinweis gestolpert, die er schon einmal gesehen hat, und hat es dann versäumt, sie in einen Zusammenhang zu bringen. Wenn du dir die Zeit nimmst, deine Hinweise zu notieren, und sei es nur in einem Notizbuch, ist das entscheidend für den Erfolg. Hier ist ein gutes Format, um deine Hinweise zu speichern:

Blei: Die zentrale Beobachtung oder Idee.
Datetime: Wann sie eingereicht wurde (wichtig für den Kontext oder SLAs).
Kontext: Wie wurde diese Spur gefunden - intern oder extern? Basierte sie auf Forschung oder auf einem Vorfall?
Analyst: Wer hat die Spur gefunden?

Dieser Ansatz ist einfach und leicht, aber effektiv. Wenn du diese Hinweise zur Verfügung hast, hast du einen Ausgangspunkt für reaktive und proaktive Sicherheitsmaßnahmen und kannst in vielen Fällen auch laufende Vorfälle kontextualisieren.

Der Prozess der Informationsanforderung

Ähnlich wie bei Leads handelt es sich bei einer Informationsanfrage (manchmal auch als Request for Intelligence bezeichnet) um einen Prozess, bei dem externe Stakeholder in den Incident Response- oder Intelligence-Zyklus eines Teams eingebunden werden. Dieser Prozess soll die Anfragen vereinheitlichen und ermöglichen, dass sie nach Prioritäten geordnet und leicht an den richtigen Analysten weitergeleitet werden können.

Informationsanfragen (oder RFIs) können einfach (nur ein Satz und ein Link zu einem Dokument) oder komplex (mit hypothetischen Szenarien und mehreren Vorbehalten) sein. Alle guten RFIs sollten die folgenden Informationen enthalten:

Der Antrag: Eine Zusammenfassung der gestellten Frage.
Der Antragsteller: An wen schickst du die Informationen zurück?
Eine Ausgabe: Das kann viele Formen annehmen. Sind die erwarteten Ergebnisse IOCs? Ein Briefing-Dokument? Eine Präsentation?
Referenzen: Wenn die Frage ein Dokument beinhaltet oder von einem Dokument inspiriert wurde, sollte dies mitgeteilt werden.
Eine Priorität oder ein Fälligkeitsdatum: Dies ist notwendig, um zu bestimmen, wann etwas erreicht wird.

Der RFI-Prozess muss in deinem Unternehmen relevant und praktikabel sein. Integration ist der Schlüssel. Es muss für die Beteiligten einfach sein, Anfragen zu stellen und Informationen zu erhalten, sei es über ein Portal oder per E-Mail. Wenn du oder dein Team häufig von einer großen Anzahl informeller RFIs überrollt werden, ist die Einführung eines formellen Systems eine der besten Möglichkeiten, um die Arbeitsbelastung zu bewältigen. In Kapitel 9 werden wir mehr über RFIs, insbesondere als Informationsprodukte, erfahren.

Fazit

Die Find-Phase ist der entscheidende erste Schritt im F3EAD-Prozess, der es dir ermöglicht, klar zu identifizieren, wonach du suchst. Die Find-Phase wird oft mit der Targeting-Phase gleichgesetzt und ist eng mit der Direction-Phase des Intelligence Cycle verbunden. Wenn du nicht weißt, was deine Aufgabe ist oder gegen welche Bedrohung du vorgehst, ist es schwer, sie richtig anzugehen. Die Find-Phase ist die Grundlage für die anderen operativ ausgerichteten Phasen des F3EAD-Prozesses.

Du wirst nicht für jedes Projekt gleich viel Zeit in der Suchphase verbringen. Manchmal wird die Suchphase für dich erledigt. In anderen Fällen musst du nur ein wenig graben. In anderen Fällen ist die Findungsphase ein langwieriges Unterfangen, bei dem sich mehrere Personen im Team auf verschiedene Aspekte derselben Bedrohung konzentrieren. In letzterem Fall solltest du gut organisiert sein - dokumentiere die Hinweise und setze Prioritäten, damit du mit einem umfassenden Zielpaket in die Behebungsphase gehen kannst, das genau das enthält, wonach du suchen wirst.

Jetzt, da wir eine Vorstellung davon haben, nach wem und was wir suchen, ist es an der Zeit, sich mit der technischen Untersuchungsphase der Vorfallsbekämpfung zu befassen. Wir nennen das die Behebungsphase.

Get Intelligence-Driven Incident Response, 2. Auflage now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Intelligence-Driven Incident Response, 2. Auflage by Rebekah Brown, Scott J. Roberts