Vorwort zur ersten Ausgabe

Vor über 20 Jahren war ich an meinem ersten groß angelegten Einbruch durch einen russischen Nationalstaat namens Moonlight Maze beteiligt. Meine Aufgabe für das Air Force Office of Special Investigations war es, bei der Datenerfassung, dem Abfangen und der Analyse der gegnerischen Aktivitäten im Netzwerk und den angegriffenen Systemen zu helfen. Durch die Analyse mehrerer Angriffe auf viele Ziele erfuhren wir, dass der Gegner nicht einfach den Stecker aus den gehackten Systemen ziehen würde. Der Feind war extrem geduldig. Sobald sie unsere Gegenmaßnahmen entdeckten, verhinderten sie wochenlang einen erneuten Zugriff auf das gleiche Ziel. Die Angreifer stellten ihr Überleben sicher, indem sie mehr als ein Ziel im gesamten Netzwerk angriffen und Hintertüren in vielen Systemen hinterließen. Nach mehreren Einbrüchen durch dieselben Angreifer begann die Task Force, einen Plan zu erstellen, wer dieser Gegner war, wie er vorging und worauf er aus war. Dieses Handbuch diente als Grundlage für die Verteidigungsmaßnahmen vieler DoD-Standorte weltweit. Was war eines der Ergebnisse des Eindringens in das Moonlight Maze? Der Umfang und die Dringlichkeit der Angriffe führten zur Gründung der Joint Task Force-Computer Network Defense (JTF-CND), aus der später das U.S. Cyber Command hervorging.

Wir haben viel aus diesen fortschrittlichen Angriffen in den späten 90er Jahren gelernt. In erster Linie lernten wir, dass wir vom Feind lernen müssen, um den Gegner zu entdecken. Schon früh entdeckten wir Tools und Praktiken, mit denen wir denselben Gegner in anderen Netzwerken aufspüren konnten. Die Informationen, die uns dabei halfen, unsere Verteidigung zu verbessern und bestimmte Angreifer aufzuspüren, bildeten die Grundlage für die wahrscheinlich wichtigste Entwicklung im Bereich der Informationssicherheit seit dem Intrusion Detection System und der Firewall: Cyber Threat Intelligence.

Nachdem ich in meiner Laufbahn im Verteidigungsministerium, bei der US-Regierung, bei Mandiant und in meinem eigenen Unternehmen auf Hunderte von Vorfällen reagiert habe, können wir uns immer darauf verlassen, dass das Hauptziel von Incident Respondern darin besteht, die Gelegenheit zu nutzen, um mehr über die Gegner zu erfahren, die dich angreifen. Mit diesen Informationen können wir ein anderes Netzwerk beobachten und feststellen, ob derselbe Feind es kompromittiert hat. Diese Informationen bilden die Grundlage für unseren Ansatz für die richtige Informationssicherheit und die Verteidigung gegen diese speziellen Bedrohungen. Unternehmen werden wahrscheinlich nicht von irgendeinem Hacker angegriffen, sondern sie sind wahrscheinlich Teil einer Gruppe, und sie haben den Namen deines Unternehmens auf einer Abschussliste. Ohne Cyber-Bedrohungsdaten, die in erster Linie auf Vorfälle reagieren, kann die Sicherheitsabwehr nicht verbessert und die Verweildauer der Angreifer in den Netzwerken, die sie kompromittieren, verringert werden.

Schon vor über 20 Jahren, beginnend mit der Geschichte aus dem Kuckucksei von Cliff Stoll, war Threat Intelligence ein entscheidender Faktor für Eindringlinge und ist es bis heute geblieben. Aber irgendwie lernen die meisten Organisationen immer noch nicht, die gleichen Prinzipien zu übernehmen. Das liegt zum Teil daran, dass es keine geeigneten Ressourcen gibt, an denen sich Gruppen orientieren können. Ein weiterer Grund sind schlechte Ratschläge von Sicherheitsanbietern. Zum Glück gibt es jetzt dieses Buch, das den Leser durch die richtigen Konzepte, Strategien und Fähigkeiten im Bereich der Bedrohungsanalyse führt, die eine Organisation übernehmen kann, um ihre Sicherheitspraxis weiterzuentwickeln. Nach der Lektüre dieses Buches kann sich dein Betrieb zu einem nachrichtendienstlich orientierten Betrieb entwickeln, der viel effizienter als je zuvor ist, wenn es darum geht, mögliche Auswirkungen von Sicherheitsverletzungen zu erkennen und zu reduzieren.

Als Leiter des Lehrplans für digitale Forensik und Incident Response des SANS-Instituts diskutiere ich schon seit vielen Jahren über die Bedeutung einer angemessenen Bedrohungsanalyse und Aufklärung. Viele meinten, das sei "nice to have" und "nicht so wichtig" wie das Aufhalten des Gegners, bis Analysten zu lernen begannen, dass sie ohne sie nur wenig tun konnten, um einen Gegner zu eliminieren.

Im Laufe der Jahre habe ich vielen Führungskräften geraten, dass das Geld besser in die Entwicklung einer angemessenen Bedrohungsanalyse investiert werden sollte, als in die Hardware von Anbietern, die das nächste Eindringen wahrscheinlich nicht erkennen, wenn sie nicht mit Indikatoren gefüttert werden, die als Teil des Analyseprozesses der Bedrohungsanalyse gelernt und extrahiert wurden. Ein Teil dieses Ratschlags stammt aus den Gesprächen mit den Autoren dieses Buches, Scott und Rebekah.

Scott und ich haben zusammen bei Mandiant gearbeitet und sind seitdem Freunde geblieben. Ich habe mich über die Jahre regelmäßig mit ihm ausgetauscht und bin ein begeisterter Leser seiner Arbeiten und Artikel. Scott ist derzeit einer unserer Ausbilder für den Cyber Threat Intelligence-Kurs (FOR578) des SANS Institute. Wenn ich Scott seit vielen Jahren bei seinen Vorträgen zu diesem Thema zuhöre, ist das immer ein Hauch von Weisheit, so wie wenn man Warren Buffet bei seinen Finanztipps zuhört. Ich kann Scotts Stimme in meinem Kopf hören, wenn ich seine Gedanken lese, die aus den Seiten dieses Buches strömen.

Ähnlich wie ich war auch Rebekah früher beim Militär und hat in allen Bereichen von Cyberoperationen gearbeitet. Sie war früher Leiterin der Cyber Unity Operations beim U.S. Marine Corp. Außerdem war sie Planerin für Cyber-Operationen im Verteidigungsministerium, Analystin für Netzwerk-Kriegsführung bei der NSA und arbeitete an der Erstellung von Bedrohungsdaten in Fortune-500-Unternehmen und bei Anbietern von Informationssicherheit. Rebekahs Wissen ist auf den Punkt und intuitiv. Sie kennt und versteht diesen Bereich wie keine andere, da sie innerhalb und außerhalb des Verteidigungsministeriums (sowohl in der Intel- als auch in der Cyber-Community) und in vielen Unternehmen gearbeitet hat. Rebekah hat dem Weißen Haus Informationen über Cyber-Bedrohungen geliefert, die auf ihren Theorien über koordinierte defensive und offensive Cyber-Operationen basieren. Rebekah kennenzulernen war erstaunlich und aufschlussreich, vor allem weil ich immer mehr darüber lerne, wie traditionelle Geheimdienstmethoden auf die Analyse von Cyberoperationen angewendet werden. Ich bin außerdem stolz darauf, dass Rebekah auch Kursautorin und Ausbilderin für den Kurs Cyber Threat Intelligence (FOR578) des SANS Institute ist.

Gemeinsam haben Scott und Rebekah ihre Gedanken in einem der fundiertesten Leitfäden für Cyber-Operations-Strategien zu Papier gebracht, den du je in die Hand nehmen konntest. Du solltest in Erwägung ziehen, dieses Buch zur Pflichtlektüre für alle Cyber-Analysten in deinem Unternehmen zu machen. Dieses Buch steht ganz oben auf meiner Empfehlungsliste für alle alten und neuen Cybersicherheitsanalysten. Die Ideen in diesem Buch befassen sich nicht mit technischen Herausforderungen, Hacking-Taktiken oder der Konfiguration von Sicherheitsvorkehrungen, sondern mit Konzepten, Strategien und Ansätzen, die tatsächlich dazu beitragen, die Haltung, Erkennung und Reaktion innerhalb der Sicherheitsabläufe deines Unternehmens zu verbessern.

Eines der wichtigsten Kapitel des Buches für das Cybersicherheitsmanagement ist der Aufbau eines Aufklärungsprogramms. Es war beeindruckend, Scott und Rebekah dabei zuzusehen, wie sie dies mit vielen Organisationen durchführten. Organisationen, die von ihrem Wissen profitiert haben, verstehen, dass "Threat Intelligence" kein Modewort ist, und ihre Ansätze und Anforderungen sind die Lektüre gleich mehrfach wert.

Für Sicherheitsanalysten ist der Hauptinhalt des Buches eine Einführung in die Feinheiten einer angemessenen Reaktion auf Vorfälle, die auf der Grundlage von Bedrohungsdaten erfolgt. Die Informationen in diesem Buch werden deine Herangehensweise an die Cybersicherheit in deinem Unternehmen nachhaltig verändern. Es wird dich von einem durchschnittlichen Analysten zu einem mit fortgeschrittenen operativen Fähigkeiten machen, die sich während deiner gesamten Karriere auszahlen werden.

Ich wünschte, ich hätte dieses Buch schon vor 20 Jahren gehabt, als ich während des Moonlight Maze gegen russische Hacker ermittelte. Zum Glück haben wir dieses Buch heute, und ich kann es als Pflichtlektüre für meine Schüler/innen empfehlen, die über taktische Reaktionen hinausgehen und einen Rahmen und eine Strategie anwenden wollen, die funktionieren.

Rob Lee

Gründer, Harbingers Security/DFIR Lead, SANS Institute