Bessere Cyberresilienz und weniger Kosten: Threat-Informed Defense in a Nutshell
Obwohl Organisationen seit Jahren kontinuierlich mehr in ihre Sicherheit investieren, werden sie häufiger Opfer von Cyberangriffen. Hohe Investitionen in Cybersicherheit führen nicht zwangsläufig zu mehr Resilienz. Viel Potenzial geht verloren, wenn Organisationen ihre Cybersecurity-Programme nicht konsequent am technischen Verhalten der Angreifer ausrichten, die sie bedrohen.
Unternehmen investieren heute mehr Geld als jemals zuvor in ihre Sicherheit. Laut dem Branchenverband der Informations- und Telekommunikationsbranche (Bitkom) haben deutsche Unternehmen ihre Investitionen in IT-Sicherheit in den letzten zwei Jahren von 8,1 Milliarden Euro im Jahr 2022 auf 9,2 Milliarden Euro im Jahr 2023 erhöht.
Im gleichen Zeitraum ist der prozentuale Anteil des durch Cyberattacken verursachten Gesamtschadens aber von 63 Prozent in 2022 (127,7 Milliarden Euro) auf 72 Prozent in 2023 (148,2 Milliarden Euro) gestiegen. Der aktuelle Lagebericht „Bundeslagebild Cybercrime 2023“ des Bundeskriminalamtes (BKA) stützt dieses Bild und zeichnet abermals ein düsteres Bild der Cybersicherheitslandschaft in Deutschland.
Die starke Zunahme von Cyberangriffen, insbesondere solcher, die auf Ransomware basieren, stellt auch weiterhin eine ernsthafte Bedrohung für die Sicherheit unserer Organisationen und der öffentlichen Sicherheit und Ordnung dar. Noch besorgniserregender ist die wachsende Rolle von Cyberangriffen im Rahmen der hybriden Kriegsführung, bei der Cyberoperationen gezielt zur Destabilisierung gesellschaftlicher und politischer Strukturen eingesetzt werden.
Offenbar führen steigende Investitionen in Sicherheit aber nicht automatisch zu einer höheren Resilienz gegen Cyberangriffe. Es bedarf zielgerichteterer Ansätze, um Investitionen so punktgenau zu platzieren, dass Angreifer erfolglos bleiben.
Was ist Threat-Informed Defense?
Threat-Informed Defense ist ein moderner Ansatz zur Erhöhung der Resilienz gegen Cyberangriffe, der dazu beitragen kann, die Investitionen in Cybersicherheit effizienter zu gestalten. Dabei werden Sicherheitsstrategien und Maßnahmen an die tatsächlichen technischen Vorgehensweisen relevanter Bedrohungsakteure angepasst. Der Ansatz ist ein fortlaufender Prozess mit drei iterativen Phasen, der auf eine kontinuierliche Verbesserung abzielt (siehe auch Abbildung 1).
Abbildung 1: Bestandteile von Threat-Informed Defense
- Cyber Threat Intelligence: Die Sammlung, Analyse, Interpretation und Priorisierung von Informationen über die technischen Verhaltensweisen von aktuellen und potenziellen Bedrohungsakteuren.
- Testing & Evaluation: Manuelle oder automatisch durchgeführte Tests, die prüfen, ob bereits bestehenden Sicherheits- und Erkennungsmaßnahmen effektiv gegen entsprechende technische Verhaltensweisen realer Bedrohungsakteure schützen.
- Defensive Measures: Die Planung und Implementierung von (ergänzenden) Sicherheits- und Erkennungsmaßnahmen.
Threat-Informed Defense wird von verschiedenen Akteuren der internationalen Cybersecurity-Community vorangetrieben und durch vielfältige Open-Source-Projekte fortlaufend erweitert. Eine besondere Rolle bei der Weiterentwicklung nimmt die MITRE Corporation, eine gemeinnützige US-amerikanische Organisation ein, die vielen im Zusammenhang mit dem Attack and Common Knowledge Framework (MITRE ATT&CK) ein Begriff sein dürfte. Das ATT&CK Framework ist ein wichtiges Instrument zur Durchführung der Threat-Informed Defense und trägt wesentlich zu ihrer effizienten Anwendung bei.
MITRE ist auch Mitbegründerin des „Center for Threat-Informed Defense“, einer ebenfalls gemeinnützigen Organisation, deren erklärtes Ziel ist, das Wissen über bedrohungsorientierte Verteidigungskonzepte zu multiplizieren und weitere innovative, wissenschaftlich fundierte Cyber-Verteidigungsstrategien zum Schutz der Allgemeinheit zu entwickeln. Zu den Gründungsmitgliedern des Centers zählen neben MITRE namhafte Unternehmen wie Microsoft, Amazon Web Services (AWS) und IBM.
Die Webseiten des MITRE ATT&CK Framework sowie des Center for Threat-Informed Defense enthalten eine Fülle an Informationen über Projekte, Methoden und Best Practices. Diese Ressourcen bieten wertvolle Unterstützung für Organisationen, die Threat-Informed Defense erfolgreich umsetzen möchten.
Weitere Informationen gibt es auch beim Projekt Measure, Maximize, and Mature Threat-Informed Defense (M3TID) des Center for Threat-Informed Defense, das Organisationen hilft, die Methodik erfolgreich zu implementieren.
Mitre Att&ck Framework als wichtigstes Instrument
Cyber-Bedrohungsakteure passen ihre Vorgehensweisen kontinuierlich an, um möglichst lange unentdeckt zu bleiben. Es fällt ihnen leicht, Erkennungsmerkmale wie IP-Adressen, Domains und Hash-Werte von Dateien zu ändern. Ihre grundlegenden technischen Ziele und Verhaltensweisen, die sogenannten Tactics, Techniques und Procedures (TTPs), lassen sich jedoch nur sehr schwer verschleiern (vgl. Abbildung 2).
Abbildung 2: Pyramid of Pain
Tabelle 1: Hierarchie der TTPs am Beispiel der Taktik „Exection“
Der MITRE ATT&CK Navigator – ein weiteres Instrument zur erfolgversprechenden Anwendung der Threat-Informed Defense – visualisiert diese TTPs in Form einer Tabelle. Jede Taktik entspricht dabei einer Spalte, Techniken und Sub-Techniken entsprechen den Zeilen. In Anlehnung an den üblichen Ablauf eines Cyberangriffs (vgl. „Cyber Kill Chain“) werden die Taktiken in einer chronologischen Reihenfolge von rechts nach links gruppiert (siehe dazu https://attack.mitre.org/).
Die Cybersecurity-Community, die mit MITRE und dem Center for Threat-Informed Defense verbunden ist – darunter Weltkonzerne wie Microsoft und Amazon Web Services (AWS), internationale und nationale Cybersicherheitsbehörden wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie kleinere Unternehmen und Einzelpersonen – teilt Analysen zu realen Cyberangriffen und weiteren relevanten Erkenntnissen. Diese Kooperation stellt sicher, dass das ATT&CK Framework kontinuierlich erweitert wird und neben der Kategorisierung und Visualisierung der TTPs zusätzliche Informationen bietet (siehe Tabelle 2).
Tabelle 2: Zusatzinformationen zu den TTPs
Phase I: Cyber Threat Intelligence
In der Cyber-Threat-Intelligence-Phase sammeln, analysieren und bewerten Organisationen relevante Informationen über die technischen Verhaltensweisen von Bedrohungsakteuren, die sie gefährden könnten. Das Ergebnis ist eine Liste von TTPs, die einer genaueren Betrachtung unterzogen werden.
Hilfestellung gibt es dabei zum Beispiel beim „Sightings Ecosystem“, einem Projekt des Center for Threat-Informed Defense, das im Zeitraum zwischen August 2021 und September 2023 über 1,6 Millionen Informationen zu reell stattgefundenen Cyberangriffen ausgewertet hat. Aus diesen Daten wurden die TOP 15 angewendeten TTPs identifiziert, die von Angreifern verwendet wurden. Unternehmen sollten diese unbedingt berücksichtigen.
Ein weiteres Projekt des Center for Threat-Informed Defense ist der „Top ATT&CK Technique Calculator“. Mit diesem Werkzeug können Organisationen anhand weniger Angaben die für sie relevanten TTPs ermitteln.
Zur Veranschaulichung dieser Vorgehensweise richten wir unseren Fokus erneut auf das Bundeslagebild 2023 Cybercrime des BKA. Der Bericht ist eine gute Informationsquelle, da er seriöse Informationen in Form von Analysen und Bewertungen über die Bedrohungslage in Deutschland enthält.
Relevante Informationensammeln, analysieren und bewerten
Aus dem Lagebild geht hervor, dass Ransomware-Angriffe weiterhin ein großes Problem sind. Die Zahlen des Berichts zeichnen dazu ein bedrückendes Bild: Ransomware-Akteure erpressten im Berichtszeitraum mindestens 94 Prozent mehr Lösegeld als im Vorjahr (siehe Abbildung 3).
Abbildung 3: Weltweit festgestellte Lösegeldzahlungen auf Kryptowallets von Ransomware-Akteueren 2020 bis 2023
Ein lohnendes Geschäftsmodell, das die finanziell motivierten Täter antreibt, möglichst viele Organisationen anzugreifen, um ihren Gewinn zu maximieren. Organisationen müssen solche Informationen dahingehend bewerten, ob Bedrohungen wie Ransomware auch gegen sie gerichtet sind und mit welcher Wahrscheinlichkeit sie sich verwirklichen.
Mit Blick auf die im Bericht beschriebene Gefährdungslage lässt sich feststellen, dass Ransomware faktisch alle bedroht und die Wahrscheinlichkeit, Opfer eines Ransomware-Angriffs zu werden höher ist als je zuvor.
Vor diesem Hintergrund sollten Organisationen ihre eigene Resilienz gegen die technischen Verhaltensweisen von Ransomware-Akteuren ermitteln und gegebenenfalls erhöhen. Eine genaue Betrachtung der genutzten TTPs ist hierzu unabdinglich.
Relevante TTPs ermitteln
Der BKA-Bericht enthält detaillierte Informationen zu den Ransomware-Varianten, die im Berichtszeitraum besonders dominant waren. Anhand der im ATT&CK Framework enthaltenen und weiterer, frei im Internet verfügbarer Informationen, lassen sich zu allen aufgeführten Ransomware-Varianten die relevante TTPs ermitteln; im Gesamten mehr als 200!
Aus Gründen der Übersichtlichkeit beschränkt sich dieses Beispiel auf die TTPs der ersten vier TOP 10 Ransomware-Varianten des BKA-Berichts: LockBit, Phobos, BlackBasta und Akira.
Priorisierung der relevanten TTPs
Die große Menge an identifizierten TTPs kann mittels unterschiedlichster Kriterien priorisiert werden. Unternehmen sollten anhand ihrer individuellen Ausgangssituation entscheiden, welche TTPs sinnvollerweise zu berücksichtigen sind.
Wir priorisieren die ermittelten TTPs in diesem Beispiel mithilfe eines einfachen Schemas: Solche TTPs, die von möglichst vielen Ransomware-Varianten gemeinsam genutzt werden, sollen für die weitere Betrachtung als wichtiger priorisiert werden, als jene TTPs, die nur von Einzelnen genutzt werden. Zur idealen Visualisierung dieser Priorisierung erstellen wir eine farblich akzentuierte Übersicht (siehe Abbildung 4 auf Seite 14). Jede Farbe steht dabei für eine Ransomware-Variante.
Abbildung 4: Darstellung der priorisierten TTPs anhand einer farblich akzentuierten Übersicht unter Verwendung der TIDAL Cyber Matrix Community Version
So lässt sich gut erkennen, dass alle Ransomware-Arten für ihre Aktivitäten zwei TTPs gemeinsam verwenden:
- „Disable or Modify Tools“ und
- „Data Encrypted for Impact“.
Erkennbar ist auch, dass drei der vier Ransomware-Varianten die Technik „Exploit Public-Facing Application“ (Taktik: „Initial Access“) nutzen. Daraus ergibt sich die Darstellung in Tabelle 3.
Phase II: Testing & Evaluation
In der dieser Phase prüfen Organisationen, ob bereits bestehende Sicherheits- und Erkennungsmaßnahmen – diese Maßnahmen können technischer oder organisatorischer Natur sein – gegen relevante TTPs schützen. Dafür kann man beispielsweise das „Adversary Emulation Library“-Projekt des Center for Threat-Informed Defense nutzen. Es ermöglicht Organisationen das Nachstellen von Cyberangriffen und umfasst detaillierte technische Beschreibungen, sogenannte Emulation Plans, der TTPs, die Angreifer verwenden. So können realitätsnahe Angriffe auf Sicherheitssysteme durchgeführt werden, um deren Widerstandsfähigkeit zu testen.
Zu den drei identifizierten TTPs aus Phase I (Disable or Modify Tools, Data Encrypted for Impact, Exploit Public-Facing Application) lassen sich nun in unterschiedlichen Ausprägungen (zum Beispiel manuell oder automatisiert, komplex oder einfach) Tests durchführen.
Ein sehr einfacher und ressourcenarmer Testansatz für „Disable or Modify Tools“ wäre es, fachkundige Systemadministratoren prüfen zu lassen, ob sich zum Beispiel sicherheitsrelevante Komponenten wie Anti-Malware-Lösungen unter Anwendungen verschiedener Vorgehensweisen beenden lassen, zum Beispiel in unterschiedlichen Benutzerkontexten unter Verwendung der Kommandozeile. Ergibt die Prüfung, dass sich sicherheitsrelevante Komponenten außerplanmäßig oder unerlaubt abschalten lassen, kann der Angreifer diese TTP wahrscheinlich erfolgreich nutzen, um die Organisation zu attackieren.
Eine aufwendigerer Testansatz für alle drei identifizierten TTPs wären Penetrationstests. Organisationen mit einem höheren Sicherheitsreifegrad führen häufig strukturierte Sicherheitstests durch. Hier könnte der Fokus eines Sicherheitstests dann darauf liegen, die Ausnutzung der drei TTPs unter anderem entlang der Kill Chain „Initial Access“ -> „Defense Evasion“ -> „Impact“ zu testen, also die tatsächliche Vorgehensweise eines Angreifers nachzuahmen.
Organisationen sollten ihren Fokus nicht auf das Testen von technischen Maßnahmen beschränken. Optimale Ergebnisse erhalten sie, wenn auch organisatorische Maßnahmen wie sicherheitsrelevante Prozesse berücksichtigt werden. Deshalb sollte in beiden Fällen auch getestet werden, ob das Ausnutzen der TTPs (oder der Versuch) erkannt und einem definierten Prozess entsprechend bewertet wurde. Kurz: funktionierte der Incident-Response-Prozess?
Phase III: Defense Measures
In der Defensive-Measures-Phase planen und implementieren Organisationen (ergänzende) Sicherheits- und Erkennungsmaßnahmen. Sie befassen sich nun mit den Ergebnissen ihrer Tests und bewerten unter Abwägung weiterer Faktoren wie einer Kosten-Nutzen-Analyse und des eigenen Risikoappetits, ob und wie ergänzende Maßnahmen getroffen werden. Aus der Gemeinschaft rund um das Center for Threat-Informed Defense sind zahlreiche Projekte entstanden, die Organisationen in dieser Phase unterstützen.
Besonders hilfreich sind die Projekte „Summiting the Pyramid“ und „Controls Mapping“. „Summiting the Pyramid“ zielt darauf ab, Analysen zu entwickeln, um Gegner daran zu hindern, Abwehrmechanismen zu umgehen und die Effektivität der Erkennungsmechanismen zu verbessern. „Controls Mapping“ erleichtert es Organisationen, ihre Sicherheits- und Erkennungsmaßnahmen mit verschiedenen Rahmenwerken und Standards wie NIST 800-53 und der ISO 27001 abzugleichen.Richten wir unseren Blick erneut auf das Beispiel des einfachen und ressourcenarmen Testansatzes in der „Testing & Evaluation“-Phase. Der Fokus lag hier auf der TTP „Disable or Modify Tools“ und der Frage, ob sich die Organisation effektiv gegen Angreifer verteidigen kann, die diese TTP verwenden.
Angenommen, die Organisation kann sich nicht effizient gegen diese TTP verteidigen und es sollen weitere Sicherheits- und Erkennungsmaßnahmen (Mitigations, Detections) getroffen werden. Das ATT&CK-Framework gibt Organisationen in dieser Phase Hinweise darauf, welche Mitigations und Detections implementiert werden können, um die erfolgreiche Anwendung der TTP durch Angreifer zu minimieren oder zu verhindern.
Für die „Disable or Modify Tools“-TTP definiert das Framework folgende Maßnahmen:
Mitigations
- Restrict User Privileges: Einschränkung von Benutzerrechten, um zu verhindern, dass Benutzer sicherheitsrelevante Werkzeuge deaktivieren oder modifizieren können.
- Policy Implementation: Implementierung von Richtlinien, die den Zugang zu sicherheitsrelevanten Werkzeugen einschränken und deren Verwendung überwachen.
- Regular Security Configuration Reviews: regelmäßige Überprüfung und Aktualisierung von Sicherheitskonfigurationen, um sicherzustellen, dass Werkzeuge ordnungsgemäß funktionieren und nicht modifiziert wurden.
- Robust Endpoint Protection: Einsatz von robusten Endpoint-Protection-Lösungen, die Manipulationsschutz bieten.
Detections
- Monitor Tool Changes: Überwachung von Änderungen an sicherheitsrelevanten Werkzeugen und Systemdateien.
- Detect Unusual Activity: Erkennung ungewöhnlicher Aktivitäten, die auf die Deaktivierung oder Modifikation von Sicherheitstools hinweisen.
- Integrity Checks: Durchführung von Integritätsprüfungen auf sicherheitsrelevante Dateien und Programme.
- Log Analysis: Analyse von Log-Dateien und Ereignissen auf Hinweise für Manipulationsversuche.
Organisationen können diese Informationen bei der Planung und Umsetzung geeigneter Sicherheits- und Erkennungsmaßnahmen nutzen, um Best Practices zu befolgen und das Rad nicht neu zu erfinden.
Fazit
Durch die strukturierte Analyse der Verhaltensweisen relevanter Bedrohungsakteure ermöglicht Threat-Informed Defense eine punktgenaue Steuerung der Investitionen in Cybersicherheitsmaßnahmen. Indem Organisationen die TTPs aktueller und potenzieller Angreifer kontinuierlich überwachen und bewerten, können sie ihre Sicherheitsstrategien dynamisch anpassen und so ihre Resilienz stärken.
Threat-Informed Defense ist niederschwellig und kann auch von Organisationen mit niedrigerem Reifegrad angewendet werden. Die im Artikel aufgeführten Beispiele zeigen, dass einfache Tests unabhängig von der Größe und dem Budget einer Organisation durchgeführt werden können.
Durch die Integration dieser Methodik in ein umfassendes Sicherheitskonzept, das auch Awareness und Basishygiene umfasst, können Unternehmen ihre Resilienz gegenüber Cyberbedrohungen signifikant erhöhen und die vorhandene Divergenz zwischen Investitionen und echter Resilienz auflösen.
Daniel Thomas Heessel ist Manager IT-Security und Deputy Group Information Security Officer der Randstad Deutschland Gruppe, wo er Threat-Informed Defense erfolgreich eingeführt hat. Aufgrund seiner Leidenschaft für diese innovative Methodik hat er ein Start-up gegründet, das sich zum Ziel gesetzt hat, die Resilienz von Unternehmen gegen Cyberangriffe durch Threat-Informed Defense zu erhöhen.