Die Erkennung aktiver Bedrohungen und die Abwehr bereits angelaufener Angriffe gewinnen in der IT-Sicherheit immer mehr an Bedeutung. Wer im eigenen Netz Auffälligkeiten beobachtet, kann auf speziellen Web-Seiten den Indikatoren auf den Grund gehen.

Um die beiden hier vorgestellten Web-Dienste richtige einschätzen zu können, sollte man sich für einen Moment damit auseinandersetzen, wie sie entstanden sind und welchen Zweck sie primär verfolgen. Immerhin handelt es sich um hochkarätige Informationsseiten, die nähere Recherchen zu Details komplexer Angriffe von Cyberkriminellen erlauben – warum sollten die Anbieter Alienvault und IBM (und eine zunehmende Zahl weiterer Produzenten von Security-Systemen) so etwas kostenlos zur Verfügung stellen? Nur wieder zur Selbstdarstellung und zum Kundenfang?

Nein, nicht nur, denn die freie Zugänglichkeit der Plattformen schafft eine Win-Win-Situation für Anbieter und Interessenten. Die Tools, um die es hier geht, sind Teil moderner „Threat Intelligence“-Ansätze, die sich mit der Abwehr komplexer und/oder gezielter Angriffe auf IT-Anwender befassen. Hintergrund ist die Erkenntnis, dass in den meisten Organisationen weltweit inzwischen zwar die präventive Sicherheit gut funktioniert und das stetige Grundrauschen primitiver Hacks und Malware-Aktivitäten erfolgreich in Schach hält. Dennoch gilt, dass ein Erfolg gezielter Attacken oder von ungezielten Angriffen mit komplexer „Kill Chain“ nie vollständig ausgeschlossen werden kann.

Zur ersten Kategorie gehören Cyberattacken, bei denen ein Team von Kriminellen eine tatsächlich individuell auf eine Branche oder gar auf ein einzelnes Unternehmen zugeschnittene Strategie in die Tat umsetzt und dabei eine Vielzahl von Einzelschritten verwendet, die jeweils für sich genommen kaum auffallen. Zur zweiten Kategorie gehört Ransomware – hier arbeiten die Angreifer zwar noch mit willkürlich gestreuter Malware, aber diese baut, sobald sie in ein Netz geschleust werden konnte, ebenfalls eine komplexe Angriffskette mit vielfältiger Kommunikation, Replikation und schließlich schädlicher Aktion auf.

Benutzeroberfläche von Open Threat Exchange.

Zur Abwehr solcher Bedrohungen gibt es nur eine Chance: Man muss die Aktionen der Eindringlinge gerade noch rechtzeitig erkennen, um sie zu stoppen, bevor sie ihr Ziel erreichen. Der US-Sicherheitsspezialist Bruce Schneier hat deshalb vor einiger Zeit das Thema „Response“ zum Zentrum der aktuellen Aktivitäten in der Informationssicherheit erklärt. Typische Werkzeuge dazu sind die SIEM-Systeme von Anbietern wie HP, IBM, Logrhythm, Alienvault, Splunk und so weiter, außerdem Network-Behavior-Analysis-Systeme wie die von Vectra Networks und anderen.

Viele dieser Systeme, die grundsätzlich Log- oder Sensordaten einer Vielzahl von Systemen im Netzwerk auswerten, werden von ihren Herstellern mit Mustern von Angriffsstrategien gefüttert, die anderswo bereits aufgefallen sind. Und genau dieses „anderswo aufgefallen“ ist die Wurzel der beiden hier vorgestellten Websites: Sowohl Alienvault als auch IBM und andere Threat-Intelligence-Spezialisten sammeln über ihre Tools – aber auch im direkten Kontakt mit Anwendern – Informationen über aktuelle Bedrohungen und die damit verbundenen Anzeichen und Abläufe, um so die Abwehrleistung ihrer Produkte zu erhöhen.

Gleichzeitig ermöglichen sie es ihren Kunden, in den so gewonnenen Informationen zu recherchieren und sich untereinander über die Gefahren selbst und die Abwehr auszutauschen. Damit nun die Basis für die Community-Aktivitäten wächst, erlauben sie immer häufiger auch Nicht-Kunden die Teilnahme. Natürlich denken sie dabei auch ans Marketing, aber den Nutzen für alle Beteiligten schmälert dies keineswegs.

Bleibt noch die Frage, wie ein Anwender von solchen Plattformen überhaupt profitiert, wenn er die Abwehr- und Erkennungswerkzeuge der Anbieter gar nicht nutzt und beispielsweise keine Chance hat, die jeweils bereitgestellten Musterdateien in sein Threat-Intelligence-System zu übernehmen.

Die Antwort ist einfach: Wann immer er auf irgendeine Weise Anomalien in seinem Netzwerk entdeckt, die er nicht einordnen kann – etwa plötzliche Kommunikation mit einer unbekannten IP-Adresse –, finden er hier möglicherweise Informationen darüber, ob das Phänomen Teil einer bekannten Attacke ist. Und wenn er sich gegen eine bestimmte Angriffsform schützen will, von der er vermutet, dass sie ihm gefährlich werden kann, finden er dort nähere Angaben zu den Indikatoren.

Open Threat Exchange

Die Plattform Open Threat Exchange ist unter www.alienvault.com/open-threat-exchange nach einer einfachen Anmeldung und Überprüfung der E-Mail-Adresse des Interessenten frei nutzbar. Informationen über konkrete Bedrohungen sind dort zu „Pulses“ zusammengefasst, die mehrere Indikatoren für einen Angriff auflisten – in der Sprache der Plattform „Indicators of Compromise“ (IOC). Ein „Pulse“ kann auch von angemeldeten Benutzern angelegt werden oder durch zusätzliche Kommentare ergänzt. Am 30.11.2016 waren auf der Website über 5.700 Pulses aufgeführt, und die Community umfasste über 23.000 Anwender.

Öffnet man die Site, besteht zunächst die Möglichkeit, durch die Pulses zu browsen. Die Seite präsentiert die jeweils aktuellsten Bedrohungsbeschreibungen zuerst. Klickt man auf einen „Pulse“, blendet das System nähere Informationen ein. Sie umfasst neben einem kurzen Beschreibungstext Angaben dazu, ob die Bedrohung zu einer bestimmten Gruppe oder Klasse gehört, ob sie auf bestimmte Branchen und Länder zielt und so weiter. Hinzu kommen Referenzen zu weiteren Beschreibungen oder Quellen.

Über die „IOC“-Sektion erhält der Anwender dann detaillierte Informationen zu den Indikatoren, die auf die Präsenz der Bedrohung schließen lassen. Dazu gehören unter anderem IP-Adressen, zu denen bei der Abarbeitung der „Kill Chain“ eine Verbindung aufgebaut wird, Host-Namen, Dateitypen und immer wieder eingebundene Dateien mit gleichen oder ähnlichen Namen samt ihrer Hash-Werte, wenn sich diese ermitteln lassen. Die Informationen sind übersichtlich aufgebaut und aufgrund zusätzlicher kleiner Grafiken, die etwa die Indikatorklassen zeigen, leicht und schnell zu erfassen.

So bietet Open Threat Exchange zunächst einmal einen guten Überblick über die aktuellen Aktivitäten der Cyberkriminellen und über neue Gefahren im Web. Der größte Nutzen allerdings entsteht über die Suchfunktion. Alle oben genannten Elemente lassen sich auch für die Recherche nutzen – so können Anwender eine verdächtige IP-Adresse eingeben, die ihnen aufgefallen ist, oder auch den Hash-Wert eines suspekten Files und so weiter. Stets listet das System sofort alle Kontexte auf, in denen die entsprechenden Daten schon einmal aufgetaucht sind.

Einstiegsseite von Xforce Exchange.

Dies alles funktioniert gut, aber die Informationsgehalte pro „Pulse“ fallen doch recht unterschiedlich aus. Manchmal sind die Beschreibungen ausführlich und alle Kategorienfelder ausgefüllt, manchmal weist ein Pulse nur einen einzigen Indikator auf und kaum weiterführende Texte. Da das System zu einem guten Teil Community-gespeist ist, ist dies kein Wunder und auch nicht unbedingt zu kritisieren, denn eine umfassende Threat-Beschreibung kann bekanntlich auch nach und nach durch Beiträge mehrerer Nutzer entstehen.

Die Bandbreite der Bedrohungsklassen ist groß. Sie reicht von vielen Varianten der bekannten automatisierten Angriffsformen bis hin zu exotischen Formen wie dem CEO-Phishing, bei dem Führungskräften von Unternehmen eine bestimmte „Invoice“-Datei im PDF-Format erhalten. Sollte ein Security-Anwender also seinen CEO schon soweit „erzogen“ haben, dass er ihm eine ihm suspekte E-Mail tatsächlich zur Begutachtung zustellt, könnte er mittel Open Threat Exchange per Suche nach dem Dateinamen schnell herausfinden, um was es sich handelt.

Xforce Exchange

Xforce Exchange (exchange.xforce.ibmcloud.com) steht ebenfalls allen Interessenten offen. Das System fragt bei der Anmeldung ein paar Informationen mehr ab als die Alienvault-Plattform. Aber auch hier lässt sich die Freigabe von Daten auf wenige Pflichtfelder eingrenzen. Das System macht auf den ersten Blick etwas mehr „Show“ als das von Alienvault, weil es ein animiertes Infoband mit den jeweils aktuellen Threat-Informationen durchlaufen lässt, die Bedrohungen auf der Weltkarte geografisch zuordnet und auch sonst allerlei bedrohliche Statistik einblendet.

X-Force-Exchange speist sich übrigens weniger oder gar nicht aus manuell eingegebenen Bedrohungen, sondern primär aus den Erkenntnissen der Threat-Forscher bei IBM, die ihrerseits die breite installierte Basis von SIEM-Systemen des Herstellers als technische Sensorik nutzen.

Um es gleich auf den Punkt zu bringen: Dieses etwas andere Prinzip hat Vor- und Nachteile. Der Vorteil ist, dass fast alle Threat-Beschreibungen im X-Force-System („Advisories“) von Anfang an gleich ausführlich sind. Die Beschreibungen samt grafischer Aufbereitung haben einen deutlich größeren Umfang. Außerdem finden sich häufig hilfreiche Empfehlungen, wie man eine angelaufene Attacke noch eingrenzen kann. Der Nachteil ist, dass Bedrohungen, die primär menschlichen Augen und Ohren auffallen, nicht so leicht einen Weg in diese Plattform finden.

Die Suchfunktionen beider Systeme sind übrigens praktisch gleich leistungsfähig, und auch das IBM-Angebot erlaubt Recherchen über Indikatoren, den Gedankenaustausch und sogar die Zusammenarbeit in Gruppen zur Auseinandersetzung mit Bedrohungen. Links führen zu Security-Blogs und weiteren Quellen.

Dr. Johannes Wiele ist Security-Spezialist und Autor des LANline Security Awareness Newsletters.