Attribution von Cyberangriffen
Auf Tätersuche
Fortsetzung des Artikels von Teil 1
Den Aufwand abwägen
Ein vollständiger Attributionsprozess über alle drei Stufen hinweg ist aufwendig, erfordert viel Know-how und umfangreiche Ressourcen. Auch wenn es wünschenswert wäre – kaum ein Unternehmen kann es sich leisten, immer den ganzen Weg zu gehen. Security-Verantwortliche sollten daher gut abwägen, welchen Grad der Zuordnung sie unbedingt benötigen, um ihr Netzwerk bestmöglich zu schützen und ihre Sicherheitsziele zu erreichen.
Die Basis bildet immer die taktische Attribution: Sie liefert Daten zur akuten Angriffslage und hilft dabei, den Schaden einzugrenzen. Daher ist sie unverzichtbar und zählt zum Standardvorgehen bei der forensischen Untersuchung eines Cyberangriffs.
Je nach Budget, Expertise und individuellen Anforderungen können Security-Verantwortliche anschließend entscheiden, ob sie tiefer graben möchten. Denn die operative und strategische Attribution erfordert weitaus mehr Ressourcen. Unternehmen brauchen zusätzliche Mitarbeiter und Analystenzeit, granulare Sichtbarkeit von Bedrohungen in der gesamten IT-Umgebung, eine hochwertige Datenerfassung sowie formalisierte Prozesse.
Bei der Attribution gleichen die IT-Forensiker interne Erkenntnisse mit Threat
Intelligence (Bedrohungsinformationen) ab, um Zusammenhänge mit bekannten Angriffsmustern und vergangenen Vorfällen herzustellen. So lassen sich Risiken leichter beurteilen und Tätergruppen besser spezifizieren. Neben den eigenen Datenquellen gibt es viele verschiedene Organisationen, die Cybercrime-Informationen bereitstellen, darunter das BKA, Nachrichtendienste, unabhängige Forscher oder Threat-Intelligence-Anbieter. Aber welchen sollte man vertrauen? Sich nur auf externe Quellen zu verlassen, kann die Analyse verfälschen. Denn wenn viele verschiedene Stellen mit unterschiedlicher Methodik arbeiten, führt dies zu Verwirrung. So wurde zum Beispiel das Profil des Bedrohungsakteurs Winnti immer unpräziser – aufgrund von inkonsistenten Verfahren, zweifelhafter Clusterbildung und mangelnder Zusammenarbeit zwischen verschiedenen Sicherheitsorganisationen.
Allerdings wäre es auch fahrlässig, keine externen Quellen zu berücksichtigen und nur eigene Informationen zu nutzen. Denn dann würde man womöglich wertvolle Erkenntnisse verpassen. Der beste Weg liegt in der Mitte: Security-Spezialisten sollten die externen Veröffentlichungen kennen und Überlappungen mit den eigenen Forschungsergebnissen prüfen. Ziel ist also eine unabhängige Attributionsanalyse, die auf Daten der Primärquellen beruht, dabei aber auch externe Forschungsergebnisse berücksichtigt.
Keine voreiligen Schlüsse
Gerade wenn es um die direkte Zuordnung von Cyberangriffen zu einer konkreten Hackergruppe geht, muss die Analyse fundiert und präzise sein. Sonst kommt es zu falschen Anschuldigungen, die gravierende Folgen haben können. Womöglich treffen Politiker Entscheidungen auf Basis der Attribution, andere Ermittlungen laufen in die falsche Richtung und potenzielle Akteure fühlen sich provoziert – ganz zu schweigen vom Reputationsverlust, der für die Sicherheitsforscher entsteht. Trotzdem ist es wichtig, Erkenntnisse frühzeitig mit anderen Threat-Intelligence-Spezialisten zu teilen, um Bedrohungen möglichst zeitnah zu bekämpfen.
Mandiant geht deshalb den Weg, zunächst keine konkreten Namen zu nennen, sondern nicht-kategorisierte Bedrohungscluster (Uncategorized Threat Cluster, UNC) zu erstellen. Sie basieren auf den bisher bekannten Informationen und lassen sich erweitern, wenn neue Artefakte hinzukommen. Sicherheitsforscher können Cluster mit anderen verschmelzen oder wieder abspalten, bis ein immer konkreteres Profil entsteht. Kurz nach dem SolarWinds-Hack im Jahr 2020 hat Mandiant zum Beispiel erste Details über den Bedrohungsakteur unter dem Namen UNC2452 veröffentlicht. Später legten die Threat-Intelligence-Spezialisten diese nicht-kategorisierte Gruppe mit dem Cluster APT29 zusammen. Dank der UNC-Gruppe konnten die Security-Spezialisten sehr früh verwertbare Informationen mit anderen teilen.
Fazit: Zusammenarbeit mit Spezialisten ist angeraten
Die Täter und Drahtzieher hinter einem Cyberangriff zu ermitteln ist eine Wissenschaft für sich. Damit ein möglichst präzises Ergebnis entsteht, brauchen Sicherheitsforscher umfangreiche, hochqualitative Daten aus Primärquellen, fundiertes Know-how und hohe Analysekompetenz. Nur wenige Unternehmen können dies im eigenen Team leisten. Daher empfiehlt es sich, mit einem spezialisierten Dienstleister zusammenzuarbeiten.
Da nach einem Cyberangriff meist die Nerven blank liegen und jede Sekunde zählt, sollten Unternehmen bereits vorab definieren, wie viel Aufwand sie in eine potenzielle Attribution stecken möchten und welches Ziel sie anstreben. Für kleinere Organisationen, die sich darauf konzentrieren, Cyberangriffe zu erkennen und abzuwehren, reicht eine taktische Attribution meist aus. Größere Unternehmen mit einem eigenen Analysten- und Threat-Intelligence-Team führen dagegen auch gerne operative Attribution durch, um Angreifer besser zu verstehen und ihre Security Maßnahmen proaktiv anzupassen.
Eine genaue Identifikation von Akteuren und Drahtziehern ist vor allem für Regierungsbehörden wichtig. Am Ende geht es darum, Aufwand und Nutzen gegeneinander abzuwägen und das richtige Attributionslevel zu finden. Denn die entscheidende Frage lautet: Was ist das Beste für mein Unternehmen?
Jamie Collier ist Senior Threat Intelligence Advisor bei Mandiant.
- Auf Tätersuche
- Den Aufwand abwägen
Lesen Sie mehr zum Thema
