IT-Sicherheitsanalysten eine Frage stellen – mit Ask the Analyst leicht gemacht

Mitarbeiter von IT-Sicherheitszentralen (Security Operations Center, SOC) und Abteilungen für Informationssicherheit bitten die Experten von Kaspersky oft um Hilfe. Wir haben die Ursachen der am häufigsten gestellten Anfragen analysiert und einen speziellen Service ins Leben gerufen, der es den Kunden ermöglicht ihre Fragen direkt an den richtigen Fachexperten zu stellen.

Wofür die Hilfe eines Experten erforderlich ist

Die Bedrohung von Cyberangriffen nimmt stetig zu und Internetverbrecher finden immer mehr Möglichkeiten, um ihre Ziele zu erreichen, besonders durch das Entdecken von neuen Schwachstellen in Soft- und Hardware (von Anwendungen, Servern, VPN-Gateways und Betriebssystemen), die sofort für Exploits verwendet werden. Hunderttausende neue Malware-Exemplare tauchen täglich auf und zahlreiche Organisationen aus den verschiedensten Bereichen, einschließlich Großunternehmen und Behörden, fallen den Angriffen zum Opfer. Darüber hinaus tauchen auch regelmäßig neue ausgeklügelte Bedrohungen auf und komplexe APT-Angriffe (Advanced Persistent Threat) stellen eine Gefahr für Organisationen dar.

Unter diesen Umständen spielt Bedrohungsanalyse (engl. Threat Intelligence, TI) eine wichtige Rolle. Nur mit den aktuellsten Informationen zu den Tools und Taktiken der Angreifer ist es möglich ein effektives Schutzsystem aufzubauen. Außerdem sind diese Informationen bei Vorfällen erforderlich, um eine aufschlussreiche Untersuchung durchzuführen, Eindringlinge im Netzwerk aufzuspüren und rauszuwerfen. Darüber hinaus ist es ausschlaggebend den ersten Angriffsvektor zu finden, um einen erneuten Angriff zu vermeiden.

Organisationen, die Bedrohungsanalyse durchführen möchten, brauchen einen qualifizierten Mitarbeiter, der TI-Anbieterdaten in der Praxis anwenden kann. Dieser Experte spielt bei jeder Bedrohungsuntersuchung die wichtigste Rolle. Allerdings ist die Einstellung, die Fortbildung und die Bindung von Cybersicherheitsanalysten teuer und nicht jedes Unternehmen kann sich ein Expertenteam leisten.

Häufig gestellte Fragen

Bei Kaspersky gibt es mehrere Abteilungen, die den Kunden bei Cybervorfällen mit Rat und Tat zur Seite stehen. Zu diesen Abteilungen zählen: das Forschungs- und Analyseteam (Global Research and Analysis Team GReAT), the Global Emergency Response Team (GERT) und das Kaspersky Threat Research Team. Insgesamt arbeiten über 250 erstklassige Analysten und Experten in unseren Teams und diese Teams erhalten eine Menge Anfragen von Kunden zu Cyberbedrohungen. Durch die Analyse der Anfragen, die wir in letzter Zeit erhalten haben, konnten wir einige Kategorien identifizieren.

Analyse von Malware oder verdächtiger Software

Ein Szenario, das relativ häufig vorkommt, umfasst die Trigger der Erkennungslogik von Regeln für Endpoint-Sicherheit oder Bedrohungssuche (engl. Threat Hunting). Das IT-Sicherheitsteam oder die SOC-Mitarbeiter untersuchen die Warnung, finden ein schädliches oder verdächtiges Objekt, aber verfügen nicht über die erforderlichen Ressourcen, um eine detaillierte Studie durchzuführen. Das Unternehmen wendet sich an Kaspersky-Experten, um die Funktionalität des gefundenen Objekts herauszufinden, zu überprüfen, wie gefährlich es tatsächlich ist und wie gewährleistet werden kann, dass der Vorfall nach dem Entfernen des Objekts vollkommen beendet ist.

Wenn unsere Experten schnell identifizieren können, auf welche Bedrohung sich die Informationen beziehen, die der Kunden geschickt hat (wir verfügen über eine riesige Wissensdatenbank mit den gängigen Angreifer-Tools und mit mehr als eine Milliarde an einzigartigen Malware-Exemplaren), wird sofort auf die Anfrage geantwortet. Ist das nicht der Fall, ist eine ausführlichere Untersuchung erforderlich und bei komplexen Fällen kann es manchmal ein bisschen länger dauern.

Zusätzliche Informationen zu Gefährdungsindikatoren

Die meisten Unternehmen verwenden eine Reihe von unterschiedlichen Quellen für die Gefährdungsindikatoren (engl. Indicators of Compromise, IoCs). Wie wertvoll ein Gefährdungsindikator ist, hängt im Wesentlichen von der Kontextverfügbarkeit ab, bzw. von der Verfügbarkeit der zusätzlichen Informationen über den Indikator und deren Bedeutung. Leider steht dieser Kontext nicht immer zur Verfügung. Gehen wir davon aus, dass ein SOC-Analyst einen bestimmten Gefährdungsindikator im SIEM-System (kurz für Security Information and Event Management) entdeckt. Der Mitarbeiter erkennt außerdem einen Auslöser, der zu einem Vorfall führen könnte, aber die erforderlichen Informationen zum Fortfahren mit der Untersuchung stehen nicht zur Verfügung.

In diesen Fällen kann eine Anfrage an Kaspersky gesendet werden, um mehr Informationen zu dem entsprechenden Gefährdungsindikator bereitzustellen. Oft stellt sich heraus, dass der Indikator für eine Kompromittierung ernst genommen werden sollte. Beispielsweise erhielten wir einmal eine IP-Adresse, die im Traffic-Feed des Unternehmens gefunden wurde (d. h. es wurde vom Unternehmensnetzwerk darauf zugegriffen). Bei der Adresse war u. A. ein Software-Management-Server namens Cobalt Strike gehostet, ein leistungsstarkes Remoteserver-Verwaltungstool (oder schlicht und einfach eine Backdoor), das von allen Arten von Internetverbrechern verwendet wird. Wenn ein Cobalt-Strike-Server entdeckt wird, ist das in den meisten Fällen ein Anzeichen dafür, dass das Unternehmen bereits angegriffen wurde (es kann sich dabei um einen echten Angriff oder eine Cyberübung handeln). Unsere Experten stellen zusätzliche Informationen zu diesem Tool bereit und empfehlen umgehend eine Vorfallreaktion (eng. Incident Response, IR) durchzuführen, um die Gefahr zu bannen und die Hauptursache festzustellen, die zu dieser Kompromittierung geführt hat.

Anfragen zu Taktiken, Techniken und Abläufen

Gefährdungsindikatoren reichen längst nicht aus, um einen Angriff abzuwehren oder einen Vorfall zu untersuchen. Sobald festgestellt werden konnte, welche Internetverbrechergruppe hinter dem Angriff steckt, brauchen SOC-Analysten in der Regel Informationen zu den Taktiken, Techniken und Abläufen (engl. Tactics, Techniques and Procedures, TTPs) – sie brauchen genaue Daten zum Modus Operandi der Gruppe, um herauszufinden, wo und wie die Angreifer in die Infrastruktur gelangen konnten, detaillierte Informationen zu den Methoden, die die Bedrohungsakteure verwenden, um sich im Netzwerk einzunisten und auch wie die Datenexfiltration durchgeführt wird. Diese Informationen stellen wir im Rahmen unseres Services Threat Intelligence Reporting zur Verfügung.

Die Methoden von Internetverbrechern – selbst, wenn sie derselben Gruppe angehören – können sehr unterschiedlich ausfallen. Deshalb ist es unmöglich alle Details in einem Bericht festzuhalten – nicht einmal sehr detaillierte Berichte enthalten alle Informationen. Aus diesem Grund fragen uns TI-Kunden, die unsere Berichte zu fortgeschrittener andauernder Bedrohung (engl. Advanced Persistent Threat, APT) und Bedrohungen durch Crimeware anwenden, manchmal nach zusätzlichen Informationen zu konkreten Aspekten der Angriffstechnik im Rahmen eines bestimmten Kontextes des Kunden.

Bis jetzt haben wir auf diese Arten von Fragen und viele andere über spezielle Services geantwortet oder im begrenzten Rahmen über den technischen Support. Die Zunahme dieser Anfragen in letzter Zeit und die Tatsache, dass das Fachwissen und Know-how unserer Experten von großem Wert für Unternehmen sind, hat uns dazu angeregt einen spezifischen Service namens „Kaspersky Ask the Analyst“ anzubieten, der schnellen Zugang zur Beratung unserer Experten über einen einzigen Kanal bietet.

Service „Ask the Analyst“ von Kaspersky

Unser neuer Service ermöglicht es Mitarbeitern (insbesondere SOC-Analysten und Informationssicherheitsexperten) Ratschläge von Kaspersky-Experten zu erhalten, wodurch die Untersuchungen für die Unternehmen erheblich kostengünstiger ausfallen. Da wir uns der Wichtigkeit von rechtzeitiger Bedrohungsinformationen bewusst sind, bieten wir Dienstgütevereinbarungen (DGV) für alle Arten von Anfragen an. Mit Kaspersky Ask the Analyst genießen Informationssicherheitsexperten folgende Services:

• Erhalt von zusätzlichen Informationen zu Kaspersky Threat Intelligence Reporting, einschließlich der Gefährdungsindikatoren und Analysekontext vom Forschungs- und Analyseteam (GReAT) sowie dem Kaspersky Threat Research Team. Je nach der spezifischen Situation, werden die Verbindungen besprochen, die zwischen den gefundenen Indikatoren und den Aktivitäten bestehen, die in den Berichten beschrieben werden.
• Erhalt einer detaillierten Analyse des Verhaltens der identifizierten Exemplare. Des Weiteren wird der Zweck bestimmt und der Kunde erhält Ratschläge dazu, wie er die Folgen des Angriffs minimieren kann. Auch die Experten im Bereich Vorfallreaktion des Kaspersky Global Emergency Response Teams werden bei der Aufgabe helfen.
• Erhalt der Beschreibung einer bestimmten Malware-Familie (beispielsweise für eine spezifische Ransomware). Außerdem erhält der Kunde Beratung für effektive, individuell angepasste Schutzmaßnahmen gegen die Bedrohung und zusätzlichen Kontext für relevante Gefährdungsindikatoren (Hashfunktionen, URLs, IP-Adressen usw.), damit Warnungen oder Vorfälle mit diesen Indikatoren priorisiert werden können. Diese Informationen werden von den Experten des Kaspersky Threat Research Teams bereitgestellt.
• Erhalt der Beschreibung einer spezifischen Schwachstelle und deren Schweregrad, einschließlich Informationen darüber, wie die Lösungen von Kaspersky vor Exploits dieser Sicherheitslücke schützen. Diese Daten werden ebenfalls von den Experten des Kaspersky Threat Research Teams zur Verfügung gestellt.
• Anfrage für eine individuelle Untersuchung (Suche) von Darkweb-Daten. Dadurch können wertvolle Informationen zu relevanten Bedrohungen bereitgestellt werden, die wiederum nützlich sind, um effektive Maßnahmen zur Abwehr oder zur Minimierung der Folgen von Angriffen zu ergreifen. Die Untersuchungen werden von unseren Experten der Cyber-Sicherheitsservices durchgeführt.

Weitere Informationen zu diesen Services finden Sie auf unserer Website.