Im Netz tobt ein Katz-und-Maus-Spiel zwischen Cyberkriminellen und Menschen, die versuchen, die IT-Infrastruktur zu schützen. Weil die Hacker aber ständig neue Techniken anwenden und ihre Methoden anpassen, ist das für die Abwehr gar kein so leichtes Unterfangen. Holger Unterbrink ist Technical Leader der Security-Forschenden von Cisco Talos. Zusammen mit seinen Mitarbeitenden sucht er nach Gefahren für die Cybersicherheit. Inside-it.ch hat mit ihm über seine Arbeit gesprochen.

Sein Team hat die Aufgabe, neue Bedrohungen zu finden, diese zu analysieren und die Resultate daraus zu veröffentlichen. Dabei stehen insbesondere unbekannte Herangehensweisen im Fokus. "Wir berichten nicht über eine der unzähligen Varianten von Emotet, über die schon viele andere geschrieben haben, sondern es geht um ganz neue Erkenntnisse. Das kann zum Beispiel eine neue Technik sein, die der Angreifer verwendet hat", so der Security-Forscher.

Das Team von Holger Unterbrink besteht aus zahlreichen Reverse Engineers, Vulnerability Researchern sowie diversen Security-Spezialisten aus dem ISP-, Spam- und DNS-Bereich. Dazu gibt es Incident Responders, die bei Cyber­an­griffen direkt bei den Kunden eingesetzt werden können. Wenn diese eine Malware finden, können die Mitarbeitenden die Software analysieren und versuchen herauszufinden, was genau passiert ist.

Ein Teil der Arbeit wird dabei auch mit Machine Learning erledigt. "Es steckt aber immer noch ganz viel Handarbeit darin", so Unterbrink. Täglich werden unzählige Telemetriedaten von Cisco-Geräten gesammelt, wenn die Kunden dem zustimmen. Diese müssen dann zuerst von Data Scientists aufbereitet werden, bevor sie von den Forschenden untersucht werden können. "Dafür gibt es zahlreiche automatisierte Algorithmen, die gezielt nach unbekannten Bedrohungen suchen oder Daten kategorisieren können."

Wenn die KI bestimmte Indikatoren in der Telemetrie findet, die auf eine Malware hindeuten, kann sie diese voll automatisiert melden. Viele dieser Meldungen sind aber nur als Verdachtsfälle klassifiziert. "So kann sich eine Meldung beispielsweise als bösartige Software herausstellen oder es kann sein, dass ein Administrator einfach nur gerade etwas erledigt. Dass sind dann die Fälle, die sich ein Mensch genauer anschauen muss, um dies richtig beurteilen zu können."

Für die Aufbereitung der riesigen Datenmenge werden die Informationen in Clustern zusammengefasst. "Wenn sie das manuell durchsuchen wollen, brauchen sie entweder unglaublich viel Zeit oder Mitarbeitende dafür", so Unterbrink. "In einem Tag ist das kaum zu schaffen." Stattdessen hilft der Algorithmus bei der Klassifizierung und reduziert so die Komplexität. Am Ende entstehen so verschiedene Gruppen, die gewisse Verhaltensmuster zusammenfassen.

Die Cluster bestehen aus Logeinträgen, die bestimmte Zusammenhänge aufweisen. Dank der Gruppierung der Daten muss der zuständige Threat Researcher nicht mehr Zehntausende einzelne Zeilen Code analysieren, sondern kann sich Einzelfälle anschauen, um festzustellen, ob es sich um einen Cyberangriff handeln könnte. Sollte sich ein Verdachtsfall erhärten, können die Forscher auch die anderen Einträge vertieft prüfen. Dazu werden die Logs in zeitlicher Reihenfolge analysiert.

Durch die Untersuchung der Logeinträge ergeben sich dann Hinweise auf mögliche Sicherheitsverletzungen. "So wird das Bild über einen Cyberangriff sukzessive immer grösser und man entdeckt Sachen, die man so vorher noch nie gesehen hat." Danach wird analysiert, ob schon etwas über die mögliche Bedrohung bekannt ist. "Und falls nicht, geht man eben tiefer hinein", so der Forscher des Threat Research Departments von Cisco.

So kommt man zum Pivoting. Dabei werden die Logeinträge nach weiteren Merkwürdigkeiten untersucht. Dort wird dann zum Beispiel geschaut, mit wem der infizierte Computer kommuniziert hat. Das wiederum führt dann zu einer IP-Adresse, mit der vielleicht auch schon andere Systeme kommuniziert haben. So kommen dann in einer forensischen Analyse auch weitere Hinweise wie eine E-Mail-Adresse oder ein Username zu Tage.

Andere Wege, die zu neuen Hinweisen führen können, sind etwa Domains, Zertifikate oder URL-Adressen, aber auch Informationen aus Darknet-Foren, von Blockchains oder externen Partnern. So werden schlussendlich immer mehr Daten zusammengetragen, die miteinander verglichen werden können, um sich ein Bild über die Kampagne zu machen. Mit jeder neuen Erkenntnis ergeben sich so wieder neue Hinweise.

Sobald eine Malware entdeckt wurde, startet das Reverse Engineering. "Damit versucht man, weitere Informationen innerhalb der Schadsoftware zu finden. Da gibt es auch wieder unzählige Informationen, die man finden kann. So lässt sich beispielsweise anhand des Zeitstempels feststellen, zu welcher Zeit und allenfalls auch wo der Cyberkriminelle arbeitet, sollte sich beispielsweise herausstellen, dass jeweils von 9:00 bis 17:00 Uhr in einem fremden Land gearbeitet wird."

Diese Arbeit vergleicht Unterbrink mit einem Puzzle. Dabei unterscheidet sich die Vorgehensweise darin, von welchem Puzzleteil man anfängt. "Im Optimalfall ist das jeweils ein Eckstück, doch im Threat Research können wir das nicht auswählen. Wir müssen mit dem starten, was wir haben", so der Security-Forscher. Von diesem Teil aus muss man dann das Gesamtbild finden. Schlussendlich fliessen die Erkenntnisse des Threat Research Departments dann auch wieder in die Cisco-Produkte ein, um das Schutzniveau aktuell zu halten und zu verbessern.