Nkom EkomCERT

Anwendungsfall:

• Anreicherung und Priorisierung von Schwachstellendaten
• Situationsbewusstsein für drohende Angriffe bereitstellen
• Kartierung der Bedrohungslandschaft für die langfristige Planung

Herausforderung:

Ein kleines Sicherheitsteam benötigte Zugang zu einer breiten Palette von Informationen aus dem offenen und dem Dark Web, gefiltert für eine bestimmte Branche (Telekommunikation) und eine bestimmte Region (Skandinavien).

Lösung:

• Vulnerability Intelligence
• Splunk Enterprise Integration
• Threat Intelligence
• Brand Intelligence
• Research- und Analysten-On-Demand-Services der Recorded Future Insikt Group

Ergebnisse:

• Sicherheitslücken wurden anhand des tatsächlichen Risikos für norwegische Telekommunikationsunternehmen einer Triage unterzogen und priorisiert.
• Frühzeitige Warnung vor Phishing, Ransomware, DDoS und anderen Angriffen
• Norwegische Telekommunikationsunternehmen und Regierungsbehörden können im Laufe der Zeit bessere Entscheidungen über die Stärkung von Sicherheitsprogrammen treffen.

Regierungsbehörden nutzen Intelligence, um Schwachstellen zu priorisieren und die sich entwickelnde Bedrohungslage für Kommunikationsunternehmen zu verfolgen

Schutz der norwegischen Telekommunikationsindustrie

Die norwegische Kommunikationsbehörde (Nasjonal kommunikasjonsmyndighet, oder Nkom) ist eine Regierungsbehörde, die Organisationen beaufsichtigt und unterstützt, die elektronische Kommunikationsdienste in Norwegen anbieten, hauptsächlich Telekommunikationsunternehmen. Eine ihrer Hauptaufgaben besteht darin, für die Sicherheit und Widerstandsfähigkeit elektronischer Kommunikationsnetze zu sorgen.

Ole Kristoffer Apeland ist Chief Security Engineer und Team Lead bei Nkom EkomCERT. Das Team, das er leitet, arbeitet mit norwegischen Telekommunikations- und digitalen Kommunikationsunternehmen zusammen, um ihnen bei der Prävention von Cyberangriffen und der Vorbereitung auf neu auftretende Bedrohungen zu helfen.

Oles Team hatte die Aufgabe, böswillige Akteure zu identifizieren, die es auf Telekommunikations- und E-Commerce-Unternehmen in Norwegen abgesehen haben, und die Sicherheitslücke zu ermitteln, die diese typischerweise ausnutzen, um Daten zu stehlen, Betrug zu begehen und Netzwerke zu stören. Das Team musste über allgemeine Trends und allgemeine Sicherheitslücken hinausgehen, um die spezifischen Angriffe der Telekommunikationsbranche zu lokalisieren, die in Skandinavien aktiv sind oder dort wahrscheinlich bald aktiv sein werden. Nur mit diesen Informationen wären die Telekommunikationskunden von Nkom EkomCERT in der Lage, die spezifischen Sicherheitslücken, die eine reale Bedrohung für ihr Geschäft darstellen, zu priorisieren und abzumildern.

Die kleine Gruppe stand vor einer ähnlichen Herausforderung, Sichtbarkeit in die sich entwickelnde Bedrohungslandschaft für norwegische Telekommunikationsunternehmen zu gewähren. Sie mussten Entwicklungen im Zusammenhang mit Phishing, Ransomware, Distributed Denial of Service (DDoS)-Angriffen, Advanced Persistent Threats (APTs), Verbraucherbetrug und anderen Bedrohungen überwachen und Erkenntnisse liefern, um norwegische Telekommunikations- und digitale Kommunikationsunternehmen bei der Planung ihrer Investitionen in Personal und Sicherheitstechnologien zu unterstützen.

Ole und sein Team erkannten, dass sie nicht über die erforderlichen Ressourcen verfügten, um die tiefgreifenden, sektorspezifischen Informationen in Echtzeit zu erhalten, die sie zur Erfüllung ihrer Aufgabe benötigten. Nach der Evaluierung von Intelligence-Angeboten mehrerer Unternehmen wählten sie Recorded Future als das Unternehmen aus, das die besten Informationen und den besten Support bieten konnte.

Anreicherung von Daten zu Sicherheitslücken für risikobasiertes Patching

Nkom EkomCERT erhält einen stetigen Strom neu entdeckter Sicherheitslücken von einer Vielzahl von Technologieanbietern und Branchenquellen wie der CVE-Datenbank. Vor dem Einsatz der Erkenntnisse von Recorded Future bestand die Herausforderung darin, zu ermitteln, welche Sicherheitslücken eine unmittelbare Bedrohung für norwegische Telekommunikations- und digitale Kommunikationsunternehmen darstellten und wie man die Angriffe, die diese Sicherheitslücken ausnutzen, am besten abmildern könnte.

Oles Team nutzt Recorded Future Vulnerability Intelligence und die Integration von Recorded Future mit Splunk Enterprise, um ihre Daten zu Sicherheitslücken in Splunk anzureichern, damit sie sich ein klares Bild vom Risiko jeder Sicherheitslücke für ihr Unternehmen machen können, basierend auf der Wahrscheinlichkeit ihrer Ausnutzung. In einer einzigen Übersicht hilft die durch die Integration von Recorded Future und Splunk Enterprise bereitgestellte Erweiterung Nkom EkomCERT dabei, die Behebung der wichtigsten Sicherheitslücken zu priorisieren.

„Die Splunk-Integration von Recorded Future ermöglicht es uns, die richtigen Sicherheitslücken effektiv zu priorisieren und schnell darauf zu reagieren.“ Es hilft uns, herauszufinden, wo wir unsere Zeit am besten einsetzen, denn oft gibt es mehr Arbeit als Menschen. Die Anreicherung von Daten zu Sicherheitslücken, die die Recorded Future Splunk Integration bietet, ermöglicht es uns, sicher zu sein, dass wir unsere Anstrengungen dort einsetzen, wo es zählt“, sagt Ole.

In der Vergangenheit stützte sich das Team von Ole auf andere Informationsquellen zur Anreicherung ihrer Sicherheitslücken, stellte jedoch fest, dass die anderen Anbieter nicht das erforderliche Maß an Anreicherung boten. Ole berichtet: „Wir haben früher andere Anbieter genutzt, um zusätzlichen Kontext zu Sicherheitslücken zu erhalten, aber deren Daten und Dienstleistungen entsprachen nicht unseren Qualitätsstandards.“ Wir nutzen Recorded Future Vulnerability Intelligence und die Splunk-Integration bereits seit vielen Jahren, und sie sind ein zentraler Bestandteil unseres aktuellen Betriebs.“

Zusätzlich zur Nutzung der von Recorded Future bereitgestellten Anreicherung, die direkt in ihrer Splunk-Instanz zugänglich ist, verlassen sie sich auch auf die Vulnerability Intelligence innerhalb der Recorded Future Intelligence Platform, um das tatsächliche Risiko zu bewerten. Mit der Intelligence können Ole und sein Team den Kontext jeder Sicherheitslücke sehen, einschließlich Beispielen für die frühere Ausnutzung der Sicherheitslücke, Verbindungen zu Angriffsarten und Bedrohungsakteuren sowie einer Risikobewertung. Für Oles Team liegt der Hauptfokus auf der Identifizierung von Sicherheitslücken in gängigen Produkten innerhalb von Telekommunikationsunternehmen und der Benachrichtigung ihrer Stakeholder. Sobald eine potenziell wichtige Sicherheitslücke identifiziert wurde, verwendet das Team Informationen von Recorded Future, um sie anhand zeitlicher Metriken zu bewerten, insbesondere ihrer Phase im Lebenszyklus der Sicherheitslücke.

Verwendung des Schwachstellenlebenszyklus

Schwachstellen durchlaufen einen Lebenszyklus. Sie entwickeln sich im Laufe der Zeit von der Entdeckung und Ankündigung (wenn Exploits theoretisch sind) über die Entwicklung von Proof-of-Concept-Code (der zeigt, dass eine Ausnutzung möglich ist, aber nicht ohne weiteres für Angriffe verwendet werden kann) bis hin zu funktionalem Exploit-Code (der von erfahrenen Angreifern verwendet werden kann), bis hin zu Exploit-Kits, die im Dark Web verfügbar sind (die weniger erfahrenen Angreifern die Ausnutzung erleichtern), bis hin zur aktiven Ausnutzung in der Realität.

Sicherheitslücken in den späteren Phasen der Timeline sind anfällig für Ausnutzung und müssen umgehend behoben werden. Die in einem frühen Stadium befindlichen Sicherheitslücken stellen zukünftige Risiken dar, sollten jedoch erst nach hochpriorisierten Sicherheitslücken angegangen werden.

Die von Recorded Future bereitgestellten Informationen ermöglichen es Nkom EkomCERT, Sicherheitslücken anhand ihres Entwicklungsstadiums zu bewerten. Nkom EkomCERT teilt diese Bewertungen mit norwegischen Telekommunikationsunternehmen und Regierungsbehörden, damit diese die Sicherheitslücken durch Triage priorisieren und diejenigen einstufen können, die am ehesten in naher Zukunft ausgenutzt werden.

Bereitstellung von Situationsbewusstsein für bevorstehende Angriffe

Telekommunikationsunternehmen sind einer Vielzahl von Cyberbedrohungen ausgesetzt: DDoS-Angriffen auf ihre Netzwerke, APTs, Phishing, Ransomware-Angriffen auf ihr Unternehmen und Betrugskampagnen gegen ihre Kunden. Eine der Aufgaben von Nkom EkomCERT ist es, norwegische Telekommunikationsunternehmen frühzeitig vor Aktivitäten in diesen Gebieten zu warnen, damit sie sich auf die nächste Bedrohungswelle vorbereiten können.

Oles Team verlässt sich auf Recorded Future, um Indikatoren für bevorstehende und laufende Angriffe aufzudecken. Um Frühwarnungen bereitzustellen bietet Recorded Future:

• Durchsucht Hunderte von Dark-Web-Foren nach Beiträgen über Bedrohungen für Telekommunikationsunternehmen und skandinavische Firmen, einschließlich Phishing-Kampagnen und Ransomware-Angriffen.
• Überwacht Darknet-Marktplätze auf Code und Exploit-Kits, die für APTs verwendet werden könnten, die auf kundenorientierte Anwendungen und DDoS-Angriffe auf Netzwerke abzielen.
• Durchsucht Code-Repositorys und Darknet-Marktplätze nach gestohlenen Anmeldedaten im Zusammenhang mit Internet-Domains, die von norwegischen Telekommunikationsunternehmen und ihren Tochtergesellschaften verwendet werden, um vor Kontoübernahmen und Credential-Stuffing-Angriffen zu warnen

Da Telekommunikationsunternehmen heute eine breite Palette von Dienstleistungen anbieten, decken die Daten von Recorded Future für Nkom EkomCERT ein breites Spektrum an Branchensegmenten und Technologien ab, darunter Mobilfunk- und Festnetzdienste, Messaging- und Kollaborationsanwendungen, Internetdienste sowie Streaming-Medien und Unterhaltung.

Kartierung der Bedrohungslandschaft für die langfristige Planung

Nkom EkomCERT spielt eine Schlüsselrolle bei der Kartierung der Bedrohungslandschaft für norwegische Telekommunikationsunternehmen und andere Regierungsbehörden. Um diese Aufgabe zu erfüllen, nutzt Oles Team Informationen von Recorded Future, um die sich entwickelnden Aktivitäten böswilliger Akteure zu überwachen und Echtzeit-Sichtbarkeit in Trends im Zusammenhang mit Phishing, Ransomware, DDoS-Angriffen (Distributed Denial of Service), APTs, Verbraucherbetrug und anderen Bedrohungen im Telekommunikationssektor zu ermöglichen. Die Breite und Tiefe der Berichterstattung von Recorded Future über offene und Dark Web-Quellen sowie die Kontextualisierung und Analyse von Angriffen ermöglichen es Nkom EkomCERT und norwegischen Telekommunikations- und digitalen Kommunikationsunternehmen, die Bedrohungen, die ihre Geschäftstätigkeit am ehesten beeinträchtigen könnten, vorherzusehen und sich darauf vorzubereiten.

Das Team von Ole nutzt auch umfassend die Analysen und Erkenntnisse der Recorded Future Insikt Group, einem Team von erfahrenen Bedrohungsforschern, das Analyst-on-Demand-Dienste und gezielte Bedrohungsforschung für Kunden von Recorded Future anbietet. Die Expertise von Nkom EkomCERT im Bereich Cybersicherheit, unterstützt durch die Informationen und Erkenntnisse von Recorded Future, hat norwegischen Telekommunikationsunternehmen und Regierungsbehörden geholfen, im Laufe der Zeit intelligente Entscheidungen über die Ressourcenallokation und die Stärkung ihrer Sicherheitsprogramme zu treffen.

Wie Recorded Future den Erfolg von Nkom EkomCERT unterstützt

Ole und sein Team sind der Meinung, dass die Informationen von Recorded Future ihre Fähigkeit, den norwegischen Telekommunikationssektor zu beraten, erheblich verbessert haben. Besonders angetan sind sie von der Fähigkeit von Recorded Future:

• Anreicherung grundlegender Daten zu Sicherheitslücken mit Kontext- und Zeitmetriken.
• Systematische Überwachung hunderter öffentlicher und Dark-Web-Websites auf Anzeichen bevorstehender Angriffe
• Erstellung von Informationen speziell für Telekommunikationsunternehmen in Skandinavien
• Kontinuierliche Aktualisierung der Informationen, um das Lagebewusstsein aufrechtzuerhalten
• Bereitstellung von Daten über kritische Cybersicherheitstrends und Einblicke, wie diese auf Nkom EkomCERT und seine Mitglieder zutreffen.
• Schneller Support und Expertenhilfe