Studiere deinen Feind: IoCs als Bausteine einer effektiven IT-Verteidigung

Inhaltsverzeichnis

Nach einem Einbruch in ein Firmengebäude käme wohl kaum jemand auf die Idee, alle Relikte der Tat achtlos in einen Müllsack zu stopfen, einmal gründlich durchzusaugen und dann zum Business as usual zurückzukehren. Schließlich kann jede Spur vom Stofffetzen über das verlorene Werkzeug bis hin zum kaputten Türschloss helfen, den Täter zu ermitteln. Kombiniert man solche Hinweise, entsteht bestenfalls ein umfassendes Gesamtbild des Einbruchsgeschehens.

Gleiches gilt im digitalen Raum. Letztlich sind kompromittierte Netzwerke nichts anderes als digitale Tatorte voller Relikte unberechtigten Zugriffs, sogenannter Indicators of Compromise (IoCs, deutsch: Kompromittierungsindikatoren). Indem man sie sammelt, auswertet und zueinander in Beziehung setzt, lernt man die Kompromittierung, sei es nun ein gezielter Angriff oder eine großflächige Schadcode-Infektion, besser verstehen.

Aber auch über einen aktuellen Vorfall hinaus, sind IoCs nützlich. So deutet ihr Vorhandensein in anderen Netzen darauf hin, dass dort ebenfalls was im Argen liegen könnte. Und ein Verständnis der Vorgehensweise hilft, effektive Erste-Hilfe-Maßnahmen umzusetzen und passgenaue Verteidigungsstrategien zu entwickeln. Zudem befähigt es IT-Verantwortliche, Details zum Sicherheitsvorfall präzise zu kommunizieren. Im eigenen Team, aber auch gegenüber Mitarbeitern, der Öffentlichkeit oder anderen gefährdeten Organisationen.

In den letzten Jahren haben sich IoCs folgerichtig zu einem wichtigen Werkzeug für IT-Verteidiger entwickelt. So wichtig, dass das britische National Cyber Security Centre (NCSC) und die Internet Engineering Task Force (IETF) vor wenigen Monaten einen wegweisenden Informationsbeitrag in Form des Request for Comments 9424 (RFC 9424) zu diesem Thema veröffentlicht haben. Wir erklären auf dieser Grundlage, was IoCs konkret sind, was man mit ihnen machen kann und was es zu beachten gilt.