Cyber Threat Intelligence im geopolitischen Kontext

Heute ist Fanta Leiterin der Intelligence Analysis für das Microsoft Threat Analysis Center (MTAC). Sie und ihr Team führen strategische Analysen staatlicher Cyberbedrohungsaktivitäten durch und setzen Cyberbedrohungsdaten in einen geopolitischen Kontext, um das mögliche "Warum" hinter den Aktivitäten aufzudecken.

„Durch die Identifizierung und Kommunikation des "Warum" einer bestimmten Kampagne von Bedrohungsakteuren können wir uns besser vorbereiten und Kunden schützen, die anfällige Ziele sein könnten“, so Fanta. Im Vorfeld der russischen Invasion der Ukraine im Jahr 2022 identifizierte unser Microsoft Threat Intelligence-Team beispielsweise ukrainische Kunden, die im Falle einer Eskalation des Konflikts Cyberangriffen ausgesetzt sein könnten. Die Grundlage dafür bildeten die Sektoren, die ein Land im Kriegsfall angreifen würde, um den Gegner zu schwächen, sowie die Standorte ungepatchter und anfälliger Systeme. Dank der Etablierung dieser Überwachungspraxis und der frühzeitigen Benachrichtigung unserer ukrainischen Partner über Schwachstellen konnten die Bedrohungssuche-Teams Schwachstellen härten, anormale Aktivitäten ermitteln und den Produktschutz beschleunigen.

Um die möglichen Gründe für das Eindringen von Nationalstaaten zu verstehen, müssen wir unser Wissen über geopolitische Entwicklungen, Geschichte, außenpolitische Ziele und aktuelle Ereignisse in die Diskussion über Cybertaktiken, -techniken und -verfahren und Viktimologie einbringen. Ein typischer Tag für Fanta besteht u. a. darin, aktuelle internationale und die Cybersicherheit betreffende Nachrichten zu verfolgen. Außerdem überprüft sie die neuesten Erkenntnisse von Microsoft Threat Intelligence mit ihren Kolleginnen und Kollegen aus dem Bereich Bedrohungssuche, die verschiedene Perspektiven in die Untersuchungen einbringen.

In jüngster Zeit haben Fanta und ihr Team eine rasante Entwicklung der Cyberkriegsführungstaktiken auf den Schlachtfeldern der Ukraine beobachtet (für weitere Informationen zu den Trends in der hybriden Kriegsführung in der Ukraine siehe 7 neue Trends der hybriden Kriegsführung im russischen Cyberkrieg).

„Zum ersten Mal haben wir den Einsatz von Cyberangriffen als Teil einer umfassenderen Kriegsführung in diesem Ausmaß gesehen“, sagt Fanta. „Und wir hatten nicht erwartet, dass nichtstaatliche Akteure – Cyberfreiwillige, Hacktivisten und der Privatsektor – in diesem Konflikt eine so große Rolle spielen würden.“

Als Beispiel erzählt Fanta, wie neue Partnerschaften zwischen öffentlichen und privaten Einrichtungen der Ukraine dabei geholfen haben, ihre Netzwerke und Informationsräume zu schützen. Durch das Aufspüren von Bedrohungen, das Schreiben von Code zur Verbesserung von Sicherheitsprodukten und das Verfassen von Blogs zur Sensibilisierung für böswillige Kompromittierungen (Incidents of Compromise, IOCs) und Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) haben die vereinten Bemühungen der ukrainischen Cybersicherheitsexperten und von internationalen öffentlichen und privaten Communitys die Arbeit der Bedrohungsakteure, die ukrainische Netzwerke angreifen, erschwert.