Wussten Sie, dass GMV über einen eigenen Nachrichtendienst verfügt?

Als Mitglied des Dienstes  für digitale Überwachung und Bedrohungsaufklärung von GMV möchte ich hier kurz erklären, worin die Arbeit des Teams besteht, welche Fähigkeiten es hat, wie wir helfen können und welche Vorteile wir unseren Kunden bieten.

Sie fragen sich vielleicht, wer wir sind. Wir sind eine vielseitige und multidisziplinäre Gruppe von technischen und nichttechnischen Spezialisten für Cybersicherheit. Zu uns gehören Ingenieure für Fernmeldetechnik, Absolventen der Fächer Informatik und Cybersicherheit... aber wir haben auch einen Kriminologen, einen Dokumentaristen, einen Philologen, einen Juristen... Alle von uns verfolgen das gleiche Ziel: zu beobachten, welche Bedrohungen unsere Kunden betreffen können, diese zu analysieren und sie zu warnen, bevor sie von Cyberkriminellen angegriffen werden.

Dazu haben wir zwei Teams: Digitale Überwachung e Aufklärung von Bedrohungen.

Digitale ÜberwachungDigitale Überwachung: Das sind die Beobachter der Internetkriminalität. Das Team versetzt sich in die Lage des Angreifers und überwacht unter anderem Folgendes:

• Orte, an denen sich Kriminelle bewegen (Dark- und Deep-Web-Foren, Telegram oder Discord usw.).

• Kampagnen, die gegen die Interessen unserer Kundengeführt werden

• Potenzielle wirtschaftliche, rufschädigende und geschäftliche Schäden

• Datenschutzverstöße, die kriminellen Gruppen einen ersten Zugang verschaffen können

Sie sind die reaktive Kraft der Einheit. So können sie unsere Kunden auf potenzielle Bedrohungen aufmerksam machen. Am besten veranschaulicht dies ein konkretes Beispiel:

Bei der kontinuierlichen Überwachung der Kriminalitätslage mit Hilfe auf Bedrohungsintelligenz spezialisierter Plattformen und Tools (von führenden Anbietern oder selbst entwickelt, um dem dynamischen Umfeld der Cybersicherheit besser Rechnung zu tragen) lassen sich regelmäßig potenzielle Gefährdungen oder Verstöße im Zusammenhang mit Dritten aufdecken, die ein Sicherheitsrisiko für unsere Kundendarstellen können. Werden solche Fälle erkannt, so analysiert und validiert das Team schnell die gesammelten Informationen, um eventuell kompromittierte Anmeldedaten oder andere Vektoren zu identifizieren, die von böswilligen Akteuren ausgenutzt werden können. Dank dieses proaktiven Ansatzes können wir potenziell schwerwiegende Angriffewie Ransomware, unbefugte Zugriffe, Cyberspionage oder Sabotage vorhersehenund so die Vermögenswerte und die Integrität unserer Kunden schützen.

Der Kunde wird innerhalb kürzester Zeit gewarnt, so dass er diese potenziellen Auswirkungen auf sein Geschäft erkennen, verhindern oder beheben und finanzielle Verluste, Rufschädigung, rechtliche Konsequenzen usw. vermeidenkann.

Möglich ist dies dank mehrerer spezialisierter und firmeneigener Instrumente, über die wir verfügen, vor allem aber dank eines hochqualifizierten Teams, das dazu unter anderem verschiedene Quellen wie offene  (OSINT) und menschliche Quellen (HUMINT) auswertet.

BedrohungsintelligenzDer andere Teil des Teams, die Cyber-Bedrohungsforscher, analysieren die vom Digital-Watch-Team beobachteten Ereignisse, um sie zu interpretieren, zu bewerten und in den richtigen Kontext zu setzen und dem Kunden (Entscheidungsträger) verwertbare Informationen (Intelligence)zu liefern.

Sie wissen, wie kriminelle Gruppenvorgehen, kennen ihre Methoden(TTP), wie sie sich durch die Systeme der Opfer bewegen, was sie mit jeder Aktion bezwecken, woher sie kommen, welche Infrastruktur sie haben, welche Malware am häufigsten verwendet wird usw. Sie kennen auch die Trends, Bedrohungen und geopolitischen Ereignisse, die die Risiken und die Kriminalitätslage für die Kunden prägen werden. Zum Beispiel kann der Paradigmenwechsel im Welthandel Staaten zu Cyber-Spionage-Kampagnen veranlassen, um Informationen von Rivalen zu erhalten. Da muss man vorbereitet sein.

Genau darauf kommt es an, denn die Angreifer haben ihre Vorgehensweise und ihre Fähigkeiten an neue Technologien und den globalen Kontext angepasst (Cloud, KI, neue Fähigkeiten zur Erkennung wie EDR, XDR...), so dass unser Team seine Cyberintelligence-Berichte ebenfalls an diese Trends anpassen muss, damit die Entscheidungsfindung der Kunden so genau wie möglich ist.

 Aktive Angriffskampagnen, die für unsere Kunden relevante Sektoren und Regionen betreffen, werden ebenso identifiziert. Werden beispielsweise ausgenutzte Schwachstellen in gängigen Technologienwie VPN-Software aufgedeckt, so analysiert man die verwendeten Techniken, Exploits, möglichen Akteure und Angriffsmethoden (TTPs). Wenn der Kunde eine solche Technologie einsetzt, wird seine Gefährdung bewertet und es werden schnell Angriffsindikatoren (IoAs) generiert, um eine frühzeitige Erkennung und Reaktion zu ermöglichen, die Bedrohung zu antizipieren und so das Risiko von Auswirkungen wie Datendiebstahl oder finanziellem Verlust zu verringern.

Ziel ist es, Dokumente mit operativen und strategischen Informationen zu erstellen, damit die Cybersicherheitsabteilungen unserer Kunden effizientere Entscheidungen treffen können (Priorisierung von Schwachstellen, Anleitung zu offensiven Sicherheitsübungen, Überwachung ausgenutzter Technologien, Entwicklung spezifischer Erkennungsregeln usw.).

Die Fähigkeiten des Teams insgesamt gehen noch darüber hinaus. Sie sind in der Lage, mit Forensik- und Bedrohungsjagdteamszusammen zu wirken, um eine Bedrohung besser zu verstehen, sie zu erkennen und in kürzerer Zeit zu beseitigen (und damit die Auswirkungen zu verringern), sie können Pentesting- und Red-Teams reale kriminelle Vorgehensweisen zur Verfügung stellen, damit diese ihre Intrusionstests besser auf die kriminelle Realität abstimmen können und das Blue Team realistischer vorbereitet wird, und sie können sogar die SOCs (Sicherheits-Einsatzzentrum) bei ihren Aufgaben unterstützen, indem sie Informationen zu Warnmeldungen liefern oder an der Bestückung von Erkennungstools mitwirken.

Wie Sie gesehen haben, sorgt unser Team dafür, dass unsere Kunden sicherer sind. Dank unserer Fähigkeit, Bedrohungen vorherzusehen, konnten wir Unternehmen und Einrichtungen in vielen Sektoren helfen: Banken, Telekommunikation, Regierungsbehörden usw. Bei GMV haben wir uns der Sicherheit verschrieben und sind bestrebt, dabei jeden Tag besser zu werden.

Autor: Daniel Juanes Fernández