RSA: FraudAction & Cyber Intelligence

0

Kunden von RSA, heute ein Teil von Dell EMC, bekommen Tools und Lösungen an die Hand, um sich erfolgreich gegen Fraud-Gefahren zur Wehr setzen zu können.

RSA, einer der größten Anbieter von ganzheitlichen Security-Lösungen, wurde 2006 von EMC übernommen, um den Kunden mehr Schutz ihrer Daten vor Angriffen aus dem Internet zu bieten. Mit der Akquisition von EMC durch Dell ist auch dieser Unternehmensteil an den neuen Eigentümer übergegangen – nicht ganz ohne Friktionen, da Dell bereits über eigene Sicherheits-Lösungen verfügte. Der ehemalige RSA-Chef Amit Yoran konnte es denn auch nicht lassen, sich noch während der Übernahmeprozeduren und in aller Öffentlichkeit von der neuen Führung zu distanzieren. Bald darauf nahm er seinen Abschied von Dell.

Insgesamt stellt sich RSA nach wie vor mit einem sehr breiten Portfolio vor. Fraud Detection und Prevention ist ein Teil davon. Mit FraudAction 360 (FA 360) und FraudAction Cyber Intelligence (FA CI) verfügen die Kunden über eine Reihe von intelligenten Tools, die alle aus der grundsätzlichen Technologie von „FraudAction Intelligence Operation“ resultieren.

Diese Aktivitäten werden von einem dedizierten Team von Analysten durchgeführt, die beständig Untergrundforen wie IRC Chat Rooms (Internet Relay Chat), das Open Web (OSINT, Open Source Intelligence) und andere Kommunikationskanäle durchforsten, in denen sich Cyberkriminelle austauschen, ihr Wissen und ihre Erfahrungen mitteilen sowie Produkte, Tools oder Services anbieten oder kaufen.

Die FraudAction-Analysten von RSA haben auf diese Weise eine breite Wissensbasis über Untergrundstrukturen in vielen Sprachen angelegt. Zu diesen gehören Englisch, Russisch, Französisch, Arabisch, Spanisch, Portugiesisch und andere.

Die Foren variieren in Größe, Traffic-Aufkommen und Ansehen. In vielen Fällen sind die von den Analysten beobachteten Foren nicht offen, sondern verlangen Mitgliedsgebühren und die Einführung durch ein bestehendes Mitglied. Einige dieser exklusiven Foren sind sogar für neue Mitglieder gesperrt, was ihnen in den Kreisen der Cyberkriminellen den Status einer besonders geschützten Plattform für Diskussionen verleiht.

FraudAction Cyber Intelligence

FraudAction Cyber Intelligence (FA CI) wird in drei verschiedenen Leistungsklassen angeboten:

Tier 1: General Intelligence – Vor allem für Unternehmen geeignet, die auf datengestützte automatisierte Intelligenz setzen.

Die Daten stehen in verschiedenen Formaten zur Verfügung und können in unterschiedliche Anwendungen und Systeme integriert werden. Das Prüfniveau ist eher allgemein und schließt kostenlosen Zugang zu den Threat Reports von RSA ein. Die Reports befassen sich u.a.  mit Fraud-Trends, neuen Untersuchungsmethoden sowie neuen Cybercrime-Tools und Diensten, die im Untergrund angeboten werden. Zusätzlich werden die Kunden regelmäßig über neue E-Mail-Feeds (gehackte und im Untergrund verbreitete E-Mail-Adressen, manchmal auch in Open-Source-Foren aufgezeichnet) informiert, die sehr häufig für Fraud-Aktivitäten genützt werden. Ferner erhalten sie Berichte über gestohlene Karteninformationen, die dann von sogenannten Fraudsters für ihre Zwecke benützt werden. Bekanntgemacht werden auch Bankkonten, auf die Gelder von kompromittierten Konten überwiesen wurden. Verschiedene Blacklists informieren über Muster von auffälligem Verhalten, Trojaner und verdächtige Web-Adressen.

Tier 2: Targeted Intelligence – Für Unternehmen, denen es zusätzlich auf pro-active (menschliche) Durchsuchungen des Deep Web ankommt.

Hier geht es vor allem um kompromittierte oder gestohlene Kreditkartendaten, über die die RSA-Analysten zusätzliche Informationen einholen. Besonders beobachtet und untersucht werden Anbieter von Kreditkarten-Katalogen im Untergrund. Auch wird das Web durchforstet nach möglichen Startpunkten für Trojaner-Aktivitäten in kompromittierten Kunden-Accounts von Webseiten.

Tier 3: Advanced Intelligence Operations – Ein Angebot für Kunden von FraudAction 360 mit ganzheitlichem und geprüftem Einblick in die Bedrohungslandschaft, soweit sie das eigene Unternehmen betrifft.

Holistische und umfassende Analysen von Tier 3 werden nur den Kunden von FraudAction 360 zur Verfügung gestellt. Sie erhalten auch den ThreatTracker Report, der Erkenntnisse über Phishing- und Malware-Attacken mit den Erfahrungen von RSA bei Deep-Web-Aktivitäten verbindet. On-Demand-Research und ThreatTracker nehmen besonders die Akteure hinter den verschiedenen Attacken ins Visier und fassen die Informationen in speziellen Profilen zusammen. Ist ein Angreifer einmal identifiziert, werden sein Verhalten und seine Angriffsaktionen genau verfolgt.

Alle Tiers werden, sofern möglich, mit Handlungsanweisungen ergänzt.

FraudAction 360

Um den komplexen Angriffsszenarios von heute gerecht zu werden, bietet RSA mit FraudAction 360 ein umfassendes Paket von externen Threat Management Services an. Dieses Paket erspart den Kunden die Installation einiger on-premise Abwehrmaßnahmen, die zudem oft von verschiedenen Herstellern stammen, und bietet stattdessen eine Lösung aus einer Hand. Laut RSA verursacht das für die Kunden auch weniger Kosten.

Artikel kommentieren