Spur Intelligence beschreibt anonymisierte Infrastruktur als festen Bestandteil moderner Angriffe. Dazu zählen insbesondere VPN-Dienste und Residential-Proxy-Netzwerke. Letztere leiten Datenverkehr über Internetanschlüsse von Verbrauchern um und lassen schädliche Aktivitäten dadurch wie normales Nutzerverhalten erscheinen. VPN-Dienste schaffen zusätzliche Anonymität und erlauben es, Standorte und Netzwerkidentitäten schnell zu wechseln.
Für Sicherheitsteams bedeutet das, dass eine IP-Adresse allein oft kaum noch Hinweise auf die Absicht hinter einer Aktivität liefert. Der Studie zufolge meldete nahezu die Hälfte der befragten Unternehmen erhebliche operative oder finanzielle Auswirkungen durch Versuche zur Kontoübernahme und durch Missbrauch von Zugangsdaten über VPNs und Residential Proxies. In solchen Fällen kann eine Adresse wie ein privater Anschluss wirken, zu einem legitimen Internetanbieter gehören und keine auffällige Vorgeschichte haben – und dennoch Teil einer aktiven Angriffskampagne sein.
Ein zentrales Problem ist laut Spur Intelligence der fehlende Kontext. Ebenfalls fast die Hälfte der Befragten nannte genau das als größte Herausforderung bei der Analyse von IP-Aktivitäten. Basisdaten wie Geolokation oder Netzwerkzuordnung bleiben zwar nützlich, erklären aber häufig nicht die Absicht hinter einer Verbindung. Benötigt werden laut Studie zusätzliche Kontextebenen wie die Klassifizierung der Infrastruktur, die Zuordnung zu VPNs und Proxys, Verhaltensindikatoren, historische Nutzungsmuster, Korrelationen zwischen Geräten und Sitzungen sowie Signale für Automatisierung und Bots.
Viele Unternehmen nutzen IP-Informationen bislang vor allem in der Nachbereitung. IP-Anreicherung komme häufig erst dann zum Einsatz, wenn Alarme bereits ausgelöst wurden und Analysten historische Ereignisse oder konkrete Vorfälle untersuchen. Das liefere zwar Nutzen, begrenze aber den strategischen Wert von IP Intelligence. Laut der Spur-Studie wollen viele Teams diesen Ansatz deshalb nach vorn verlagern und IP-Daten schon während der Entscheidungsfindung in Echtzeit einbeziehen.
Die Befragten setzen IP Intelligence bislang überwiegend für grundlegende Anwendungsfälle ein, wünschen sich aber laut Studie prädiktivere, stärker nachrichtendienstlich geprägte Abläufe. Genannt werden adaptive Authentifizierung, risikobasierte Zugriffskontrollen, Workflows zur Betrugsprävention, automatisierte Richtliniendurchsetzung und die Risikobewertung von Sitzungen.
Neben externen Bedrohungen verweist der Text auf ein internes Problemfeld. Bring-your-own-device-Regeln, Consumer-Anwendungen und die private Nutzung von VPNs vergrößern die Zahl der Wege, über die anonymisierter Datenverkehr in Unternehmensumgebungen gelangen kann. Als weiterer Faktor werden staatliche Akteure genannt, die sich in Umgebungen mit hohem Anteil an Remote-Arbeit als legitime Beschäftigte ausgeben. Viele Organisationen hätten nur begrenzte Sicht darauf, ob Mitarbeitende beim Zugriff auf Unternehmensressourcen Proxy-Dienste, private Netze oder VPN-Werkzeuge einsetzen.
Die Spur-Studie bestätigt diese Sorge teilweise durch einen anderen Befund: 61 Prozent der Befragten gaben an, wegen einer möglichen Exponierung ihres internen Netzes über Residential Proxies auf Mitarbeitergeräten oder in Consumer-Apps nur mäßig, gering oder gar nicht besorgt zu sein. Gleichzeitig stellt Spur fest, dass viele Unternehmen den Erfolg ihrer IP-Intelligence-Investitionen nur unzureichend messen. Ein volles Drittel der Unternehmen misst diese Aktivitäten demnach überhaupt nicht. Sicherheitsverantwortliche richten den Blick deshalb zunehmend auf Kennzahlen wie Untersuchungsdauer, Fehlalarme und Kosten, weil diese den operativen Nutzen besser abbilden.