Threat Intelligence – die Grundlage für Cybersicherheit

LinkedInXingPocketWhatsAppFlipboard

Im Bereich Cybersicherheit ist man umso besser gerüstet, je mehr man über potenzielle Bedrohungen für sein Unternehmen weiß. Threat Intelligence, auf Deutsch das „Wissen über Bedrohungen“ beschreibt die Sammlung aller sicherheitsrelevanten Informationsquellen.

Dazu gehören einzelne Bedrohungen oder Bedrohungsgattungen, Bedrohungsakteure, Exploits, Malware, Schwachstellen oder Kennzahlen von Sicherheitsverstößen. Dieses gesammelte Wissen ist das Fundament eines effektiven Sicherheitsprogramms, das natürlich die nötigen Informationen braucht, um damit vertraut zu sein, gegen wen es sich wie zu verteidigen gilt. Threat Intelligence setzt sich aus vielen Teilen zusammen. Darunter sind zahlreiche Quellen, Feeds und Plattformen, die Unternehmen bei der Erfassung, Analyse und Reaktion auf Bedrohungen unterstützen. Zusammen liefern diese einzelnen Teile eine Fülle von wertvollen Informationen über fast jeden Aspekt der Cybersicherheit.

Anzeige

Das Wissen über Angriffe ist das Fundament, auf dem alle Lösungen für Cybersicherheit aufbauen. Ohne dieses Wissen kann man keine effektive Sicherheitslösung erstellen, und die Hersteller stehen vor der Herausforderung, die Fülle an Informationen, die ihnen Threat Intelligence bietet, effektiv zu nutzen. Hier trennt sich bei vielen Lösungen die Spreu vom Weizen. Dies beginnt schon mit den Rohdaten, auf denen alles aufbaut.

Die Rohdaten, das Fundament der Threat Intelligence

Quellen für Threat Intelligence sind die Rohdaten für die Bedrohungsaufklärung. Sie werden von einer Lösung sortiert, analysiert und in einem zweiten Schritt zu Intelligence-Feeds zusammengefasst. Für die meisten Unternehmen ist der beste Ansatz die Verwendung einer Kombination aus internen Quellen in Verbindung mit kommerziellen oder öffentlichen Feeds. Zu den typischen internen Feeds gehören Bedrohungsanalysen von einem Security Operations Center (SOC), Fachgemeinschaften, Sicherheitsmeldungen oder Blogs und Dark Web Research. Auf der anderen Seite stammen kommerzielle und öffentliche Feeds hauptsächlich aus der Kundentelemetrie, dem Dark Web, Open-Source-Datenbanken, der Malware-Verarbeitung sowie der manuellen Sicherheitsforschung und Ereignisanalyse.

Das Zusammensetzen der Rohdaten bildet den Threat-Intelligence-Feed

Ein Threat-Intelligence-Feed fasst Daten aus einer oder mehreren Quellen zusammen. Die Mehrheit der Feeds konzentriert sich tendenziell auf einen Schwerpunktbereich, wie z.B. Botnet-Aktivität, Domänen oder bösartige IP-Adressen. Der Echtzeitcharakter von Threat-Intelligence-Feeds bedeutet, dass die Informationen, sobald eine neue Bedrohung oder bösartige Entität entdeckt wird, in das Feed-Format verpackt und an die Abonnenten gestreamt werden. Schnelligkeit ist hierbei von entscheidender Bedeutung, da das Hauptziel eines Benutzers natürlich darin besteht, sich gegen drohende Angriffe zu verteidigen, bevor sie passieren.

Sicherheitsexperten können diese Feeds auf vielfältige Weise nutzen. Einige Sicherheitstools, wie beispielsweise Firewalls, akzeptieren Feeds direkt, sodass jede neue Entdeckung sofort berücksichtigt werden kann. Alternativ können die Feed-Daten in einer Security Information Event Management (SIEM) oder User Entity Behavioral Analytics (UEBA) Lösung gespeichert werden, die Bedrohungsdaten mit internen Sicherheitsereignissen korrelieren und Warnmeldungen erzeugen kann, wenn relevante Bedrohungen gefunden werden. Analysten können Informationen auch manuell überprüfen, und obwohl dies nützlich sein kann, ist es oft extrem zeitaufwändig.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Plattformen und Anbieter: Aus allem einen Sinn machen

Komplette Threat-Intelligence-Plattformen schaffen hier Abhilfe. Sie bieten die Möglichkeit, mehrere Feeds gleichzeitig zu erfassen, zu organisieren, zu speichern, zu analysieren und zu vergleichen. Sie können diese Feeds dann mit internen Sicherheitsereignissen korrelieren und priorisierte Warnmeldungen erstellen, die dann von Analysten überprüft werden können. Neben vielen anderen Anwendungen funktioniert auch ein SIEM auf diese Weise. Einige Beispiele für gängige Threat Intelligence-Plattformen sind ThreatQuotient, Anomali ThreatStream und Palo Alto Networks‘ AutoFocus, die je nach Anforderung der Organisation jeweils einen etwas anderen Fokus haben.

Threat Intelligence ist nicht ohne Herausforderungen

Obwohl die Bedrohungsaufklärung bei der Abwehr von Cyberangriffen immer wichtiger wird, ist sie nicht ohne Probleme. Zu den wichtigsten Herausforderungen gehört vor allem die Überschwemmung mit Informationen. Viele Sicherheitsanalysten versinken bereits jetzt in Daten, lange bevor Bedrohungsinformationen in den Mix aufgenommen werden. Ohne effektive Planung und Priorisierung kann die große Menge an zusätzlichen Daten sehr schnell dazu führen, dass Analysten überfordert werden. Darüber hinaus fehlt meist der benötigte Kontext. Während Bedrohungsinformationen oft wichtige Indikatoren für die Sicherheit liefern, können sie ohne den entsprechenden Kontext bedeutungslos sein. Und zu guter Letzt benötigt Threat Intelligence noch spezielle Prozesse und Fähigkeiten des Security-Teams. Die Feeds sind natürlich nicht von selbst nützlich, sie erfordern eine sorgfältige Analyse durch geschulte Fachleute, um effektiv genutzt zu werden. Der derzeitige globale Mangel an Sicherheitsexperten ist bekannt. Das bedeutet, dass viele Unternehmen Schwierigkeiten haben, ohne die benötigten Mitarbeiter das Beste aus der Bedrohungsanalyse herauszuholen. Um dieses Problem auszugleichen, bieten manche Plattformen Automatisierung und Analysefähigkeiten.

Automatisierung und Analysen entlasten die wertvollste Ressource: Den Sicherheitsexperten

Moderne SIEM-Plattformen verfügen heute über zahlreiche Technologien, die Unternehmen dabei unterstützen können, Bedrohungsdaten bestmöglich zu nutzen. Sie sind von Grund auf so konzipiert, dass sie mit Bedrohungsinformationen aus vielen Quellen arbeiten können. Und dank integrierter Automatisierungs- und Analysefähigkeiten können sie die wichtigsten Daten genau dann bereitstellen, wenn sie benötigt werden.

Die automatisierte Reaktion auf Vorfälle gibt Analysten beispielsweise die Möglichkeit, Daten aus Hunderten von Tools zu sammeln, Vorfälle automatisch zu identifizieren, sie mit Bedrohungsdaten zu referenzieren und die nötigen Schritte zu koordinieren um den Schaden einzudämmen. So wird die Datenüberlastung deutlich reduziert. Auch die Verwendung von Analysen zur Identifizierung von anomalem Verhalten, in Verbindung mit den Daten aus der Bedrohungsanalyse, ist für Sicherheitsexperten ein großer Vorteil. In der Vergangenheit hat eben dieses manuelle Identifizieren die meiste Zeit der qualifizierten Sicherheitsexperten in Anspruch genommen.

Fazit

Bei richtiger Anwendung liefert Threat Intelligence eine Fülle von unschätzbaren Informationen über fast jeden Aspekt der Cybersicherheitsoperationen eines Unternehmens. Wie jede Technologie ist sie jedoch nicht ohne Herausforderungen. Durch den Einsatz moderner SIEM-Plattformen können diese Herausforderungen jedoch gemeistert werden. Automatisierung und detaillierte Analysen spielen dabei eine Schlüsselrolle die wertvollste Ressource des Unternehmens nicht zu verschwenden: Den Sicherheitsexperten.

Egon Kando, Exabeam

 www.exabeam.com
 


Anzeige

Weitere Artikel

Cyber & Cloud Security
Chefetagen sehen in IT-Security keine Wettbewerbsvorteile
Cyber & Cloud Security
Wird Open Banking die Zukunft des Finanzwesens verändern?
Cyber & Cloud Security
US-Behörde bestätigt unsicheren Einsatz von Microsofts Cloud-Services
Business Software
Hypershield: Sicherheit für das KI-Zeitalter
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.