Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

SecurityEs gibt derzeit viele Diskussionen über die Rolle und den Wert der Bedrohungsanalyse und -erkennung bei Cybersicherheitslösungen. Wie bei so vielem in der Cyberwelt haben sich die Anforderungen verändert, deshalb muss sich auch die Funktionsausrichtung von Sicherheitslösungen ändern.

Als die Heartbleed-Schwachstelle im vergangenen Jahr gemeldet wurde, ging es zunächst darum, weitere Informationen zu sammeln. Innerhalb der ersten 24 Stunden waren bereits Hunderttausende von Artikeln online, viele technische Einblicke konnten genutzt werden. Es gab keinen Mangel an Informationen über die Schwachstelle und wie der Exploit funktioniert.

In der Tat gibt es eine Fülle von technischen Informationen zu Bedrohungen und Schwachstellen, bekannte bösartigen Domains/IP-Adresse und so weiter. Die Herausforderung besteht darin, aus so vielen Rohdaten nützliches Wissen zu generieren. 2014 wurden in der CVE-Liste 9.751 „Vulnerabilities“ und „Exposures“ dokumentiert. Das wären also fast 27 pro Tag, was zu viele Daten wären, um darauf basierend täglich sinnvolle Sicherheitsentscheidungen zu treffen. Angesichts dieser Zahlen, ergeben sich drei Möglichkeiten, um einen Mehrwert aus den unzähligen Analysedaten zu schöpfen:

  1. Den Schutz vor so vielen dieser Bedrohungen und so schnell wie möglich sicherstellen.
     
  2. In der Lage zu sein, zu erkennen, welche die risikoreichsten dieser Angriffe sind, die sich wahrscheinlich auf das eigene Unternehmen auswirken können. Vom Gesamtvolumen an Angriffen gilt es die wenigen zu identifizieren, gegen die inkrementell proaktiv vorgegangen werden kann. Dies wären in der Regel jene Angriffe, die sich gegen die eigene Branche und den geografischen Standort richten. Dies sind gezieltere Angriffe mit spezifischen, fokussierten Zielen und größeren Auswirkungen auf den Geschäftsbetrieb.
     
  3. Reverse-Analyse: Die jüngsten Sicherheitsvorfälle, die in den Medien kursierten, bestätigen das Problem, dass Indikatoren einer Kompromittierung (IOCs) oftmals gefunden werden, aber nicht reagiert wird. Entscheidend ist es für Sicherheitsteams, verdächtige IOCs zu verstehen, wenn sie auf bestehende Kampagnen oder Techniken hindeuten. Plattformen wie IT-ISAC (Information Sharing and Analysis Center) entstehen rund um die Welt, um dies auf der Ebene von Interessengruppen zu tun, aber der Effekt ist auf die Mitgliedschaft in den Gruppen beschränkt.

„Bestimmte Elemente sind unbedingt erforderlich, um Informationen in wertvolles, für Unternehmen umsetzbares Wissen zu verwandeln. Dieses soll als Grundlage dienen, um Entscheidungen zu treffen und geeignete Maßnahmen zu ergreifen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Alle diese Faktoren sind voneinander abhängig, und wenn ein einzelner fehlt, geht der Gesamtwert gegen Null.“

  • Rechtzeitig: Angriffe sind zunehmend maßgeschneidert sind weisen eine kürzere Lebensdauer auf. Deswegen ist die Zeit, um nützliches, kontextabhängiges Wissen zu erhalten, kritisch.
     
  • Umsetzbar: Analyse ist nur sinnvoll, wenn sie Informationen darüber liefert, was der Empfänger als nächstes tun sollte, um den Angriff abzuwehren. Zu viele Informationen über die Bedrohung führen zum Problem, dass die nötigen menschlichen Eingriffe nicht rechtzeitig ausgeführt werden können.
     
  • Maschinenlesbar: Wo Angriffe nur von CPU-Leistung und Netzwerkgeschwindigkeit eingeschränkt werden, ist eine manuelle Analyse durch Menschen schwierig, da versucht wird, mit einem analogen Prozess in ein digitales Problem einzugreifen. Wenn nicht direkt auf Technologieebene Maßnahmen durchgeführt werden, ohne menschliche Beteiligung, kommt es zu einer Verzögerung im Prozess. Dies ist entscheidend, sowohl in Bezug auf die Zeit, um präventive Überwachungsmaßnahmen anzuwenden als auch auf die Fähigkeit, mit der Kapazität des heutigen Spektrums an Cyberangriffen umzugehen.
     
  • Niedrige False-Positives-Quote: Wenn wir Erkenntnisse aus der Bedrohungsanalyse ohne menschlichen Input nutzen, müssen wir ein hohes Maß an Vertrauen in die erhaltenen Informationen haben.
     
  • Kontext: Aus Sicht des Risikomanagements bedeutet das, in der Lage zu sein, relevante, aktuelle, Hochrisiko-Bedrohungen zu identifizieren, die Kontext erfordern, wie der Angriff aussieht und wie er ausgeführt wird.

Cybersicherheit ist heute ein Spiel mit Zahlen. Mit dem Volumen an weltweiten Ereignissen und dem Volumen an intern entdeckten Ereignissen stehen wir vor einer Big-Data-Herausforderung. Diese lässt sich nur meistern durch die Einbindung von mehr IP-Adressen und mehr Sicherheitsfunktionen, da das Volumen der Angriffe weiter wächst. SIEM-Tools (Security Information and Event Management; Sicherheitsinformations- und Ereignismanagement) unterstützen in der Regel die Konsolidierung interner Ereignisse, aber das ist nur ein Teil der Herausforderung. Wir müssen auch Kontext hinzufügen und externe Informationen konsolidieren.

Ein Schlüsselproblem ist, dass in der Regel eine begrenzte Anzahl an IT-Personal zur Verfügung steht, was einer analogen Begrenzung in der digitalen Welt gleichkommt. Je mehr Aktivitäten sich filtern und automatisieren lassen (Maschine zu Maschine), desto eher ist es möglich, mit der gleichen Geschwindigkeit wie die digitalen Angriffe zu agieren. Es wird immer ein gewisses Maß an menschlichen Eingriffen erforderlich sein, aber heute sind diese Menschen in der Regel mit Aufgaben gebunden, die automatisiert werden sollten, damit sie rechtzeitig ausgeführt werden können. Mit den richtigen Erkenntnissen aus der Bedrohungserkennung und -analyse lässt sich der Automatisierungsgrad erhöhen. Das von Routineaufgaben entlastete Sicherheitspersonal kann sich dann auf wichtigere Aktivitäten, die tatsächlich menschliche Interaktion erfordern, konzentrieren.

www.paloaltonetworks.com

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet