Anzeige

Anzeige

VERANSTALTUNGEN

ELO Solution Day Dortmund
20.03.19 - 20.03.19
In Signal Iduna Park, Dortmund

ELO Solution Day Leipzig
21.03.19 - 21.03.19
In Kongresshalle Leipzig

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Anzeige

Anzeige

Gehirn Digital 635387561 700

Immer neue Angriffsmethoden haben die Absicherung von IT-Systemen zu einem Wettlauf gemacht. „Threat Intelligence“ soll vorhandene Security-Technologie automatisch in die Lage versetzen, aktuelle Bedrohungen besser abzuwehren – so das Versprechen der Anbieter. Die Realität sieht leider anders aus – blindes Vertrauen ist unangebracht.

Ist es möglich, vorhandene Sicherheitstechnologie nachträglich „klüger“ zu machen, vielleicht sogar automatisch? Threat Intelligence (TI) will dafür eine Lösung bieten: Dank maschinenverwertbarer „Threat Feeds“ sollen Security-Anwendungen neue Angriffsmuster besser erkennen und die eigene Verteidigungsstrategie (semi-)automatisch an die aktuelle Bedrohungslage anpassen können.

In der Praxis unterscheiden sich frei verfügbare und kommerzielle TI-Angebote deutlich in Bezug auf genutzte Datenquellen, Inhalte, Formate, Aktualität und Anpassungsfähigkeit (z. B. auf Standort oder Branche). Sogenannte Open Source Intelligence (OSINT) bietet Nachrichten aus frei verfügbaren Quellen in diversen Formaten, von umfangreichen PDF-Briefings bis hin zu unstrukturierten Forenbeiträgen oder Twitter-Feeds. Im Gegensatz dazu sind kommerzielle TI-Informationen meist einfacher automatisiert zu verarbeiten und enthalten oftmals auch bereits Risikobewertungen. Zu den angebotenen Bedrohungsinformationen (Indicators of Compromise, IOC) gehören Daten über die Reputation von Webseiten, eingesetzte Malware (z. B. Hash-Werte, Korrelation zu IPs/Domains), über Täter und Kampagnen sowie „Techniques, Tactics, Procedures“ (TTPs), etwa präferierte Ziele, Angriffsvektoren und Infektionswege. Diese Daten können für ein effizienteres Security-Monitoring (Firewalls, IPS, SIEM-System), aber auch für forensische und Malware-Analysen, im Incident-Management oder für Sicherheitsberichte genutzt werden.

Qualität ist nicht gleich Quantität

Allerdings muss sich die IT-Security- Industrie eingestehen, dass sie dabei versagt hat, sich auf Standards zum Austausch von TI-Informationen zu einigen. Auch dediziert auf einen Kunden zugeschnittene TI-Angebote gibt es kaum. Kommerzielle Anbieter versuchen vielmehr, sich über Quantität von der Konkurrenz abzusetzen. Aber wie so oft gilt auch hier: Qualität ≠ Quantität. Im Gegenteil – mehr Daten können auch das Auffinden aktueller, für die eigene Situation wichtiger Informationen erschweren. Neue Malware-Kampagnen nutzen sehr individuelle Angriffsvektoren und haben oft nur eine Lebensdauer von unter zwei Tagen. Um angemessen auf eine aktuelle Bedrohung reagieren zu können, steht der TI-Anwender daher vor dem Problem, in der Datenflut die für ihn gerade relevanten Informationen zu identifizieren: Gehöre ich zu den potenziellen Zielopfern einer Malware-Kampagne? Sind meine Systeme anfällig für die verwendeten Methoden?

Erfolgreiche Sicherheitsstrategie

TI kann helfen, neue Bedrohungen effizienter abzuwehren: Mit den richtigen Informationen können Unternehmen das Bedrohungspotenzial eines Ereignisses besser einschätzen und wirksamere Entscheidungen treffen. Aber zu hohe Erwartungen an „automatische Intelligenz“ sind unangebracht. So bleibt es dem Anwender selbst überlassen, einen Anbieter zu wählen, der die für das eigene Unternehmen relevanten Informationen auch in einer verwertbaren Form liefert. Voraussetzung dafür – und die Basis jeder erfolgreichen IT-Sicherheitsstrategie – ist die genaue Kenntnis der eigenen Infrastruktur und das Verständnis ihrer Stärken und Schwachstellen. Nur wer hier seine Hausaufgaben gemacht hat, ist in der Lage, externe Bedrohungsdaten sinnvoll zu nutzen.

Autor: Nermin Smajic, Director CyberSecurity Solutions, ectacom

GRID LIST
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…
Putzfrau

Zeit für den Frühjahrsputz in den digitalen vier Wänden

Wenn der warme Frühling kommt, nutzen viele Menschen die Zeit zum Großreinemachen. So ein…
Richterhammer

Cybersecurity Act - Auf dem Weg zu höherer Cybersicherheit

Gestern stimmte das Europäische Parlament über den "Rechtsakt zur Cybersicherheit", den…