Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Gehirn Digital 635387561 700

Immer neue Angriffsmethoden haben die Absicherung von IT-Systemen zu einem Wettlauf gemacht. „Threat Intelligence“ soll vorhandene Security-Technologie automatisch in die Lage versetzen, aktuelle Bedrohungen besser abzuwehren – so das Versprechen der Anbieter. Die Realität sieht leider anders aus – blindes Vertrauen ist unangebracht.

Ist es möglich, vorhandene Sicherheitstechnologie nachträglich „klüger“ zu machen, vielleicht sogar automatisch? Threat Intelligence (TI) will dafür eine Lösung bieten: Dank maschinenverwertbarer „Threat Feeds“ sollen Security-Anwendungen neue Angriffsmuster besser erkennen und die eigene Verteidigungsstrategie (semi-)automatisch an die aktuelle Bedrohungslage anpassen können.

In der Praxis unterscheiden sich frei verfügbare und kommerzielle TI-Angebote deutlich in Bezug auf genutzte Datenquellen, Inhalte, Formate, Aktualität und Anpassungsfähigkeit (z. B. auf Standort oder Branche). Sogenannte Open Source Intelligence (OSINT) bietet Nachrichten aus frei verfügbaren Quellen in diversen Formaten, von umfangreichen PDF-Briefings bis hin zu unstrukturierten Forenbeiträgen oder Twitter-Feeds. Im Gegensatz dazu sind kommerzielle TI-Informationen meist einfacher automatisiert zu verarbeiten und enthalten oftmals auch bereits Risikobewertungen. Zu den angebotenen Bedrohungsinformationen (Indicators of Compromise, IOC) gehören Daten über die Reputation von Webseiten, eingesetzte Malware (z. B. Hash-Werte, Korrelation zu IPs/Domains), über Täter und Kampagnen sowie „Techniques, Tactics, Procedures“ (TTPs), etwa präferierte Ziele, Angriffsvektoren und Infektionswege. Diese Daten können für ein effizienteres Security-Monitoring (Firewalls, IPS, SIEM-System), aber auch für forensische und Malware-Analysen, im Incident-Management oder für Sicherheitsberichte genutzt werden.

Qualität ist nicht gleich Quantität

Allerdings muss sich die IT-Security- Industrie eingestehen, dass sie dabei versagt hat, sich auf Standards zum Austausch von TI-Informationen zu einigen. Auch dediziert auf einen Kunden zugeschnittene TI-Angebote gibt es kaum. Kommerzielle Anbieter versuchen vielmehr, sich über Quantität von der Konkurrenz abzusetzen. Aber wie so oft gilt auch hier: Qualität ≠ Quantität. Im Gegenteil – mehr Daten können auch das Auffinden aktueller, für die eigene Situation wichtiger Informationen erschweren. Neue Malware-Kampagnen nutzen sehr individuelle Angriffsvektoren und haben oft nur eine Lebensdauer von unter zwei Tagen. Um angemessen auf eine aktuelle Bedrohung reagieren zu können, steht der TI-Anwender daher vor dem Problem, in der Datenflut die für ihn gerade relevanten Informationen zu identifizieren: Gehöre ich zu den potenziellen Zielopfern einer Malware-Kampagne? Sind meine Systeme anfällig für die verwendeten Methoden?

Erfolgreiche Sicherheitsstrategie

TI kann helfen, neue Bedrohungen effizienter abzuwehren: Mit den richtigen Informationen können Unternehmen das Bedrohungspotenzial eines Ereignisses besser einschätzen und wirksamere Entscheidungen treffen. Aber zu hohe Erwartungen an „automatische Intelligenz“ sind unangebracht. So bleibt es dem Anwender selbst überlassen, einen Anbieter zu wählen, der die für das eigene Unternehmen relevanten Informationen auch in einer verwertbaren Form liefert. Voraussetzung dafür – und die Basis jeder erfolgreichen IT-Sicherheitsstrategie – ist die genaue Kenntnis der eigenen Infrastruktur und das Verständnis ihrer Stärken und Schwachstellen. Nur wer hier seine Hausaufgaben gemacht hat, ist in der Lage, externe Bedrohungsdaten sinnvoll zu nutzen.

Autor: Nermin Smajic, Director CyberSecurity Solutions, ectacom

GRID LIST
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Smarte News aus der IT-Welt