VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Gehirn Digital 635387561 700

Immer neue Angriffsmethoden haben die Absicherung von IT-Systemen zu einem Wettlauf gemacht. „Threat Intelligence“ soll vorhandene Security-Technologie automatisch in die Lage versetzen, aktuelle Bedrohungen besser abzuwehren – so das Versprechen der Anbieter. Die Realität sieht leider anders aus – blindes Vertrauen ist unangebracht.

Ist es möglich, vorhandene Sicherheitstechnologie nachträglich „klüger“ zu machen, vielleicht sogar automatisch? Threat Intelligence (TI) will dafür eine Lösung bieten: Dank maschinenverwertbarer „Threat Feeds“ sollen Security-Anwendungen neue Angriffsmuster besser erkennen und die eigene Verteidigungsstrategie (semi-)automatisch an die aktuelle Bedrohungslage anpassen können.

In der Praxis unterscheiden sich frei verfügbare und kommerzielle TI-Angebote deutlich in Bezug auf genutzte Datenquellen, Inhalte, Formate, Aktualität und Anpassungsfähigkeit (z. B. auf Standort oder Branche). Sogenannte Open Source Intelligence (OSINT) bietet Nachrichten aus frei verfügbaren Quellen in diversen Formaten, von umfangreichen PDF-Briefings bis hin zu unstrukturierten Forenbeiträgen oder Twitter-Feeds. Im Gegensatz dazu sind kommerzielle TI-Informationen meist einfacher automatisiert zu verarbeiten und enthalten oftmals auch bereits Risikobewertungen. Zu den angebotenen Bedrohungsinformationen (Indicators of Compromise, IOC) gehören Daten über die Reputation von Webseiten, eingesetzte Malware (z. B. Hash-Werte, Korrelation zu IPs/Domains), über Täter und Kampagnen sowie „Techniques, Tactics, Procedures“ (TTPs), etwa präferierte Ziele, Angriffsvektoren und Infektionswege. Diese Daten können für ein effizienteres Security-Monitoring (Firewalls, IPS, SIEM-System), aber auch für forensische und Malware-Analysen, im Incident-Management oder für Sicherheitsberichte genutzt werden.

Qualität ist nicht gleich Quantität

Allerdings muss sich die IT-Security- Industrie eingestehen, dass sie dabei versagt hat, sich auf Standards zum Austausch von TI-Informationen zu einigen. Auch dediziert auf einen Kunden zugeschnittene TI-Angebote gibt es kaum. Kommerzielle Anbieter versuchen vielmehr, sich über Quantität von der Konkurrenz abzusetzen. Aber wie so oft gilt auch hier: Qualität ≠ Quantität. Im Gegenteil – mehr Daten können auch das Auffinden aktueller, für die eigene Situation wichtiger Informationen erschweren. Neue Malware-Kampagnen nutzen sehr individuelle Angriffsvektoren und haben oft nur eine Lebensdauer von unter zwei Tagen. Um angemessen auf eine aktuelle Bedrohung reagieren zu können, steht der TI-Anwender daher vor dem Problem, in der Datenflut die für ihn gerade relevanten Informationen zu identifizieren: Gehöre ich zu den potenziellen Zielopfern einer Malware-Kampagne? Sind meine Systeme anfällig für die verwendeten Methoden?

Erfolgreiche Sicherheitsstrategie

TI kann helfen, neue Bedrohungen effizienter abzuwehren: Mit den richtigen Informationen können Unternehmen das Bedrohungspotenzial eines Ereignisses besser einschätzen und wirksamere Entscheidungen treffen. Aber zu hohe Erwartungen an „automatische Intelligenz“ sind unangebracht. So bleibt es dem Anwender selbst überlassen, einen Anbieter zu wählen, der die für das eigene Unternehmen relevanten Informationen auch in einer verwertbaren Form liefert. Voraussetzung dafür – und die Basis jeder erfolgreichen IT-Sicherheitsstrategie – ist die genaue Kenntnis der eigenen Infrastruktur und das Verständnis ihrer Stärken und Schwachstellen. Nur wer hier seine Hausaufgaben gemacht hat, ist in der Lage, externe Bedrohungsdaten sinnvoll zu nutzen.

Autor: Nermin Smajic, Director CyberSecurity Solutions, ectacom

GRID LIST
Tb W190 H80 Crop Int Fff03ad1554fb492cd1df6c7ccf69ca1

Telegram Chatgruppen als neuen Marktplatz für Cybercrime

Die Sicherheitsforscher von Check Point Software Technologies, erkennen eine neue…
Tb W190 H80 Crop Int 6146d7037a40c2f874a1f5d3399939c7

User Bashing: Mitarbeiter sind mit IT-Sicherheit überfordert

Die IT-Sicherheit lädt zu viel Verantwortung auf den Mitarbeitern ab. Günter Junk, CEO…
Tb W190 H80 Crop Int Ffc884102cf599e1985eaa1355f9b2fa

Probleme PGP und S/MIME sind keine Überraschung

Verschlüsselte E-Mails sind „nicht mehr sicher“ - Forschern ist es gelungen, diesen…
Tb W190 H80 Crop Int 5db74c35038f85cc90618c59a5cf8fbe

E-Mail-Verschlüsselung bleibt sicher

Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

Efail-Schwachstellen

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der…
WannaCry

WannaCry: Auch nach einem Jahr noch gefährlich

Ein Jahr nach „WannaCry“ erinnert Avast an den bislang größten Angriff von…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security