Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

Gehirn Digital 635387561 700

Immer neue Angriffsmethoden haben die Absicherung von IT-Systemen zu einem Wettlauf gemacht. „Threat Intelligence“ soll vorhandene Security-Technologie automatisch in die Lage versetzen, aktuelle Bedrohungen besser abzuwehren – so das Versprechen der Anbieter. Die Realität sieht leider anders aus – blindes Vertrauen ist unangebracht.

Ist es möglich, vorhandene Sicherheitstechnologie nachträglich „klüger“ zu machen, vielleicht sogar automatisch? Threat Intelligence (TI) will dafür eine Lösung bieten: Dank maschinenverwertbarer „Threat Feeds“ sollen Security-Anwendungen neue Angriffsmuster besser erkennen und die eigene Verteidigungsstrategie (semi-)automatisch an die aktuelle Bedrohungslage anpassen können.

In der Praxis unterscheiden sich frei verfügbare und kommerzielle TI-Angebote deutlich in Bezug auf genutzte Datenquellen, Inhalte, Formate, Aktualität und Anpassungsfähigkeit (z. B. auf Standort oder Branche). Sogenannte Open Source Intelligence (OSINT) bietet Nachrichten aus frei verfügbaren Quellen in diversen Formaten, von umfangreichen PDF-Briefings bis hin zu unstrukturierten Forenbeiträgen oder Twitter-Feeds. Im Gegensatz dazu sind kommerzielle TI-Informationen meist einfacher automatisiert zu verarbeiten und enthalten oftmals auch bereits Risikobewertungen. Zu den angebotenen Bedrohungsinformationen (Indicators of Compromise, IOC) gehören Daten über die Reputation von Webseiten, eingesetzte Malware (z. B. Hash-Werte, Korrelation zu IPs/Domains), über Täter und Kampagnen sowie „Techniques, Tactics, Procedures“ (TTPs), etwa präferierte Ziele, Angriffsvektoren und Infektionswege. Diese Daten können für ein effizienteres Security-Monitoring (Firewalls, IPS, SIEM-System), aber auch für forensische und Malware-Analysen, im Incident-Management oder für Sicherheitsberichte genutzt werden.

Qualität ist nicht gleich Quantität

Allerdings muss sich die IT-Security- Industrie eingestehen, dass sie dabei versagt hat, sich auf Standards zum Austausch von TI-Informationen zu einigen. Auch dediziert auf einen Kunden zugeschnittene TI-Angebote gibt es kaum. Kommerzielle Anbieter versuchen vielmehr, sich über Quantität von der Konkurrenz abzusetzen. Aber wie so oft gilt auch hier: Qualität ≠ Quantität. Im Gegenteil – mehr Daten können auch das Auffinden aktueller, für die eigene Situation wichtiger Informationen erschweren. Neue Malware-Kampagnen nutzen sehr individuelle Angriffsvektoren und haben oft nur eine Lebensdauer von unter zwei Tagen. Um angemessen auf eine aktuelle Bedrohung reagieren zu können, steht der TI-Anwender daher vor dem Problem, in der Datenflut die für ihn gerade relevanten Informationen zu identifizieren: Gehöre ich zu den potenziellen Zielopfern einer Malware-Kampagne? Sind meine Systeme anfällig für die verwendeten Methoden?

Erfolgreiche Sicherheitsstrategie

TI kann helfen, neue Bedrohungen effizienter abzuwehren: Mit den richtigen Informationen können Unternehmen das Bedrohungspotenzial eines Ereignisses besser einschätzen und wirksamere Entscheidungen treffen. Aber zu hohe Erwartungen an „automatische Intelligenz“ sind unangebracht. So bleibt es dem Anwender selbst überlassen, einen Anbieter zu wählen, der die für das eigene Unternehmen relevanten Informationen auch in einer verwertbaren Form liefert. Voraussetzung dafür – und die Basis jeder erfolgreichen IT-Sicherheitsstrategie – ist die genaue Kenntnis der eigenen Infrastruktur und das Verständnis ihrer Stärken und Schwachstellen. Nur wer hier seine Hausaufgaben gemacht hat, ist in der Lage, externe Bedrohungsdaten sinnvoll zu nutzen.

Autor: Nermin Smajic, Director CyberSecurity Solutions, ectacom

GRID LIST
Bitcoin Mining

Bitcoin Mining: Der Konkurrenzdruck wird immer höher

All jene, die sich für das Bitcoin Mining interessieren, müssen wissen, dass der…
Risikobewertung

Automatische Entdeckung und Bewertung gefährlicher Assets

Tenable stellt Innovationen für Tenable.sc (vorher SecurityCenter) und Tenable.io vor.…
Cyber Attack

Schutz vor staatlichen Angriffen

Von Regierungen unterstützte Cyber-Spione haben es heute nicht mehr nur auf…
Botnet

Account Takeover Angriffe - Botnets aufspüren

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im…
Hacker Gesundheitswesen

Cyberangriffe auf medizintechnische Geräte - und wie man Sie verhindert

Cyberangriffe treten in vielen unterschiedlichen Formen in Erscheinung. Wenn sie sich…
Hacker Tür

IoT-Drucker sind Einfallstore für Hacker

Immer öfter versuchen Hackergruppen über IoT-Geräte (Internet of Things) auf interne…