Thought Leadership
Immer neue Angriffsmethoden haben die Absicherung von IT-Systemen zu einem Wettlauf gemacht. „Threat Intelligence“ soll vorhandene Security-Technologie automatisch in die Lage versetzen, aktuelle Bedrohungen besser abzuwehren – so das Versprechen der Anbieter. Die Realität sieht leider anders aus – blindes Vertrauen ist unangebracht.
Ist es möglich, vorhandene Sicherheitstechnologie nachträglich „klüger“ zu machen, vielleicht sogar automatisch? Threat Intelligence (TI) will dafür eine Lösung bieten: Dank maschinenverwertbarer „Threat Feeds“ sollen Security-Anwendungen neue Angriffsmuster besser erkennen und die eigene Verteidigungsstrategie (semi-)automatisch an die aktuelle Bedrohungslage anpassen können.
In der Praxis unterscheiden sich frei verfügbare und kommerzielle TI-Angebote deutlich in Bezug auf genutzte Datenquellen, Inhalte, Formate, Aktualität und Anpassungsfähigkeit (z. B. auf Standort oder Branche). Sogenannte Open Source Intelligence (OSINT) bietet Nachrichten aus frei verfügbaren Quellen in diversen Formaten, von umfangreichen PDF-Briefings bis hin zu unstrukturierten Forenbeiträgen oder Twitter-Feeds. Im Gegensatz dazu sind kommerzielle TI-Informationen meist einfacher automatisiert zu verarbeiten und enthalten oftmals auch bereits Risikobewertungen. Zu den angebotenen Bedrohungsinformationen (Indicators of Compromise, IOC) gehören Daten über die Reputation von Webseiten, eingesetzte Malware (z. B. Hash-Werte, Korrelation zu IPs/Domains), über Täter und Kampagnen sowie „Techniques, Tactics, Procedures“ (TTPs), etwa präferierte Ziele, Angriffsvektoren und Infektionswege. Diese Daten können für ein effizienteres Security-Monitoring (Firewalls, IPS, SIEM-System), aber auch für forensische und Malware-Analysen, im Incident-Management oder für Sicherheitsberichte genutzt werden.
Qualität ist nicht gleich Quantität
Allerdings muss sich die IT-Security- Industrie eingestehen, dass sie dabei versagt hat, sich auf Standards zum Austausch von TI-Informationen zu einigen. Auch dediziert auf einen Kunden zugeschnittene TI-Angebote gibt es kaum. Kommerzielle Anbieter versuchen vielmehr, sich über Quantität von der Konkurrenz abzusetzen. Aber wie so oft gilt auch hier: Qualität ≠ Quantität. Im Gegenteil – mehr Daten können auch das Auffinden aktueller, für die eigene Situation wichtiger Informationen erschweren. Neue Malware-Kampagnen nutzen sehr individuelle Angriffsvektoren und haben oft nur eine Lebensdauer von unter zwei Tagen. Um angemessen auf eine aktuelle Bedrohung reagieren zu können, steht der TI-Anwender daher vor dem Problem, in der Datenflut die für ihn gerade relevanten Informationen zu identifizieren: Gehöre ich zu den potenziellen Zielopfern einer Malware-Kampagne? Sind meine Systeme anfällig für die verwendeten Methoden?
Erfolgreiche Sicherheitsstrategie
TI kann helfen, neue Bedrohungen effizienter abzuwehren: Mit den richtigen Informationen können Unternehmen das Bedrohungspotenzial eines Ereignisses besser einschätzen und wirksamere Entscheidungen treffen. Aber zu hohe Erwartungen an „automatische Intelligenz“ sind unangebracht. So bleibt es dem Anwender selbst überlassen, einen Anbieter zu wählen, der die für das eigene Unternehmen relevanten Informationen auch in einer verwertbaren Form liefert. Voraussetzung dafür – und die Basis jeder erfolgreichen IT-Sicherheitsstrategie – ist die genaue Kenntnis der eigenen Infrastruktur und das Verständnis ihrer Stärken und Schwachstellen. Nur wer hier seine Hausaufgaben gemacht hat, ist in der Lage, externe Bedrohungsdaten sinnvoll zu nutzen.
Autor: Nermin Smajic, Director CyberSecurity Solutions, ectacom
