Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

Hacker Kapuze Binaercode Blau 500191807 700

Cyber Threat Intelligence (CTI) wird durch ein bloßes „mehr davon“ nicht besser. Wenn ein Unternehmen jeden verfügbaren Feed einfach bucht und hofft, dass die schiere Zahl an Informationen über Bedrohungen seine Risiken reduziert, überlastet es die eigenen Security-Teams. Eine geschickte Vorauswahl als Service und die Einbindung in einen Security Lifecycle mit Penetration Tests reduziert die Kosten und erhöht die Effizienz.

Threat Intelligence leistet zweifellos einen beachtlichen Beitrag zur Absicherung moderner Unternehmen gegen Cyber-Risiken. Ursprünglich sollte Threat Intelligence relevante Informationen über groß angelegte Angriffe auf Unternehmen aufbereiten und vergleichbaren Organisationen zugänglich machen, um deren Sicherheits-Fachleute beim zielgerichteten Monitoring zu unterstützen. Die Security-Teams wussten dann, wonach sie schauen mussten, um Anzeichen bereits bekannter schädlicher Aktionen rechtzeitig zu entdecken – und zwar auch dann, wenn die Indizien ihren Sicherheits-Systemen entgingen. „Intelligence“ steht bei diesem Konzept für jene Mischung aus Analyse, Ermittlung und Bericht, die die „Central Intelligence Agency“ (CIA) in den USA bei Kriminalfällen bereitstellt.

Heute allerdings bietet fast jeder Security-Anbieter „Threat Intelligence Feeds“ an – permanente Informationsströme über weltweit aufgedeckte Angriffsformen, die sich anderswo wiederholen könnten. Die Feeds können dann entweder manuell ausgewertet werden oder fließen direkt in automatisierte Erkennungssysteme, die im Netz nach Anzeichen für ein entsprechendes böswilliges Vorgehen suchen.

Bei hoch entwickelten SIEM-Produkten und bei KI-gestützten, stark automatisierten Systemen aus dem Bereich der Netzwerk-Verhaltensanalyse hat dies Sinn. Standard-Werkzeuge wie Firewalls und Virenscanner sollten aber auch ohne entsprechende Informationslieferungen funktionieren. Abonniert ein Unternehmen auch zur Abwehr ungezielter Attacken bis hinunter zu den altbekannten Script-Kiddie-Aktionen immer neue CTI-Informationen hinzu, bringt selbst ein gewöhnliches Arsenal an Sicherheitswerkzeugen schnell eine geradezu unüberschaubare Zahl sich überschneidender Bedrohungs-Informationen und Warnungen auf die Bildschirme der Security-Teams. Hinzu kommt, dass Hinweise auf weltweit auftretende Bedrohungen oft thematisch ungefiltert an alle Kunden geliefert werden. Daten über aktuelle Angriffe auf Patientendaten erreichen also zum Beispiel auch Unternehmen, die Stoßdämpfer für den Autobau produzieren. Die Last, die relevanten Daten zu selektieren, liegt dann wiederum bei den Sicherheitsspezialisten im Unternehmen, die sich in ihrer knapp bemessenen Zeit eigentlich mit den Gefahren für ihre spezifische Umgebung befassen sollten.

In der normalen Lebenswelt würde man niemals auf diese Weise vorgehen. Der Besitzer eines reinen Steinhauses lagert keine Mittel gegen Holzwürmer oder Termiten ein, die Holzbalken angreifen könnten. Der Bewohner eines einstöckigen Bungalows im Münsterland hängt sich kein tonnenschweres Pendel gegen Erdbeben ins Wohnzimmer, wie er den Wolkenkratzer Taipeh 101 in Taiwan sichert. Unternehmen sollten ausschließlich gegen Bedrohungen vorgehen, die sie tatsächlich betreffen. Die Resultate einer „Threat Intelligence“ müssen intelligent ausgewertet werden und in sinnvolle Aktionen münden.

Ein Weg, CTI gezielter und spezifischer einzusetzen und eine Überflutung des Sicherheits-Personals mit Informationen zu vermeiden, ergibt sich in der Kombination mit dem Penetration Testing. Das Abklopfen einer Organisation auf Schwachstellen gehört zu den Standard-Vorgehensweisen der Informationssicherheit, wird von Institutionen wie dem BSI explizit als Bestandteil eines professionellen Sicherheitsmanagements gefordert und von Normen wie dem PCI DSS-Standard für die Kreditkartenbranche unverhandelbar verlangt. Im Alltag birgt allerdings auch diese Maßnahme Umsetzungsprobleme, denn häufig wird während eines Penetration Test lediglich ein Standard-Arsenal an üblichen Schwachstellen abgeprüft. Will der Kunde der Forderung des BSI nachkommen und eine für ihn maßgeschneiderte Vorgehensweise beauftragen, kann er oft nichts anderes tun als auszuwählen, welcher Teil der Standard-Liste bei ihm abgearbeitet werden soll. Eine echte Anpassung auf den jeweiligen Schutzbedarf erlaubt dies nicht. Die Scope-Bestimmung für eine Schwachstellenanalyse lässt sich aber hervorragend anhand von CTI-Resultaten durchführen, wenn man sie zuvor anhand eines Anwender-Profils nach Relevanz filtert.

Auf der Basis eines kundenspezifischen Threat Intelligence Feeds und einem daran angeschlossenen zielgerichteten Penetration Testing bauen neutrale Prüf- und Zertifizierungsdienstleister wie TÜV SÜD einen Security Lifecycle, der Unternehmen zu schlagkräftigen Sicherheitsmaßnahmen verhilft und die hauseigenen Security-Spezialisten entlastet – während gleichzeitig unnötige Kosten entfallen. Die erste Komponente eines solchen Konzepts besteht im Anlegen des Profils, das den Anwender beschreibt: Welcher Branche gehört er an, welche Daten verarbeitet er, welche Informationen über ihn finden sich im Internet, lässt er sich eher über Datendiebstahl oder die Manipulation von Prozessen schädigen - und wer könnte es auf ihn abgesehen haben? Das Resultat dieser Erhebung dient dazu, als zweite Komponente des Lifecycles die Filterung der Threat Intelligence Feeds nach genau denjenigen Informationen durchzuführen, die für den Anwender relevant sind. Darauf folgen Penetration Tests, die ebenfalls auf die gefilterten CTI-Daten zugreifen und deshalb lediglich nach solchen Schwachstellen fahnden, die den Anwender tatsächlich gefährden können. Im Anschluss an derartige „Intelligence-Led Penetration Tests“ erhält der Anwender dann noch Empfehlungen zur Optimierung seiner Security und Beratung zur Umsetzung seiner Ziele.

Durchläuft der Anwender diesen Zyklus regelmäßig, kommt er zu einer maximalen Nutzanwendung von Threat Intelligence Informationen, ohne sich täglich mit der Auswertung entsprechender Feeds abmühen und beim Penetration Test Kompromisse eingehen zu müssen. TÜV SÜD unterstützt mit Dienstleistungen dieser Art speziell die hoch belasteten Security-Teams im Mittelstand, die meist mit geringen Ressourcen auskommen müssen.

Stefan VollmerStefan Vollmer, Chief Technology Officer,  TÜV SÜD Sec-IT GmbH

 

GRID LIST
Botnet

Account Takeover Angriffe - Botnets aufspüren

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im…
Hacker Gesundheitswesen

Cyberangriffe auf medizintechnische Geräte - und wie man Sie verhindert

Cyberangriffe treten in vielen unterschiedlichen Formen in Erscheinung. Wenn sie sich…
Hacker Tür

IoT-Drucker sind Einfallstore für Hacker

Immer öfter versuchen Hackergruppen über IoT-Geräte (Internet of Things) auf interne…
KI Security

Wie viel KI benötigt IT-Security?

Künstliche Intelligenz (KI) oder maschinelles Lernen (ML) sind mittlerweile zu…
Trojaner

Schwachstelle Mensch: Trojaner Baldr nutzt Gamer-Natur aus

Malware allein ist schon gemein. Doch wenn Cyberkriminelle die Vorlieben von…
Deception Technologie

Cybertrap schickt Hacker in irreale IT-Parallelwelten

Deception Technologie-Spezialist will die Zukunft der Cybersecurity verändern und…