Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Hacker Kapuze Binaercode Blau 500191807 700

Cyber Threat Intelligence (CTI) wird durch ein bloßes „mehr davon“ nicht besser. Wenn ein Unternehmen jeden verfügbaren Feed einfach bucht und hofft, dass die schiere Zahl an Informationen über Bedrohungen seine Risiken reduziert, überlastet es die eigenen Security-Teams. Eine geschickte Vorauswahl als Service und die Einbindung in einen Security Lifecycle mit Penetration Tests reduziert die Kosten und erhöht die Effizienz.

Threat Intelligence leistet zweifellos einen beachtlichen Beitrag zur Absicherung moderner Unternehmen gegen Cyber-Risiken. Ursprünglich sollte Threat Intelligence relevante Informationen über groß angelegte Angriffe auf Unternehmen aufbereiten und vergleichbaren Organisationen zugänglich machen, um deren Sicherheits-Fachleute beim zielgerichteten Monitoring zu unterstützen. Die Security-Teams wussten dann, wonach sie schauen mussten, um Anzeichen bereits bekannter schädlicher Aktionen rechtzeitig zu entdecken – und zwar auch dann, wenn die Indizien ihren Sicherheits-Systemen entgingen. „Intelligence“ steht bei diesem Konzept für jene Mischung aus Analyse, Ermittlung und Bericht, die die „Central Intelligence Agency“ (CIA) in den USA bei Kriminalfällen bereitstellt.

Heute allerdings bietet fast jeder Security-Anbieter „Threat Intelligence Feeds“ an – permanente Informationsströme über weltweit aufgedeckte Angriffsformen, die sich anderswo wiederholen könnten. Die Feeds können dann entweder manuell ausgewertet werden oder fließen direkt in automatisierte Erkennungssysteme, die im Netz nach Anzeichen für ein entsprechendes böswilliges Vorgehen suchen.

Bei hoch entwickelten SIEM-Produkten und bei KI-gestützten, stark automatisierten Systemen aus dem Bereich der Netzwerk-Verhaltensanalyse hat dies Sinn. Standard-Werkzeuge wie Firewalls und Virenscanner sollten aber auch ohne entsprechende Informationslieferungen funktionieren. Abonniert ein Unternehmen auch zur Abwehr ungezielter Attacken bis hinunter zu den altbekannten Script-Kiddie-Aktionen immer neue CTI-Informationen hinzu, bringt selbst ein gewöhnliches Arsenal an Sicherheitswerkzeugen schnell eine geradezu unüberschaubare Zahl sich überschneidender Bedrohungs-Informationen und Warnungen auf die Bildschirme der Security-Teams. Hinzu kommt, dass Hinweise auf weltweit auftretende Bedrohungen oft thematisch ungefiltert an alle Kunden geliefert werden. Daten über aktuelle Angriffe auf Patientendaten erreichen also zum Beispiel auch Unternehmen, die Stoßdämpfer für den Autobau produzieren. Die Last, die relevanten Daten zu selektieren, liegt dann wiederum bei den Sicherheitsspezialisten im Unternehmen, die sich in ihrer knapp bemessenen Zeit eigentlich mit den Gefahren für ihre spezifische Umgebung befassen sollten.

In der normalen Lebenswelt würde man niemals auf diese Weise vorgehen. Der Besitzer eines reinen Steinhauses lagert keine Mittel gegen Holzwürmer oder Termiten ein, die Holzbalken angreifen könnten. Der Bewohner eines einstöckigen Bungalows im Münsterland hängt sich kein tonnenschweres Pendel gegen Erdbeben ins Wohnzimmer, wie er den Wolkenkratzer Taipeh 101 in Taiwan sichert. Unternehmen sollten ausschließlich gegen Bedrohungen vorgehen, die sie tatsächlich betreffen. Die Resultate einer „Threat Intelligence“ müssen intelligent ausgewertet werden und in sinnvolle Aktionen münden.

Ein Weg, CTI gezielter und spezifischer einzusetzen und eine Überflutung des Sicherheits-Personals mit Informationen zu vermeiden, ergibt sich in der Kombination mit dem Penetration Testing. Das Abklopfen einer Organisation auf Schwachstellen gehört zu den Standard-Vorgehensweisen der Informationssicherheit, wird von Institutionen wie dem BSI explizit als Bestandteil eines professionellen Sicherheitsmanagements gefordert und von Normen wie dem PCI DSS-Standard für die Kreditkartenbranche unverhandelbar verlangt. Im Alltag birgt allerdings auch diese Maßnahme Umsetzungsprobleme, denn häufig wird während eines Penetration Test lediglich ein Standard-Arsenal an üblichen Schwachstellen abgeprüft. Will der Kunde der Forderung des BSI nachkommen und eine für ihn maßgeschneiderte Vorgehensweise beauftragen, kann er oft nichts anderes tun als auszuwählen, welcher Teil der Standard-Liste bei ihm abgearbeitet werden soll. Eine echte Anpassung auf den jeweiligen Schutzbedarf erlaubt dies nicht. Die Scope-Bestimmung für eine Schwachstellenanalyse lässt sich aber hervorragend anhand von CTI-Resultaten durchführen, wenn man sie zuvor anhand eines Anwender-Profils nach Relevanz filtert.

Auf der Basis eines kundenspezifischen Threat Intelligence Feeds und einem daran angeschlossenen zielgerichteten Penetration Testing bauen neutrale Prüf- und Zertifizierungsdienstleister wie TÜV SÜD einen Security Lifecycle, der Unternehmen zu schlagkräftigen Sicherheitsmaßnahmen verhilft und die hauseigenen Security-Spezialisten entlastet – während gleichzeitig unnötige Kosten entfallen. Die erste Komponente eines solchen Konzepts besteht im Anlegen des Profils, das den Anwender beschreibt: Welcher Branche gehört er an, welche Daten verarbeitet er, welche Informationen über ihn finden sich im Internet, lässt er sich eher über Datendiebstahl oder die Manipulation von Prozessen schädigen - und wer könnte es auf ihn abgesehen haben? Das Resultat dieser Erhebung dient dazu, als zweite Komponente des Lifecycles die Filterung der Threat Intelligence Feeds nach genau denjenigen Informationen durchzuführen, die für den Anwender relevant sind. Darauf folgen Penetration Tests, die ebenfalls auf die gefilterten CTI-Daten zugreifen und deshalb lediglich nach solchen Schwachstellen fahnden, die den Anwender tatsächlich gefährden können. Im Anschluss an derartige „Intelligence-Led Penetration Tests“ erhält der Anwender dann noch Empfehlungen zur Optimierung seiner Security und Beratung zur Umsetzung seiner Ziele.

Durchläuft der Anwender diesen Zyklus regelmäßig, kommt er zu einer maximalen Nutzanwendung von Threat Intelligence Informationen, ohne sich täglich mit der Auswertung entsprechender Feeds abmühen und beim Penetration Test Kompromisse eingehen zu müssen. TÜV SÜD unterstützt mit Dienstleistungen dieser Art speziell die hoch belasteten Security-Teams im Mittelstand, die meist mit geringen Ressourcen auskommen müssen.

Stefan VollmerStefan Vollmer, Chief Technology Officer,  TÜV SÜD Sec-IT GmbH

 

GRID LIST
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…
Tb W190 H80 Crop Int 59fff81447714b973594e81d9ea35005

Neue Malware Scranos auf dem Vormarsch

Bitdefender Lab hat Informationen über die Verbreitung der neuen Malware „Scranos“…
Zero-Day-Exploit

Kritische Schwachstelle im Windows-Betriebssystem

Kaspersky Lab hat eine zuvor unbekannte Schwachstelle – eine so genannte…