Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Hacker Kapuze Binaercode Blau 500191807 700

Cyber Threat Intelligence (CTI) wird durch ein bloßes „mehr davon“ nicht besser. Wenn ein Unternehmen jeden verfügbaren Feed einfach bucht und hofft, dass die schiere Zahl an Informationen über Bedrohungen seine Risiken reduziert, überlastet es die eigenen Security-Teams. Eine geschickte Vorauswahl als Service und die Einbindung in einen Security Lifecycle mit Penetration Tests reduziert die Kosten und erhöht die Effizienz.

Threat Intelligence leistet zweifellos einen beachtlichen Beitrag zur Absicherung moderner Unternehmen gegen Cyber-Risiken. Ursprünglich sollte Threat Intelligence relevante Informationen über groß angelegte Angriffe auf Unternehmen aufbereiten und vergleichbaren Organisationen zugänglich machen, um deren Sicherheits-Fachleute beim zielgerichteten Monitoring zu unterstützen. Die Security-Teams wussten dann, wonach sie schauen mussten, um Anzeichen bereits bekannter schädlicher Aktionen rechtzeitig zu entdecken – und zwar auch dann, wenn die Indizien ihren Sicherheits-Systemen entgingen. „Intelligence“ steht bei diesem Konzept für jene Mischung aus Analyse, Ermittlung und Bericht, die die „Central Intelligence Agency“ (CIA) in den USA bei Kriminalfällen bereitstellt.

Heute allerdings bietet fast jeder Security-Anbieter „Threat Intelligence Feeds“ an – permanente Informationsströme über weltweit aufgedeckte Angriffsformen, die sich anderswo wiederholen könnten. Die Feeds können dann entweder manuell ausgewertet werden oder fließen direkt in automatisierte Erkennungssysteme, die im Netz nach Anzeichen für ein entsprechendes böswilliges Vorgehen suchen.

Bei hoch entwickelten SIEM-Produkten und bei KI-gestützten, stark automatisierten Systemen aus dem Bereich der Netzwerk-Verhaltensanalyse hat dies Sinn. Standard-Werkzeuge wie Firewalls und Virenscanner sollten aber auch ohne entsprechende Informationslieferungen funktionieren. Abonniert ein Unternehmen auch zur Abwehr ungezielter Attacken bis hinunter zu den altbekannten Script-Kiddie-Aktionen immer neue CTI-Informationen hinzu, bringt selbst ein gewöhnliches Arsenal an Sicherheitswerkzeugen schnell eine geradezu unüberschaubare Zahl sich überschneidender Bedrohungs-Informationen und Warnungen auf die Bildschirme der Security-Teams. Hinzu kommt, dass Hinweise auf weltweit auftretende Bedrohungen oft thematisch ungefiltert an alle Kunden geliefert werden. Daten über aktuelle Angriffe auf Patientendaten erreichen also zum Beispiel auch Unternehmen, die Stoßdämpfer für den Autobau produzieren. Die Last, die relevanten Daten zu selektieren, liegt dann wiederum bei den Sicherheitsspezialisten im Unternehmen, die sich in ihrer knapp bemessenen Zeit eigentlich mit den Gefahren für ihre spezifische Umgebung befassen sollten.

In der normalen Lebenswelt würde man niemals auf diese Weise vorgehen. Der Besitzer eines reinen Steinhauses lagert keine Mittel gegen Holzwürmer oder Termiten ein, die Holzbalken angreifen könnten. Der Bewohner eines einstöckigen Bungalows im Münsterland hängt sich kein tonnenschweres Pendel gegen Erdbeben ins Wohnzimmer, wie er den Wolkenkratzer Taipeh 101 in Taiwan sichert. Unternehmen sollten ausschließlich gegen Bedrohungen vorgehen, die sie tatsächlich betreffen. Die Resultate einer „Threat Intelligence“ müssen intelligent ausgewertet werden und in sinnvolle Aktionen münden.

Ein Weg, CTI gezielter und spezifischer einzusetzen und eine Überflutung des Sicherheits-Personals mit Informationen zu vermeiden, ergibt sich in der Kombination mit dem Penetration Testing. Das Abklopfen einer Organisation auf Schwachstellen gehört zu den Standard-Vorgehensweisen der Informationssicherheit, wird von Institutionen wie dem BSI explizit als Bestandteil eines professionellen Sicherheitsmanagements gefordert und von Normen wie dem PCI DSS-Standard für die Kreditkartenbranche unverhandelbar verlangt. Im Alltag birgt allerdings auch diese Maßnahme Umsetzungsprobleme, denn häufig wird während eines Penetration Test lediglich ein Standard-Arsenal an üblichen Schwachstellen abgeprüft. Will der Kunde der Forderung des BSI nachkommen und eine für ihn maßgeschneiderte Vorgehensweise beauftragen, kann er oft nichts anderes tun als auszuwählen, welcher Teil der Standard-Liste bei ihm abgearbeitet werden soll. Eine echte Anpassung auf den jeweiligen Schutzbedarf erlaubt dies nicht. Die Scope-Bestimmung für eine Schwachstellenanalyse lässt sich aber hervorragend anhand von CTI-Resultaten durchführen, wenn man sie zuvor anhand eines Anwender-Profils nach Relevanz filtert.

Auf der Basis eines kundenspezifischen Threat Intelligence Feeds und einem daran angeschlossenen zielgerichteten Penetration Testing bauen neutrale Prüf- und Zertifizierungsdienstleister wie TÜV SÜD einen Security Lifecycle, der Unternehmen zu schlagkräftigen Sicherheitsmaßnahmen verhilft und die hauseigenen Security-Spezialisten entlastet – während gleichzeitig unnötige Kosten entfallen. Die erste Komponente eines solchen Konzepts besteht im Anlegen des Profils, das den Anwender beschreibt: Welcher Branche gehört er an, welche Daten verarbeitet er, welche Informationen über ihn finden sich im Internet, lässt er sich eher über Datendiebstahl oder die Manipulation von Prozessen schädigen - und wer könnte es auf ihn abgesehen haben? Das Resultat dieser Erhebung dient dazu, als zweite Komponente des Lifecycles die Filterung der Threat Intelligence Feeds nach genau denjenigen Informationen durchzuführen, die für den Anwender relevant sind. Darauf folgen Penetration Tests, die ebenfalls auf die gefilterten CTI-Daten zugreifen und deshalb lediglich nach solchen Schwachstellen fahnden, die den Anwender tatsächlich gefährden können. Im Anschluss an derartige „Intelligence-Led Penetration Tests“ erhält der Anwender dann noch Empfehlungen zur Optimierung seiner Security und Beratung zur Umsetzung seiner Ziele.

Durchläuft der Anwender diesen Zyklus regelmäßig, kommt er zu einer maximalen Nutzanwendung von Threat Intelligence Informationen, ohne sich täglich mit der Auswertung entsprechender Feeds abmühen und beim Penetration Test Kompromisse eingehen zu müssen. TÜV SÜD unterstützt mit Dienstleistungen dieser Art speziell die hoch belasteten Security-Teams im Mittelstand, die meist mit geringen Ressourcen auskommen müssen.

Stefan VollmerStefan Vollmer, Chief Technology Officer,  TÜV SÜD Sec-IT GmbH

 

GRID LIST
Tb W190 H80 Crop Int 28773ce6ebccd9323162fd11c9fd7dd5

Was erwartet uns im neuen Jahr?

Das Jahr neigt sich dem Ende zu und in der IT-Security-Branche ist es Zeit, Geschehnisse…
Tb W190 H80 Crop Int B34a63b800b442247f4ef4c805db59d1

IT-Risiken an die niemand denkt

NTT Security (Germany) warnt vor den Gefahren, die den Unternehmensnetzen durch…
Hacker

DarkVishnya: Beispiellose Cyberüberfälle auf Banken

Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen…
Weihnachtsmann Dieb

Weihnachten: Ein Fest für Datendiebe

Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für…
Malware

Emotet-Malware verursacht hohe Schäden in Unternehmensnetzen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und mehrere…
Trojaner

Neuer Mining-Trojaner für Linux entdeckt

Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist…
Smarte News aus der IT-Welt