Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

Cyber Security TeamIm Kampf gegen Cyber-Kriminelle reichen reaktive Vorgehensweisen nicht mehr aus. Unternehmen müssen auf gebündelte Kräfte zurückgreifen und daran arbeiten, Hackern einen Schritt voraus zu sein. Dazu gehört auch, deren Motive zu verstehen.

Robert Gerlach vom Threat-Intelligence-Plattform (TIP) Anbieter EclecticIQ erklärt, wie eine moderne Sicherheitsstrategie aussehen sollte.

Die immer weiter zunehmende Vernetzung eröffnet nicht nur der Wirtschaft neue Geschäftsmodelle. Auch Hacker gehen mit der Zeit und erschließen neue Möglichkeiten, um digitale Sicherheitslücken für ihre Zwecke zu nutzen. Ob sie durch DDoS-Angriffe Unternehmensseiten lahmlegen oder mit Ransomware Lösegeld erpressen, die finanziellen Schäden können sich je nach Wiederherstellungszeit in ungeahnte Höhen schwingen. Eine letztjährige Umfrage des Branchenverbandes Bitkom beziffert den Schaden für die deutsche Wirtschaft auf 22,4 Milliarden Euro pro Jahr. Auch bleibt oft ein Reputationsschaden zurück, denn wer vertraut schon einem Unternehmen, das vor kurzem zugeben musste, einem Hack zum Opfer gefallen zu sein? Daher muss ein effektiver Schutz der IT-Infrastruktur oberste Priorität haben. Althergebrachte Abwehrstrategien reichen dafür aber nicht mehr aus.

Unternehmenssicherheit basiert noch allzu oft auf einem reaktiven Ansatz, beruhend auf Indicators of Compromise (IoCs) wie Viren-Signaturen, auffällige Account-Aktivitäten und Traffic-Muster. Das Problem: Die Alarmglocken klingeln immer erst dann, wenn der Angriff bereits läuft oder gar bereits beendet wurde. Zu einem solchen Zeitpunkt lässt sich lediglich noch Schadensbegrenzung betreiben. Um proaktiv agieren zu können, bedarf es einer Strategie, die mehr als nur die Daten miteinschließt, die im eigenen Netzwerk gesammelt werden.

Mit gebündeltem Wissen gegen Hacker

Die IT-Landschaft ist heute so verzweigt und vielschichtig, dass Unternehmen mit der Menge und Komplexität von Bedrohungen überfordert sind. Einerseits fehlt es an geschultem Fachpersonal, das in der Lage ist, aus dem Datenwust die richtigen Schlussfolgerungen zu ziehen und sämtliche Sicherheitslösungen im Auge zu behalten. Andererseits haben Unternehmen zumeist weitgehend isolierte Lösungen im Einsatz, die lediglich bestimmte Aspekte der IT-Sicherheit abdecken. Während manche sich auf Firewalls und Intrusion-Prevention-Systeme zum Schutz des Perimeters verlassen, setzen andere verstärkt auf Lösungen in den Bereichen Data-Leakage-Protection (DLP) oder Security Information and Event-Management (SIEM), um sich abzusichern. All diese Lösungen erheben zwar wertvolle Daten, die für ihren Bereich Erkenntnisse liefern. Die aktuelle Bedrohungslage macht es aber nötig, möglichst vielschichtige Schutzmaßnahmen im Betrieb zu haben, um sich ein allumfassendes Bild zu schaffen und zu gewährleisten, dass Vorkehrungen für sämtliche denkbaren Szenarien getroffen werden.

Threat Intelligence ist daher ein entscheidender Bestandteil moderner Cyber-Sicherheitsstrategien. Dieser Ansatz bündelt das Wissen verschiedener Quellen und stellt somit einen größeren Pool an Informationen bereit, anhand derer sich Gegenmaßnahmen effektiver einleiten lassen. Automatisierungstechnologien und Plattformen mit übergreifenden Standards machen es dabei möglich, große Mengen an Daten und Informationen zusammenzuführen, auszuwerten und Schlussfolgerungen daraus zu ziehen. Die Basis für die gemeinsame Kommunikation bildet STIX (Structured Threat Information Expression), eine standardisierte Auszeichnungssprache für die strukturierte Weitergabe von Informationen über IT-Risiken. Sie erfasst nicht nur Wissen über Schwachstellen und zur Verfügung stehende Gegenmaßnahmen, sondern auch über Akteure und deren Tactics, Techniques and Procedures (TTPs). Die Strukturierung vereinfacht die Informationsweitergabe zwischen unterschiedlichen Tools und Systemen sowie das Einleiten von Gegenmaßnahmen. Zusätzlich ermöglichen die gewonnenen Einblicke neue Ansätze für Sicherheitsabteilungen.

Angreifern voraus sein

Die Analyse von gesammelten Bedrohungsdaten versetzt Unternehmen in die Lage, den reaktiven Ansatz ihrer Sicherheitsstrategie zu verändern. Anhand der kontextualisierten Daten, die aus früheren Angriffen zusammengetragen werden, können sie Erkenntnisse gewinnen und diese auf ihr eigenes System übertragen. So lassen sich Sicherheitslücken und potenzielle Einfallstore schließen, bevor sie von Cyber-Kriminellen ausgenutzt werden. Ist das System schon befallen, können von der Plattform zudem Informationen für Gegenmaßnahmen eingeholt oder automatisierte Prozesse zur Bedrohungsbekämpfung abgerufen werden, da die Daten von vorausgehenden Vorfällen bereits vorliegen. Je mehr Daten in den Wissenspool wandern, desto größer wird das Wissen um Schwachstellen, mögliche Angriffsszenarien und Lösungsansätze.

Dabei hilft es auch, sich nicht nur mit den Angriffsvektoren zu befassen, sondern auch die Angreifer selbst zu verstehen. Diese handeln aufgrund bestimmter Intentionen, die Aufschluss über voraussichtliche Angriffsmuster geben. Politisch motivierten Hackern geht es primär um Informationsbeschaffung, während nichtstaatliche Gruppierungen auf finanziellen Mehrwert aus sind. Sind die Motive bekannt, lassen sich leichter Vorkehrungen treffen und die Unternehmenssicherheit bleibt gewährleistet.

Fazit: Einzelkämpfer verlieren

Heutzutage ist die IT-Bedrohungslage so komplex, dass Unternehmen sowohl in technischer als auch personeller Hinsicht an ihre Grenzen geraten, wenn sie sich nur auf die Erkenntnisse aus dem eigenen Netzwerk verlassen. Isoliert betrachtete Vorfälle und Datensätze erlauben keinen Blick auf das große Ganze und verhindern eine effektive Angriffsprävention. Threat-Intelligence-Technologien ermöglichen es, Daten zusammenzutragen, praxisrelevante Erkenntnisse zu gewinnen und auf dieser Grundlage proaktiv zu agieren. Diese Möglichkeiten muss die IT-Sicherheit nutzen, damit sie Angreifern mit gebündelten Kräften entgegentreten kann. 

Robert GerlachRobert Gerlach ist Sales Manager DACH bei EclecticIQ. In Deutschland, Österreich und der Schweiz leitet er alle Sales-Aktivitäten und erschließt neue Möglichkeiten und Partnerschaften für das Unternehmenswachstum. Bevor er 2017 zu EclecticIQ kam, hat er viele Jahre als Senior Sales Manager bei ArcSight (jetzt Teil von HPE) und AlienVault gearbeitet – zwei führende Anbieter für SIEM (Security Information & Event Management). Gerlach ist Diplom-Kaufmann und war an der TU Berlin.

www.EclecticIQ.com
 

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet