Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Security Schloss Rotgold 383644099 700

Unternehmen arbeiten jahrelang am Aufbau ihrer Marke, ihres Kundenstamms und ihrer Reputation. Um das Vertrauen langfristig zu schädigen, braucht es oft jedoch nur einen erfolgreichen Cyberangriff, der einen neuen Datenskandal verursacht oder geschäftsentscheidende Prozesse lahmlegt. Wer hier auf Threat Intelligence-Lösung setzt, kann solchen digitalen Bedrohungen gerüstet entgegen treten.

Die Cybergefahr ist mittlerweile auch in der Führungsetage jedes Unternehmens angekommen. Geht es an die Umsetzung des digitalen Risikomanagements fehlt es jedoch in vielen Fällen noch an effektiven Lösungen. Die schiere Vielfalt an Bedrohungen – von kompromittierten Daten und Fake Social Media Profilen über Erpressungen des CEOs und gekidnappten Websites bis hin zu gefährdeten Infrastrukturen und Lieferketten – verunsichert Unternehmen. Oft kommt es so lediglich zu einem Flickenteppich an singulären Lösungen. Zudem hält sich noch immer vereinzelt der Glaube, dass Firewall, VPN, Virenscanner und Co. ausreichen, um Unternehmen von Angriffen von außen ausreichend zu schützen. Cyber Threat Intelligence (CTI) wird hier als Sicherheitsspielzeug von globalen Großkonzernen angesehen, das sich für kleine und mittlere Unternehmen jedoch nicht wirklich auszahlt.

Wenig hilfreich ist es hier, dass der Markt an CTI-Lösungen mit jeder neuen Schwachstelle oder bekannt gewordenem Datenleak zu wachsen scheint. Als Threat Intelligence werden dabei oft bereits ungefilterte Datenfeeds verkauft, die Großteils weder relevant noch für die Anwender auswertbar sind, und nur in den seltensten Fällen tatsächlich handlungsfähige Empfehlungen für Gegenmaßnahmen aussprechen. Um die tatsächliche Leistungsfähigkeit von CTI-Lösungen zu überprüfen, lohnt sich ein Blick auf das sogenannte TRACER-Modell.

T = Timeliness / Aktualität

An erster Stelle steht der Faktor Zeit. Je schneller die Bedrohung ausgemacht ist, desto höher die Chance, Angriffe noch rechtzeitig abzuwehren. Kommt es zum Ernstfall müssen zudem schnellstmöglich Maßnahmen getroffen werden. Unternehmen sollten daher genau überprüfen, wie schnell CTI-Lösungen Vorfälle melden und ob diese auch über die Zeit weg dokumentiert bleiben. Die Bedrohungslandschaft wächst kontinuierlich und Angreifer entwickeln fortwährend an neuen TTPs (Taktiken, Techniken und Verfahren). Sicherheitslösungen müssen diese Entwicklungen nachverfolgen können. 

Wird ein Unternehmen beispielsweise Opfer von Cyber-Erpressung, muss es in Echtzeit auf Hintergrundinformationen über die Akteure zugreifen können: Ist die Gruppe bekannt? Wie ist ihr übliches Vorgehen? Und welche Schritte haben sich als wirksam erwiesen – zahlen oder ignorieren? Eine Lösung, die zusätzlich leistungsstarke Filter, einfache Suchsyntax und automatische Benachrichtigungen bietet, hilft hier schnell und einfach einen ersten Überblick über das Sicherheitsrisiko gewinnen. Auch Sicherheitsteams können auf die Informationen zugreifen, z. B. wenn es darum geht, öffentlich gewordene Vorfälle zu beurteilen und mögliche Auswirkungen auf das eigene Unternehmen abzuschätzen. 

R = Relevanz

Zeitnahe Meldungen zu aktuellen Bedrohungen sind nur dann von Vorteil, wenn sie für das eigene Unternehmen auch tatsächlich Relevanz besitzen. Andernfalls drohen Sicherheitsabteilungen in der Flut von Sicherheitsinformationen unterzugehen. Je passgenauer die Threat Intelligence auf das Unternehmen einschließlich Branche, Kundensegmente, Geschäftsumfeld, Portfolio etc. abgestimmt ist, desto höher ist der effektive Mehrwert der CTI-Lösung. Cyberkriminelle fokussieren häufig einzelne Branchen und passen auch ihre Angriffe entsprechend an. Versicherungen und Banken haben mit anderen Betrugsmaschen zu kämpfen als die Industrie mit ihrem Netzwerk an Zulieferern und Distributoren. Und während sich zur Weihnachtszeit der E-Commerce Markt warm anziehen sollte, um Denial-of-Service-Kampagnen oder Kreditkartenbetrug zu unterbinden, heißt es 2020 Achtung für die Sponsoren der Olympischen Sommerspiele in Tokyo. Nicht jede neue Angriffswelle ist gleichermaßen gefährlich für alle Branchen. Idealerweise wird die Threat Intelligence deshalb kundenspezifisch angepasst und basiert auf einem Verzeichnis von Key-Assets, die sowohl das Unternehmen als auch Tochtergesellschaften, Partner und Lieferkette eindeutig definieren. 

A = Analysten

Smarte Technologien können einen Großteil der Datenanalyse übernehmen. Auf die Auswertung durch Analysten können CTI-Lösungen jedoch nicht gänzlich verzichten. Um zum Beispiel auf geschlossene Plattformen und Marktplätze im Dark Web zu recherchieren, braucht es die Erfahrung und das Fachwissen von Datenanalysten. Sie sind in der Lage, Offline-Suchen auf indizierten Seiten – und idealerweise in mehreren Sprachen – durchzuführen und die aufgespürten Informationen in einen Kontext zu rücken. Fällt beispielsweise der Name eines Unternehmens in einem Forum, wird der gesamte Thread der Unterhaltung genauer unter die Lupe genommen – einschließlich Zwischentöne und Anspielungen. Dabei identifiziert das Team von Datenanalysten Fehlmeldungen („False Positives“) und priorisiert die Risiken. Das erspart Unternehmen viel Zeit.

C = Coverage / Umfang

Foren und Marktplätze für Cyberkriminelle machen nur einen kleinen Teil der Datenquellen aus, die von CTI-Lösungen beobachtet und ausgewertet werden müssen. Ein vollständiger Blick auf alle Risiken schließt neben Dark Web auch Datenquellen im Open und Deep Web mit ein. Dazu zählen Suchmaschinen wie Google und Baidu genauso wie Paste Sites (Pastebin, Ghostbin), File Hosting and Sharing Sites (z. B. Slideplayer, Megaupload), Cloud Storage Services (z. B. AW S3 Buckets) und FTP Server. Auch auf Social Media Kanälen, Jobbewertungsportale n(z. B. Glassdoor) oder in AppStores wie Google Play und Apple App Store lauern digitale Gefahren. Die digitale Welt wächst kontinuierlich. Dementsprechend groß muss die Bandbreite an Datenquellen sein, die von CTI-Lösungen abgedeckt wird. Zusätzlich bauen viele Threat Intelligence-Anbieter ein eigenes Repository an Sicherheitsdaten auf und verknüpfen Lösung mit öffentlich zugänglichen Datenbanken. 

E = Ease of Integration / Einfache Integration

Threat Intelligence lässt sich nicht isoliert von der Unternehmens-Infrastruktur betrachten. Sinnvoll sind daher Lösungen, die über ein ausgeprägtes, technologisches Ecosystem verfügen und eine einfache Integration zu anderen Tools erlauben. Dazu zählen Lösungen zur Sicherheitsanalytik und Security Information and Event Management (SIEM), zur Produktorchestrierung und Automatisierung, sowie im Bereich Risiko & Compliance und Netzwerkdurchsetzung.

R = Remediation / Fehlerbehebungen 

Nutzen lässt sich die Threat Intelligence schließlich nur dann, wenn zu jedem entdeckten und gemeldeten Vorfall detaillierte Schritte zum weiterem Vorgehen sowie Gegenmaßnahmen empfohlen werden. Manche CTI-Lösungen übernehmen hier als zusätzlichen Service auch die Abwicklung von sogenannten Notice und Takedown-Verfahren. Hilfreich ist das zum Beispiel bei Fake Webseiten mit leicht abgeänderten Unternehmensnamen in der Adresszeile, die für Phishing Zwecke missbraucht werden, oder bei urheberrechtlich geschützten Daten, die auf Filesharing-Seiten unerlaubt gehostet werden. 

Threat Intelligence

Die ideale CTI-Lösung ist eine Lösung, die es Führungskräften erlaubt, endliche Ressourcen im Bereich IT und Sicherheit sinnvoll und besser zu verteilen – und zwar basierend auf den jeweiligen Vorfall und dem damit verbundenen Risikopotential. Je umfassender und relevanter der Überblick über die potenziellen Bedrohungen und Arten von Angriffen ist, desto größer das Kosten-Nutzen-Verhältnis.

Stefan Bange, Country Manager Deutschland, Digital Shadows
 

 
GRID LIST
Code und Frau

Wissen ist Macht: So funktioniert die MITRE ATT&CK Matrix

In letzter Zeit gab es viel Wirbel um die MITRE ATT&CK Matrix und wie sie der…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die…
Social Engineering

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
Hacker Stadt

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…
Ransomware

Unternehmen und Behörden haben ein neues altes Problem

Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des…
Cyberversicherung

Cyberversicherungen haben Lücken

Cyberversicherungen stellen eines der wachstumsstärksten Segmente des…