Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Auge

Im Bereich Cybersicherheit ist man umso besser gerüstet, je mehr man über potenzielle Bedrohungen für sein Unternehmen weiß. Threat Intelligence, auf Deutsch das „Wissen über Bedrohungen“ beschreibt die Sammlung aller sicherheitsrelevanten Informationsquellen.

Dazu gehören einzelne Bedrohungen oder Bedrohungsgattungen, Bedrohungsakteure, Exploits, Malware, Schwachstellen oder Kennzahlen von Sicherheitsverstößen. Dieses gesammelte Wissen ist das Fundament eines effektiven Sicherheitsprogramms, das natürlich die nötigen Informationen braucht, um damit vertraut zu sein, gegen wen es sich wie zu verteidigen gilt. Threat Intelligence setzt sich aus vielen Teilen zusammen. Darunter sind zahlreiche Quellen, Feeds und Plattformen, die Unternehmen bei der Erfassung, Analyse und Reaktion auf Bedrohungen unterstützen. Zusammen liefern diese einzelnen Teile eine Fülle von wertvollen Informationen über fast jeden Aspekt der Cybersicherheit.

Das Wissen über Angriffe ist das Fundament, auf dem alle Lösungen für Cybersicherheit aufbauen. Ohne dieses Wissen kann man keine effektive Sicherheitslösung erstellen, und die Hersteller stehen vor der Herausforderung, die Fülle an Informationen, die ihnen Threat Intelligence bietet, effektiv zu nutzen. Hier trennt sich bei vielen Lösungen die Spreu vom Weizen. Dies beginnt schon mit den Rohdaten, auf denen alles aufbaut.

Die Rohdaten, das Fundament der Threat Intelligence

Quellen für Threat Intelligence sind die Rohdaten für die Bedrohungsaufklärung. Sie werden von einer Lösung sortiert, analysiert und in einem zweiten Schritt zu Intelligence-Feeds zusammengefasst. Für die meisten Unternehmen ist der beste Ansatz die Verwendung einer Kombination aus internen Quellen in Verbindung mit kommerziellen oder öffentlichen Feeds. Zu den typischen internen Feeds gehören Bedrohungsanalysen von einem Security Operations Center (SOC), Fachgemeinschaften, Sicherheitsmeldungen oder Blogs und Dark Web Research. Auf der anderen Seite stammen kommerzielle und öffentliche Feeds hauptsächlich aus der Kundentelemetrie, dem Dark Web, Open-Source-Datenbanken, der Malware-Verarbeitung sowie der manuellen Sicherheitsforschung und Ereignisanalyse.

Das Zusammensetzen der Rohdaten bildet den Threat-Intelligence-Feed

Ein Threat-Intelligence-Feed fasst Daten aus einer oder mehreren Quellen zusammen. Die Mehrheit der Feeds konzentriert sich tendenziell auf einen Schwerpunktbereich, wie z.B. Botnet-Aktivität, Domänen oder bösartige IP-Adressen. Der Echtzeitcharakter von Threat-Intelligence-Feeds bedeutet, dass die Informationen, sobald eine neue Bedrohung oder bösartige Entität entdeckt wird, in das Feed-Format verpackt und an die Abonnenten gestreamt werden. Schnelligkeit ist hierbei von entscheidender Bedeutung, da das Hauptziel eines Benutzers natürlich darin besteht, sich gegen drohende Angriffe zu verteidigen, bevor sie passieren.

Sicherheitsexperten können diese Feeds auf vielfältige Weise nutzen. Einige Sicherheitstools, wie beispielsweise Firewalls, akzeptieren Feeds direkt, sodass jede neue Entdeckung sofort berücksichtigt werden kann. Alternativ können die Feed-Daten in einer Security Information Event Management (SIEM) oder User Entity Behavioral Analytics (UEBA) Lösung gespeichert werden, die Bedrohungsdaten mit internen Sicherheitsereignissen korrelieren und Warnmeldungen erzeugen kann, wenn relevante Bedrohungen gefunden werden. Analysten können Informationen auch manuell überprüfen, und obwohl dies nützlich sein kann, ist es oft extrem zeitaufwändig.

Plattformen und Anbieter: Aus allem einen Sinn machen

Komplette Threat-Intelligence-Plattformen schaffen hier Abhilfe. Sie bieten die Möglichkeit, mehrere Feeds gleichzeitig zu erfassen, zu organisieren, zu speichern, zu analysieren und zu vergleichen. Sie können diese Feeds dann mit internen Sicherheitsereignissen korrelieren und priorisierte Warnmeldungen erstellen, die dann von Analysten überprüft werden können. Neben vielen anderen Anwendungen funktioniert auch ein SIEM auf diese Weise. Einige Beispiele für gängige Threat Intelligence-Plattformen sind ThreatQuotient, Anomali ThreatStream und Palo Alto Networks‘ AutoFocus, die je nach Anforderung der Organisation jeweils einen etwas anderen Fokus haben.

Threat Intelligence ist nicht ohne Herausforderungen

Obwohl die Bedrohungsaufklärung bei der Abwehr von Cyberangriffen immer wichtiger wird, ist sie nicht ohne Probleme. Zu den wichtigsten Herausforderungen gehört vor allem die Überschwemmung mit Informationen. Viele Sicherheitsanalysten versinken bereits jetzt in Daten, lange bevor Bedrohungsinformationen in den Mix aufgenommen werden. Ohne effektive Planung und Priorisierung kann die große Menge an zusätzlichen Daten sehr schnell dazu führen, dass Analysten überfordert werden. Darüber hinaus fehlt meist der benötigte Kontext. Während Bedrohungsinformationen oft wichtige Indikatoren für die Sicherheit liefern, können sie ohne den entsprechenden Kontext bedeutungslos sein. Und zu guter Letzt benötigt Threat Intelligence noch spezielle Prozesse und Fähigkeiten des Security-Teams. Die Feeds sind natürlich nicht von selbst nützlich, sie erfordern eine sorgfältige Analyse durch geschulte Fachleute, um effektiv genutzt zu werden. Der derzeitige globale Mangel an Sicherheitsexperten ist bekannt. Das bedeutet, dass viele Unternehmen Schwierigkeiten haben, ohne die benötigten Mitarbeiter das Beste aus der Bedrohungsanalyse herauszuholen. Um dieses Problem auszugleichen, bieten manche Plattformen Automatisierung und Analysefähigkeiten.

Automatisierung und Analysen entlasten die wertvollste Ressource: Den Sicherheitsexperten

Moderne SIEM-Plattformen verfügen heute über zahlreiche Technologien, die Unternehmen dabei unterstützen können, Bedrohungsdaten bestmöglich zu nutzen. Sie sind von Grund auf so konzipiert, dass sie mit Bedrohungsinformationen aus vielen Quellen arbeiten können. Und dank integrierter Automatisierungs- und Analysefähigkeiten können sie die wichtigsten Daten genau dann bereitstellen, wenn sie benötigt werden.

Die automatisierte Reaktion auf Vorfälle gibt Analysten beispielsweise die Möglichkeit, Daten aus Hunderten von Tools zu sammeln, Vorfälle automatisch zu identifizieren, sie mit Bedrohungsdaten zu referenzieren und die nötigen Schritte zu koordinieren um den Schaden einzudämmen. So wird die Datenüberlastung deutlich reduziert. Auch die Verwendung von Analysen zur Identifizierung von anomalem Verhalten, in Verbindung mit den Daten aus der Bedrohungsanalyse, ist für Sicherheitsexperten ein großer Vorteil. In der Vergangenheit hat eben dieses manuelle Identifizieren die meiste Zeit der qualifizierten Sicherheitsexperten in Anspruch genommen.

Fazit

Bei richtiger Anwendung liefert Threat Intelligence eine Fülle von unschätzbaren Informationen über fast jeden Aspekt der Cybersicherheitsoperationen eines Unternehmens. Wie jede Technologie ist sie jedoch nicht ohne Herausforderungen. Durch den Einsatz moderner SIEM-Plattformen können diese Herausforderungen jedoch gemeistert werden. Automatisierung und detaillierte Analysen spielen dabei eine Schlüsselrolle die wertvollste Ressource des Unternehmens nicht zu verschwenden: Den Sicherheitsexperten.

Egon Kando, Exabeam

 www.exabeam.com
 

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…