Begriffe wie "Security Intelligence" oder "Threat Intelligence" sind in aller Munde und Teil vieler Lösungskonzepte, jedenfalls in der IT-Security-Branche. Auf der Anwenderseite sieht es anders aus: Laut einer Studie von Symantec und Deloitte fehlen 54 Prozent der befragten Organisationen die notwendigen Sicherheitsinformationen und Bedrohungsanalysen, um sich gegen fortschrittliche Attacken schützen zu können.

Die IBM CISO-Studie zeigt ein ähnliches Bild: Über 70 Prozent der Befragten gaben an, dass die Nutzung von Security Intelligence in Echtzeit immer wichtiger wird. Trotz dieser hohen Zustimmungsrate sind entsprechende Maßnahmen wie Daten-Klassifizierung und Security- Intelligence- Analysen noch relativ wenig ausgreift (54 Prozent).

Die fehlende Sicherheitsintelligenz schwächt nicht nur die Abwehr. Mehr als ein Drittel der von Deloitte und Symantec befragten Unternehmen leiden unter Fehlalarmen in der IT-Security, wodurch es bei 84 Prozent zu Netzwerkstörungen und bei 74 Prozent zu Datenverlusten gekommen ist.

Der Bedarf an intelligenten Sicherheitskonzepten ist hoch: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel spricht von zunehmend professionellen und zielgerichteten Attacken, die die Unternehmen Tag für Tag bedrohen.

An Möglichkeiten, die eigene Security Intelligence zu steigern, mangelt es nicht, und laufend kommen neue hinzu: Ob BT Assure Threat Intelligence, Dell SecureWorks Threat Intelligence, FireEye Threat Analytics Platform, IBM QRadar Security Intelligence Platform, Palo Alto Networks WildFire Platform, Panda Advanced Protection Service (PAPS), Resolution1 Platform, Solutionary Targeted Threat Intelligence oder Trend Micro Deep Discovery - dies sind nur einige Beispiele für Lösungen, die dabei helfen, die Abwehrmaßnahmen auf die besonders wahrscheinlichen oder tatsächlich vorliegenden Bedrohungen abzustellen.

Doch es lohnt sich, Security oder Threat Intelligence noch genauer zu betrachten, denn mit Sicherheitsintelligenz ist mehr möglich als eine Optimierung der Angriffserkennung und -abwehr.

Security Intelligence hilft bei Spurensuche

Unternehmen haben nicht nur Probleme damit, die zunehmend raffinierten Attacken abzuwehren, sie entdecken die erfolgreichen Angriffe oftmals sehr spät oder gar nicht. Nur 24 Prozent der befragten Unternehmen zeigten sich in einer Studie von Intel Security zuversichtlich, einen Angriff innerhalb von Minuten zu entdecken, fast die Hälfte braucht dazu Tage, Wochen oder sogar Monate.

Es steht außer Zweifel, dass die Aufdeckung von Attacken so schnell wie möglich gelingen muss, wenn die Abwehrmaßnahmen keinen Erfolg hatten. Security Intelligence kann die digitale Spurensuche, die IT-Forensik unterstützen und beschleunigen.

So hat IBM die QRadar Security Intelligence Plattform weiter entwickelt, um Attacken früher entdecken zu können. Ebenfalls ergänzt wurde IBM Security Incident-QRadar Forensics. Damit können interne Sicherheitsteams die einzelnen Aktionen Cyberkrimineller besser nachzuvollziehen.

Sicherheitsvorfälle lassen sich schneller untersuchen und die möglichen Auswirkungen verdächtiger Aktivitäten besser abschätzen. Dazu zeichnet QRadar Incident-Forensics Aktivitäten im Netzwerk auf, eine Rückverfolgung verdächtiger Aktivitäten wird zeitnah möglich. Warnhinweise bei wachsenden Verdachtsmomenten und forensische Suchfunktionen runden die Security Intelligence in der IT-Forensik ab.

Weitere Beispiele für die Symbiose aus Sicherheitsintelligenz und forensischer Analyse kommen von FireEye mit der Network Forensics Plattform und dem LogRhythm Network Monitor in Verbindung mit der LogRhythm Security Intelligence Platform. Verdächtige Spuren im Netzwerk werden ermittelt und dank Sicherheitsintelligenz hinsichtlich ihrer möglichen Folgen bewertet. Dies hilft bei der Priorisierung der Notfallmaßnahmen nach einem IT-Sicherheitsvorfall.