Sicherheitsmanagement bekommt fundierte Basis
Auf Basis entsprechender Sicherheitsanalysen und Bedrohungsdaten können auch andere Bereiche der IT-Security intelligenter und effektiver werden. Immer dann, wenn Entscheidungen für oder gegen bestimmte Sicherheitsmaßnahmen getroffen werden müssen oder wenn Maßnahmen priorisiert werden müssen, kann Security Intelligence den Ausschlag geben.
Wie die SANS-Studie "Analytics and Intelligence Survey 2014" zeigt, fehlt Unternehmen insbesondere der Einblick in Applikationen und Schwachstellen, das Wissen um den "Normalzustand", Informationen über Netzwerke, Endpunkte und mobile Geräte sowie der Kontext für die Bewertung der IT-Sicherheitslage.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Genau wie die geschäftlichen Entscheidungen ein besseres Fundament durch Business Intelligence erhalten können, liefert die Sicherheitsintelligenz eine wichtige Basis für das IT-Sicherheitsmanagement.
Dies beginnt mit der Unterstützung der Risikoanalyse, der Ermittlung des Schutzbedarfs und schließt präventive Schutzmaßnahmen wie Patchmanagement und Zugangskontrolle mit ein. Wenn Security Intelligence erst in den Phasen Angriffserkennung, Abwehr und Spurensuche zum Einsatz kommt, wird viel Potenzial verschenkt.
Security Intelligence wirkt integrativ
Wie vielfältig die Möglichkeiten von Sicherheitsintelligenz sind, zeigen die Schnittstellen der Security-Intelligence-Plattformen. Diese gibt es nicht nur auf Seite der Datenquellen, sondern auch hin zu den Empfängern der sicherheitsrelevanten Analysen, darunter Lösungen aus dem Bereich Risikomanagement, Network Access Control, Applikationskontrolle, Mobile Device Management oder Verschlüsselung.
Die Plattform ForeScout CounterACT beispielweise verfügt über Schnittstellen zu der Security-Intelligence-Plattform ThreatStream, aber auch zu Mobile Device Manager und Schwachstellen-Scanner. Dank Open Integration Module können Anwenderunternehmen eigene Schnittstellen entwickeln und weitere IT-Sicherheitslösungen integrieren. Sicherheitsintelligenz kann so bei der Verwaltung von Endgeräten und bei der Schwachstellensuche und -behebung einfließen.
FireEye bietet ein Industry Alliances Program für die Integration von Lösungen unterschiedlicher Hersteller, um auf Basis der FireEye-Plattform eine Next-Generation-Threat-Protection-Infrastruktur zu realisieren. Anbinden lassen sich unter anderem Netzwerk-Gateways, um als riskant eingestufte Zugriffe auf sensitive Informationen in Datenbanken oder auf Dateiserver verhindern zu können.
Risikoanalysen mit Security Intelligence
Der in der SANS-Studie genannte Bedarf an Informationen über Applikationsrisiken kann durch Security-Intelligence-Lösungen gedeckt werden. So hilft die Bit9 Threat Intelligence Cloud bei der Bewertung von App-Risiken und damit bei dem Whitelisting von Applikationen, die im Unternehmen freigegeben werden. Die Risiken mobiler Applikationen zu bewerten und die Apps entsprechend zu blockieren - dies wird unterstützt durch die Sicherheitsintelligenz der FireEye-Lösung Mobile Threat Prevention. Die Lösung untersucht Apps vor abgeschlossener Installation und nutzt Security Intelligence, um das Risiko für den Nutzer zu ermitteln, Apps zu analysieren und schädliche Anwendungen zu erkennen und zu blockieren.
Das Identitätsmanagement, genauer die Risikobewertung digitaler Identitäten, gehört ebenfalls zu den Bereichen, die mit Security Intelligence deutlich gewinnen. So wurde kürzlich die Integration der ForgeRock Identity Platform mit der FireEye Threat Analytics Platform (TAP) bekannt gegeben. Anwenderunternehmen können das Risiko digitaler Identitäten auf Basis von aktuellen Daten wie Standort, IP-Adresse, Zeitpunkt und identifiziertem Gerät bewerten. Die Kombination von Identity Management und Security Intelligence versetzt Unternehmen zudem in die Lage, Angriffe auf Grundlage gestohlener Identitäten besser und schneller zu erkennen.
Die Lösung Privileged Threat Analytics von CyberArk sucht nach Anomalien im Verhalten privilegierter Nutzer wie Kontenzugriffen zu eher ungewöhnlichen Tageszeiten oder eine exzessive Häufung von Zugriffen. Auf Basis der Analyse des Nutzerverhaltens findet eine kontinuierliche Anpassung der Risikobewertung statt. Dabei werden Sicherheitsdaten aus SIEM-Systemen wie HP ArcSight ESM oder Splunk Enterprise genutzt.
Selbst Risiken für geistiges Eigentum lassen sich mit Security Intelligence fundierter bewerten. Perforce Helix Threat Detection ist eine Sicherheitslösung für die Perforce-Helix-Plattform für Source Code Management (SCM) und Content-Kollaboration. Die Lösung identifiziert interne und externe Sicherheitsrisiken für geistiges Eigentum, das mit Perforce Helix verwaltet wird. Ausgewertet werden unter anderem die Zugriffsversuche und Zugriffe auf Quellcode oder Produktdesigns. Auf Basis der Risikobewertung werden Warnungen für Aktivitäten, Anwender, Geräte, Projekte und Daten erzeugt.