Frühwarnsystem für Cyber-Bedrohungen

Threat Monitoring Services aus der Cloud

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Kleine und mittlere Firmen erleiden Online-Attacken, verfügen aber über kein Cyber-Frühwarnsystem. Spezielle Cloud-Services können helfen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass heute mindestens jedes international aufgestellte Unternehmen in Deutschland ein potenzielles Ziel für fortgeschrittene Cyber-Attacken ("Advanced Persistent Threats", kurz APTs) ist. Kleine und mittlere Unternehmen gehören genauso zu den Angriffszielen wie große Konzerne.

Die Visualisierung von Cyber-Attacken in Echtzeit, wie dies zum Beispiel die Kaspersky-Cyberbedrohungsweltkarte bietet, zeigt eindrucksvoll die Bedrohungslage auf.
Die Visualisierung von Cyber-Attacken in Echtzeit, wie dies zum Beispiel die Kaspersky-Cyberbedrohungsweltkarte bietet, zeigt eindrucksvoll die Bedrohungslage auf.
Foto: folgt

Die Möglichkeiten, sich gegen komplexe Angriffe zu schützen, sind im Mittelstand allerdings oftmals gering ausgeprägt. Umso wichtiger ist es, mögliche Angriffe frühzeitig erkennen und bereits vor dem eigenen Netzwerk abwehren zu können.

Frühwarnsysteme fehlen gerade im Mittelstand

Viele Unternehmen in Deutschland sind sich der neuen Cyber-Bedrohungen aber nicht bewusst, wie eine Studie von Vanson Bourne im Auftrag von BT zeigt: Für nur 19 Prozent der deutschen Top-Manager genießt die IT-Sicherheit eine hohe Priorität. An Frühwarnsysteme, Threat-Monitoring- oder Threat-Intelligence-Lösungen gegen Cyber-Attacken denken viele deshalb noch nicht.

Threat-Monitoring- bzw. Threat-Intelligence-Lösungen könnten dabei helfen, Cyber-Attacken früher zu erkennen, indem sicherheitsrelevante Daten aus verschiedenen, verteilten Quellen ausgewertet und für die Bedrohungsvorhersage genutzt werden, zum Beispiel Daten über erkannte Malware- und Spam-Attacken auf andere Unternehmen.

Eine Umfrage unter IT-Sicherheitsverantwortlichen durch das Ponemon-Institut ergab, dass 40 Prozent der Befragten in keiner ihrer Sicherheitslösungen Hinweise aus Threat-Intelligence-Lösungen als Frühwarnsystem importieren. 59 Prozent der Befragten sind nicht in der Lage, Threat-Intelligence-Analysen mit ihren existierenden Security-Produkten effektiv zu nutzen.

Es besteht somit ein hoher Bedarf an einfach zu integrierenden, leicht zu bedienenden Frühwarnsystemen, die die Sicherheitslösungen der Unternehmen mit konkreten Warnhinweisen versorgen. Hier kommen Threat-Monitoring-Lösungen aus der Cloud ins Spiel, die extern betrieben werden, vielfältige sicherheitsrelevante Informationsquellen nutzen und kein hohes Fach-Know-how bei den Anwenderunternehmen voraussetzen.

Threat Monitoring gibt es aus der Cloud

Auswahl an Threat-Monitoring-Lösungen aus der Cloud gibt es inzwischen reichlich, darunter Arbor Networks Pravail Security Analytics, BT Assure Threat Monitoring-Service, Check Point ThreatCloud Managed Security Service, Cisco Cognitive Threat Analytics, Dell SecureWorks Advanced Endpoint Threat Detection, FireEye Managed Defense, RSA Web Threat Detection und Trustwave Threat Correlation Service.

Anwenderunternehmen sollten allerdings nicht nur auf die monatlichen Nutzungsgebühren achten, wenn eine Entscheidung für einen Cloud Service als Cyber-Frühwarnsystem ansteht. Damit der Service der Wahl auch tatsächlich die Cyber-Sicherheit erhöht, müssen die jeweiligen Anforderungen an Schnittstellen, Berichte und Alarmierung erfüllt sein. Zudem gibt es Unterschiede bei der Zahl und Art der "Bedrohungssensoren".

Threat Monitoring Services: Zahl und Art der Sensoren hinterfragen

Ein Threat Monitoring Service erkennt mögliche Cyber-Gefahren durch die zeitnahe Analyse möglichst vieler, relevanter Sicherheitsinformationen, die von Gefahrensensoren bereitgestellt werden. Diese Sensoren sind in der Regel IT-Systeme wie Server, Endgeräte und Netzwerkkomponenten, die der jeweilige Cloud Service Provider überwacht.

Die Bedrohungen für IT-Systeme werden immer vielfältiger und komplexer. Gerade kleine und mittlere Unternehmen brauchen Unterstützung, um Angriffe möglichst frühzeitig erkennen und abwehren zu können.
Die Bedrohungen für IT-Systeme werden immer vielfältiger und komplexer. Gerade kleine und mittlere Unternehmen brauchen Unterstützung, um Angriffe möglichst frühzeitig erkennen und abwehren zu können.
Foto: folgt

Eine globale, zumindest aber breite Verteilung der Sensoren, viele verschiedene Typen überwachter Geräte und eine möglichst große Zahl an Sensoren spielen bei der Qualität der Bedrohungsanalysen ebenso eine Rolle wie ein schnelles, leistungsstarkes und intelligentes Analyseverfahren des Threat Monitoring Service.

Anwenderunternehmen sollten deshalb nach der Zahl und Art der überwachten IT-Systeme fragen - nicht nur als Referenz, welche Verbreitung der Service bereits genießt, sondern als wichtigen Hinweis auf die Basis für die Bedrohungsanalysen und -vorhersagen. BT zum Beispiel nennt für BT Counterpane mehr als 1.000 Kunden in aller Welt und eine Überwachung von 300.000 Kundengeräten in neun international verteilten Secure Operations Centres (SOC).

Threat Monitoring Services: Schnittstellen prüfen

Wie hilfreich ein Threat Monitoring Service sein kann, hängt einerseits davon ab, von welchen IT-Systemen sicherheitsrelevante Informationen bezogen und analysiert werden können. Es kommt aber auch darauf an, an welche Sicherheitslösungen die Warnungen und konkreten Alarmierung übergeben werden können.

Informationsdienste wie Cyberthreat Real Map auf Basis des Kaspersky Security Network (KSN) zeigen eindrucksvoll die Gefahrenlage im Internet und liefern sehr wertvolle Informationen. Die Bedrohungsdaten lassen sich jedoch nicht ohne weiteres automatisiert nutzen und in Sicherheitslösungen eines Anwenderunternehmens integrieren, so dass diese auf die Gefahrenlage automatisch besser reagieren könnten. Anders sieht dies aus bei Sicherheitstacho.eu. Hier gibt es eine definierte Schnittstelle und Anleitung zur Integration des Frühwarnsystems der Deutschen Telekom.

Folgend eine Übersicht zu den Schnittstellen, die die eingangs erwähnten Anbieter für ihre Threat Monitoring Services nennen.

Threat Monitoring Services

ATLAS (Active Threat Level Analysis System) Intelligence Feed: Sicherheitsinformationen aus den Arbor Network Internetanalysen
/weitere Threat Intelligence Feeds anderer Anbieter
/ Upload der Systemprotokolle
des Anwenderunternehmens
Betriebssysteme und Anwendungen wie Datenbankanwendungen / Webserver und Host Intrusion Protection / Netzwerkgeräte wie Firewalls, Switches, Router / Network-Intrusion-Detection- und Intrusion-Protection-Systeme (IPS)
IPS, Anti-Bot, Antivirus / ThreatCloud Real-time Security Intelligence Feeds von Check Point
Cloud-Security-Netzwerke von Cisco und Sourcefire (Cisco-Unternehmen) / Sicherheitslösung Cisco Cloud-Web-Security / Cisco Advanced Malware Protection (AMP) als Netzwerk- und Endgeräteschutz
Windows Server, Notebooks, Desktops / Sicherheitsinformationen aus dem Dell SecureWorks Targeted Threat Hunting Service, der für über Hundert Auftraggeber ausgeführt wird
Sicherheitsinformationen der überwachten Geräte / FireEye Cybercon Berichte z.B. über Advanced Persistent Threat (APT) Kampagnen oder Zero-Day-Attacken
RSA Web Session Intelligence zur Analyse des Verhaltens von Webseiten-Besuchern / RSA Profile Analyzer zum Vergleich des Webseiten-Besucherverhaltens mit früheren Verhaltensmustern
Datenbanken mit Botnet Domains, Malware Domains, Phishing Domains / Bedrohungsdaten von TTCS Crowd Source Kunden, die die Trustwave SIEM Enterprise oder SIEM Operations Edition nutzen / Informationen über verseuchte Hosts und Malware-Quellen aus automatischen SpiderLabs-Untersuchungen / Sicherheitsinformationen von Trustwave Security-Lösungen wie Secure Web Gateway

Threat Monitoring Services: Reporting, Alarming und Dashboards müssen passen

Neben der Übertragung der Bedrohungsanalysen an interne oder ebenfalls als Service angebotene Sicherheitssysteme wie einem IPS (Intrusion Prevention System) bieten Threat Monitoring Services auch Berichtsfunktionen. Dies können E-Mails an den Administrator des Anwenderunternehmens sein mit dem regelmäßigen Bericht in PDF-Form, aber auch SMS-Nachrichten über akute Bedrohungen.

Je nach Service-Level werden zum Beispiel beim Check Point ThreatCloud Managed Security Service die Warnmeldungen direkt dem Nutzer automatisch zugestellt oder aber von Security-Analysten im Check Point Security Operation Center zuvor einer genauen Prüfung unterzogen. Je nach Kritikalität der Warnungen und je nach Service-Stufe sind zudem die garantierten Reaktionszeiten bei Sicherheitsvorfällen verschieden.

Die Kombination verschiedener, weit verteilter Quellen für sicherheitsrelevante Informationen ermöglicht es, Angriffe früher und besser zu erkennen. Dies ist die Basis für Lösungen im Bereich Threat Monitoring und Threat Intelligence.
Die Kombination verschiedener, weit verteilter Quellen für sicherheitsrelevante Informationen ermöglicht es, Angriffe früher und besser zu erkennen. Dies ist die Basis für Lösungen im Bereich Threat Monitoring und Threat Intelligence.
Foto: folgt

Zusätzlich bieten viele Threat Monitoring Services für den Nutzer ein Management-Portal mit Dashboard an, das im gewissen Rahmen individualisiert werden kann. Je nach internem Bedarf lassen sich so übersichtliche Management-Reports generieren oder aber Nachweise über ergriffene Sicherheitsmaßnahmen entsprechend der jeweiligen Compliance-Vorgaben.

Threat Monitoring Services: Datenschutz nicht vergessen

Wenn Daten an Dritte übertragen werden, sollte auch an den Datenschutz gedacht werden: Wer einen Threat Monitoring Service nutzt, wird oftmals auch selbst sicherheitsrelevante Daten zurückspielen. Die sicherheitsrelevanten Informationen, die an den Threat Monitoring Service übertragen werden, könnten personenbezogene Nutzerdaten enthalten. Diese unterliegen einer besonderen Zweckbindung (§ 31 BDSG) und müssen vor Missbrauch geschützt werden.

Bevor die Systemprotokolle der überwachten Anwendungen und Geräte an den Threat Monitoring Service Provider geschickt werden, sollte deshalb sichergestellt werden, dass die Daten anonymisiert oder pseudonymisiert sind.

Andernfalls könnte die Steigerung der Cyber-Sicherheit durch einen Threat Monitoring Service ungewollt dazu führen, dass die Daten der Mitarbeiterinnen und Mitarbeiter des Unternehmens oder anderer Nutzer gefährdet oder zumindest unerlaubt an Dritte übermittelt werden.

Gute Threat Monitoring Services nehmen den Datenschutz ernst und machen auf die notwendige Anonymisierung oder Pseudonymisierung der Systemprotokolle in der Schnittstellenbeschreibung aufmerksam und verfügen über eine entsprechende Datenschutzerklärung (Privacy Policy). (sh)

Lösungen wie Trustwave Threat Intelligence bieten dem Anwenderunternehmen Dashboards, mit denen die Bedrohungsdaten und -vorhersagen individuell dargestellt werden können. Dies hilft auch bei der gezielten Umsetzung von Compliance-Vorgaben.
Lösungen wie Trustwave Threat Intelligence bieten dem Anwenderunternehmen Dashboards, mit denen die Bedrohungsdaten und -vorhersagen individuell dargestellt werden können. Dies hilft auch bei der gezielten Umsetzung von Compliance-Vorgaben.
Foto: folgt