IT-Sicherheit - das Thema für die Chefetage

Threat Intelligence - wichtiger Baustein für die IT-Security

25.09.2018 von Markus Auer
IT-Security ist in Firmen mittlerweile ein wichtiger Aspekt für den Unternehmenserfolg geworden. Deshalb sollten Entscheider das Thema Sicherheit in Verbindung mit Threat Intelligence richtig angehen.

Gartner rät Unternehmen, ihre bestehenden Lösungen und Prozesse im Bereich Security zunächst zu optimieren, bevor sie neue Schutzmechanismen anschaffen. Dabei spricht der Analyst von der "Adaptive Security Architecture", die nicht länger allein auf der Abwehr (Respond) und der Erkennung (Detect) von Cyberattacken bestehen, sondern auf die Voraussage und aktives Management von Incidents wertlegen.

Mit einer ausgeklügelten Threat-Intelligence-Strategie lassen sich viele Hacker-Angriffe schon im Vorfeld verhindern und somit die IT-Sicherheit in einem Unternehmen anheben.
Foto: BeeBright - shutterstock.com

Dieser Gedanke wird immer wichtiger, da die IT-Landschaft immer ausgeweiteter wird. Die Ausgaben in digitale Technologie und dadurch auch in Schutzmechanismen werden immer größer. Aktuelle Studien zeigen, dass die Anzahl an vernetzten Geräten von derzeit 28 Milliarden bis 2020 auf voraussichtlich 50 Milliarden steigen wird. Auch die Zahl der vernetzten Personen wird sich von heute 2 Milliarden bis 2020 auf 6 Milliarden erhöhen. Das bedeutet, dass sowohl die Angriffsoberfläche, die das Netzwerk bietet, als auch die Angriffsoberfläche die der Mensch selbst darstellt, größer werden.

Hinzu kommt das Personalproblem. Voraussichtlich werden auf dem Sicherheitsarbeitsmarkt bis zum Jahr 2019 1,5 Millionen Fachleute fehlen. Für IT-Abteilungen bedeutet dies, dass sie selbst mit der Bewilligung von höheren Gehältern nur bedingt neues Personal finden können, um der zunehmende Zahl an Devices und Vorfällen Herr zu werden.

Garnter spricht zusätzlich die Bereiche Predict und Prevent an und spricht außerdem über insgesamt 12 Fähigkeiten einer Sicherheitsarchitektur. Um all dies umzusetzen braucht es nicht nur die passenden Werkzeuge und Fachpersonal, sondern auch die richtige Strategie zur Führung und Koordination von Security Operations. Schon heute gibt es in jedem Unternehmen 328 gleichzeitig erfolgende Verstöße - legt man die Verweilzeit, bis ein Datenverstoß entdeckt wird, und die durchschnittliche Anzahl an gemeldeten Vorfällen zugrunde.

7 Tipps gegen Hacker auf Smartphone, Tablet & Co.
Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt.
Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht.
Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer.
Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern.
Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual".
Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen.
Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!

Während die Motivation der meisten Gegner finanzieller Art ist (Stehlen von Informationen wie Kreditkartennummern, Patenten und geheime Informationen, die im Darkweb verkauft werden können), sind auch Hacktivismus, Cyberkrieg und Cyberspionage Gründe für einen Angriff.

Weil die Problematik derart eklatant ist, dürfen Führungskräfte die Fachabteilungen nicht alleine lassen, sondern sollten sich ebenfalls die Frage stellen, wie sie effektiven Einblick in die großen Datenmengen von Sicherheitsvorfällen erlangen und helfen können, den nächsten Angriff zu erkennen und zu verhindern. Ziel muss es sein, die eigenen IT-Sicherheitsteams richtig aufzustellen und vorzubereiten.

Data-Mining und Threat-Intelligence

Jeder Sicherheitsvorfall weltweit liefert Hunderte von Indicators of Compromise (IOCs). Sie können mit der Host Evidence des Opfers (wie Malware-Typ, Dateiname, Hash-Datei und Registrierungsschlüssel) zusammenhängen, darüber hinaus aber auch mit den Kommunikationswegen zum schädlichen Link (wie IP-Adresse, Domain-Name, URL und Port-Nummern). Sowohl Host-basierte als auch Netzwerk-basierte IOCs deuten auf ein mögliches Eindringen in das Netzwerk.

Das Problem besteht darin, dass die Daten nicht immer verknüpft sind, und eine enorme Menge durchsucht werden muss. Wenn man vier Threat-Intelligence-Quellen hat, die auch nur 300 Indikatoren pro Tag liefern, bedeutet das, dass man mindestens 500.000 Indikatoren pro Jahr erhält. IT-Fachkräfte haben nicht die Zeit, sie alle zu untersuchen und alle Informationen in die bestehenden Sicherheitstools (IPS, Firewalls, usw.) einzustellen. Am Ende kann das zu Tonnen von Falschmeldungen und schlechter Performance führen.

Der Input von Threat-Intelligence-Anbietern ist enorm, denn sie versuchen auf die veränderte Gefahrenlandschaft zu reagieren. Zudem gibt es Open-Source-Projekte und öffentliche Quellen wie das BSI, die IOCs analysieren und Threat-Feeds veröffentlichen. Jeder Anbieter fügt dem Puzzle ein Teil hinzu, um die aktuelle Bedrohungslandschaft so gut wie möglich abzubilden. Das Problem ist dabei, dass Organisationen dieses Wissen integrieren und nutzbar machen müssen.

Das führte dazu, dass die Branche Threat-Intelligence-Plattformen einführte, um alle Teile an einem Speicherort zusammenzuführen und so ein Gesamtbild der Bedrohung zu erhalten. Die Threat-Intelligence-Plattform automatisiert Aufnahme, Korrelation, Normalisierung und Deduplizierung und dient als "Single Source of Truth" für alle Teams und Systeme innerhalb des Unternehmens. Sie wird zum Instrument, mit dem Daten gewonnen werden, die zum Verständnis von Bedrohungen beitragen, mit dem Kontext hinzugefügt wird, um Analysen und Untersuchungen durchführen zu können und mit dessen Hilfe Informationen aus den Prozessen und Tools eines Unternehmens effektiv genutzt werden können.

Top 10: Diese Mitarbeiter gefährden Ihre IT-Sicherheit
10. Die Charity-Organisation
9. Der Cloud-Manager
8. Der befristet Beschäftigte
7. Der externe Partner
6. Der Social Media Manager
5. Der neue IT-Entscheider
4. Der Ex-Mitarbeiter
3. Der Security-Berater
2. Die Assistenz der Geschäftsleitung
1. Der CEO

Bedrohungen erkennen, bewerten und verhindern

Der erste Schritt einer solchen Plattform ist Umsetzung von verfügbaren Informationen in ausführbare Security Intelligence, es geht also um die richtige Umsetzung von Abwehrmaßnahmen. So kann man durch Klassifikation die Störanfälligkeit reduzieren. Nimmt man zum Beispiel in einer Plattform folgende Attribute:

Jetzt kann man durch Klassifikation das vorhandene Wissen über die Threat-Plattform nutzen, um zu prüfen, ob Angriffe gegen andere Organisationen auch eine Gefahr für das eigene Unternehmen sind. Wichtig ist dabei, dass eine solche Plattform möglichst granulare Kriterien erlaubt. Diese sollten sich einerseits auf persönliche Merkmale der eigenen User beziehen (wie Alter, Eigentümer, Nutzer-ID), aber auch andere Faktoren wie Common Vulnerabilities and Exposures (CVE), OS oder Marke des Gerätes.

Auf Basis der ausgewählten Kriterien können Fachkräfte dann ihre Aktionen priorisieren, denn nicht alle Daten sind gleich relevant für das eigene Unternehmen. Die Nutzung einer entsprechenden Threat-Intelligence-Plattform hilft, Bedrohungen zu bewerten und automatisch zu priorisieren. Ein wesentlicher Punkt dabei ist, dass Organisationen sehr unterschiedliche Geschäftstätigkeiten, Sicherheitsoperationen und Risikoprofile aufweisen. Daher ist eine Bewertung und Priorisierung auf Basis von Parametern, die man je nach individueller Situation anpassen kann, besonders wichtig. Dazu gehören der Indikatortypen (IP-Adresse, Malware-Typ, Host-basiert vs. Netzwerk-basiert, usw.) und die Indikatorquelle (Open Source, kommerziell, branchenbasiert sowie interne Quellen, wie Ihre SIEM- und Ticketing-Systeme).

Zwar gibt es viele allgemeine Informationen, diese müssen aber in den richtigen Kontext gesetzt werden. Deshalb macht es Sinn entsprechende Analysetools einzusetzen. Die Methoden kann man mit dem Joker bei "Wer wird Millionär", vergleichen. Beispielsweise entspricht der Publikumsjoker, bei dem das Publikum eine Frage beantworten muss, im Grunde dem Crowdsourcing. Dabei dienen Security-Suiten zur Prüfung von Software. Wird dort Schadcode erkannt, wird dieses Know-how öffentlich verfügbar gemacht. In besonders ungewöhnlichen Fällen kann zur Informationsanreicherung zudem ein bestimmter Anbieter als Experte (oder Telefonjoker) hinzugeholt werden, um Unterstützung für diesen Angriffstyp zu bieten.

Eine weitere Methode ist die Link-Analyse, bei der die Beziehungen zwischen Verbrechern, Transaktionen, Objekten, Servern, IP-Adressen und speziellen Malware-Familien bestimmt werden. Alle Methoden zielen darauf ab, die Arbeit von Security-Teams effizienter zu machen und Verbindungen mit der Technologie und den Tools zu verbessern.

Nach der Analyse muss die gebündelte Information dann automatisch mit den vorhandenen Sicherheitstools ausgetauscht werden - ohne dass die eigenen Sicherheitsteams überlastet werden. Dabei geht es beispielsweise darum, die eigne Firewall intelligenter zu machen und auf etwaige Bedrohungen einzustellen.

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Threat-Intelligence wird zur Pflicht

Der Wert des Threat-Intelligence-Marktes wird im nächsten Jahr 1 Milliarde Euro übersteigen. Grundsätzlich dreht sich bei Threat Intelligence alles um die Unterstützung der Sicherheits- und Abwehrstrategien von Unternehmen. Gerade in größeren Firmen werden IT-Sicherheit und der Umgang mit Threat Intelligence immer wichtiger. Entsprechen wachsen der personelle Aufwand und die Budgets. Damit diese Investitionen nicht ins Leere laufen, sollten Führungsetagen sich mit der Thematik befassen und ihren Fachkräften die richtigen Tools an die Hand geben.

Eine Threat Intelligence-Plattform sollte die vorhandene Informationen aus öffentlichen und kommerziellen Quellen bündelt und mit zusätzlichen Informationen aus einer Analyse anreichern. Eine solche Plattform erlaubt das Management von Bedrohungen, schon vor einer Attacke. Wenn dann eine Gefahr bekannt wird, können IT-Verantwortliche sofort den Bedrohungsgrad einschätzen und sind damit in einer wesentlich besseren Position, um Angriffe abzuwehren.

Threat Intelligence ermächtigt IT-Abteilungen dazu, einen proaktiven Cybersicherheitsansatz zu entwickeln. Bei über 5000 neuen Schwachstellen und 400 Millionen Malware-Varianten die jährlich auftauchen verdeutlichen, dass Organisationen bei ihrem Engagement für die Zukunft und darüber hinaus in die Offensive gehen und proaktiv handeln müssen. (hal)