Gartner rät Unternehmen, ihre bestehenden Lösungen und Prozesse im Bereich Security zunächst zu optimieren, bevor sie neue Schutzmechanismen anschaffen. Dabei spricht der Analyst von der "Adaptive Security Architecture", die nicht länger allein auf der Abwehr (Respond) und der Erkennung (Detect) von Cyberattacken bestehen, sondern auf die Voraussage und aktives Management von Incidents wertlegen.
Dieser Gedanke wird immer wichtiger, da die IT-Landschaft immer ausgeweiteter wird. Die Ausgaben in digitale Technologie und dadurch auch in Schutzmechanismen werden immer größer. Aktuelle Studien zeigen, dass die Anzahl an vernetzten Geräten von derzeit 28 Milliarden bis 2020 auf voraussichtlich 50 Milliarden steigen wird. Auch die Zahl der vernetzten Personen wird sich von heute 2 Milliarden bis 2020 auf 6 Milliarden erhöhen. Das bedeutet, dass sowohl die Angriffsoberfläche, die das Netzwerk bietet, als auch die Angriffsoberfläche die der Mensch selbst darstellt, größer werden.
Hinzu kommt das Personalproblem. Voraussichtlich werden auf dem Sicherheitsarbeitsmarkt bis zum Jahr 2019 1,5 Millionen Fachleute fehlen. Für IT-Abteilungen bedeutet dies, dass sie selbst mit der Bewilligung von höheren Gehältern nur bedingt neues Personal finden können, um der zunehmende Zahl an Devices und Vorfällen Herr zu werden.
Garnter spricht zusätzlich die Bereiche Predict und Prevent an und spricht außerdem über insgesamt 12 Fähigkeiten einer Sicherheitsarchitektur. Um all dies umzusetzen braucht es nicht nur die passenden Werkzeuge und Fachpersonal, sondern auch die richtige Strategie zur Führung und Koordination von Security Operations. Schon heute gibt es in jedem Unternehmen 328 gleichzeitig erfolgende Verstöße - legt man die Verweilzeit, bis ein Datenverstoß entdeckt wird, und die durchschnittliche Anzahl an gemeldeten Vorfällen zugrunde.
Während die Motivation der meisten Gegner finanzieller Art ist (Stehlen von Informationen wie Kreditkartennummern, Patenten und geheime Informationen, die im Darkweb verkauft werden können), sind auch Hacktivismus, Cyberkrieg und Cyberspionage Gründe für einen Angriff.
Weil die Problematik derart eklatant ist, dürfen Führungskräfte die Fachabteilungen nicht alleine lassen, sondern sollten sich ebenfalls die Frage stellen, wie sie effektiven Einblick in die großen Datenmengen von Sicherheitsvorfällen erlangen und helfen können, den nächsten Angriff zu erkennen und zu verhindern. Ziel muss es sein, die eigenen IT-Sicherheitsteams richtig aufzustellen und vorzubereiten.
Data-Mining und Threat-Intelligence
Jeder Sicherheitsvorfall weltweit liefert Hunderte von Indicators of Compromise (IOCs). Sie können mit der Host Evidence des Opfers (wie Malware-Typ, Dateiname, Hash-Datei und Registrierungsschlüssel) zusammenhängen, darüber hinaus aber auch mit den Kommunikationswegen zum schädlichen Link (wie IP-Adresse, Domain-Name, URL und Port-Nummern). Sowohl Host-basierte als auch Netzwerk-basierte IOCs deuten auf ein mögliches Eindringen in das Netzwerk.
Das Problem besteht darin, dass die Daten nicht immer verknüpft sind, und eine enorme Menge durchsucht werden muss. Wenn man vier Threat-Intelligence-Quellen hat, die auch nur 300 Indikatoren pro Tag liefern, bedeutet das, dass man mindestens 500.000 Indikatoren pro Jahr erhält. IT-Fachkräfte haben nicht die Zeit, sie alle zu untersuchen und alle Informationen in die bestehenden Sicherheitstools (IPS, Firewalls, usw.) einzustellen. Am Ende kann das zu Tonnen von Falschmeldungen und schlechter Performance führen.
Der Input von Threat-Intelligence-Anbietern ist enorm, denn sie versuchen auf die veränderte Gefahrenlandschaft zu reagieren. Zudem gibt es Open-Source-Projekte und öffentliche Quellen wie das BSI, die IOCs analysieren und Threat-Feeds veröffentlichen. Jeder Anbieter fügt dem Puzzle ein Teil hinzu, um die aktuelle Bedrohungslandschaft so gut wie möglich abzubilden. Das Problem ist dabei, dass Organisationen dieses Wissen integrieren und nutzbar machen müssen.
Das führte dazu, dass die Branche Threat-Intelligence-Plattformen einführte, um alle Teile an einem Speicherort zusammenzuführen und so ein Gesamtbild der Bedrohung zu erhalten. Die Threat-Intelligence-Plattform automatisiert Aufnahme, Korrelation, Normalisierung und Deduplizierung und dient als "Single Source of Truth" für alle Teams und Systeme innerhalb des Unternehmens. Sie wird zum Instrument, mit dem Daten gewonnen werden, die zum Verständnis von Bedrohungen beitragen, mit dem Kontext hinzugefügt wird, um Analysen und Untersuchungen durchführen zu können und mit dessen Hilfe Informationen aus den Prozessen und Tools eines Unternehmens effektiv genutzt werden können.
Bedrohungen erkennen, bewerten und verhindern
Der erste Schritt einer solchen Plattform ist Umsetzung von verfügbaren Informationen in ausführbare Security Intelligence, es geht also um die richtige Umsetzung von Abwehrmaßnahmen. So kann man durch Klassifikation die Störanfälligkeit reduzieren. Nimmt man zum Beispiel in einer Plattform folgende Attribute:
Malware-Familie
Geographie
Sprache
Jetzt kann man durch Klassifikation das vorhandene Wissen über die Threat-Plattform nutzen, um zu prüfen, ob Angriffe gegen andere Organisationen auch eine Gefahr für das eigene Unternehmen sind. Wichtig ist dabei, dass eine solche Plattform möglichst granulare Kriterien erlaubt. Diese sollten sich einerseits auf persönliche Merkmale der eigenen User beziehen (wie Alter, Eigentümer, Nutzer-ID), aber auch andere Faktoren wie Common Vulnerabilities and Exposures (CVE), OS oder Marke des Gerätes.
Auf Basis der ausgewählten Kriterien können Fachkräfte dann ihre Aktionen priorisieren, denn nicht alle Daten sind gleich relevant für das eigene Unternehmen. Die Nutzung einer entsprechenden Threat-Intelligence-Plattform hilft, Bedrohungen zu bewerten und automatisch zu priorisieren. Ein wesentlicher Punkt dabei ist, dass Organisationen sehr unterschiedliche Geschäftstätigkeiten, Sicherheitsoperationen und Risikoprofile aufweisen. Daher ist eine Bewertung und Priorisierung auf Basis von Parametern, die man je nach individueller Situation anpassen kann, besonders wichtig. Dazu gehören der Indikatortypen (IP-Adresse, Malware-Typ, Host-basiert vs. Netzwerk-basiert, usw.) und die Indikatorquelle (Open Source, kommerziell, branchenbasiert sowie interne Quellen, wie Ihre SIEM- und Ticketing-Systeme).
Zwar gibt es viele allgemeine Informationen, diese müssen aber in den richtigen Kontext gesetzt werden. Deshalb macht es Sinn entsprechende Analysetools einzusetzen. Die Methoden kann man mit dem Joker bei "Wer wird Millionär", vergleichen. Beispielsweise entspricht der Publikumsjoker, bei dem das Publikum eine Frage beantworten muss, im Grunde dem Crowdsourcing. Dabei dienen Security-Suiten zur Prüfung von Software. Wird dort Schadcode erkannt, wird dieses Know-how öffentlich verfügbar gemacht. In besonders ungewöhnlichen Fällen kann zur Informationsanreicherung zudem ein bestimmter Anbieter als Experte (oder Telefonjoker) hinzugeholt werden, um Unterstützung für diesen Angriffstyp zu bieten.
Eine weitere Methode ist die Link-Analyse, bei der die Beziehungen zwischen Verbrechern, Transaktionen, Objekten, Servern, IP-Adressen und speziellen Malware-Familien bestimmt werden. Alle Methoden zielen darauf ab, die Arbeit von Security-Teams effizienter zu machen und Verbindungen mit der Technologie und den Tools zu verbessern.
Nach der Analyse muss die gebündelte Information dann automatisch mit den vorhandenen Sicherheitstools ausgetauscht werden - ohne dass die eigenen Sicherheitsteams überlastet werden. Dabei geht es beispielsweise darum, die eigne Firewall intelligenter zu machen und auf etwaige Bedrohungen einzustellen.
Threat-Intelligence wird zur Pflicht
Der Wert des Threat-Intelligence-Marktes wird im nächsten Jahr 1 Milliarde Euro übersteigen. Grundsätzlich dreht sich bei Threat Intelligence alles um die Unterstützung der Sicherheits- und Abwehrstrategien von Unternehmen. Gerade in größeren Firmen werden IT-Sicherheit und der Umgang mit Threat Intelligence immer wichtiger. Entsprechen wachsen der personelle Aufwand und die Budgets. Damit diese Investitionen nicht ins Leere laufen, sollten Führungsetagen sich mit der Thematik befassen und ihren Fachkräften die richtigen Tools an die Hand geben.
Eine Threat Intelligence-Plattform sollte die vorhandene Informationen aus öffentlichen und kommerziellen Quellen bündelt und mit zusätzlichen Informationen aus einer Analyse anreichern. Eine solche Plattform erlaubt das Management von Bedrohungen, schon vor einer Attacke. Wenn dann eine Gefahr bekannt wird, können IT-Verantwortliche sofort den Bedrohungsgrad einschätzen und sind damit in einer wesentlich besseren Position, um Angriffe abzuwehren.
Threat Intelligence ermächtigt IT-Abteilungen dazu, einen proaktiven Cybersicherheitsansatz zu entwickeln. Bei über 5000 neuen Schwachstellen und 400 Millionen Malware-Varianten die jährlich auftauchen verdeutlichen, dass Organisationen bei ihrem Engagement für die Zukunft und darüber hinaus in die Offensive gehen und proaktiv handeln müssen. (hal)