IT-Sicherheit - das Thema für die Chefetage

Threat Intelligence - wichtiger Baustein für die IT-Security

29.06.2018
Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient und baut in dieser Funktion den Markt in DACH und Osteuropa auf. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne. 
IT-Security ist in Firmen mittlerweile ein wichtiger Aspekt für den Unternehmenserfolg geworden. Deshalb sollten Entscheider das Thema Sicherheit in Verbindung mit Threat Intelligence richtig angehen.

Gartner rät Unternehmen, ihre bestehenden Lösungen und Prozesse im Bereich Security zunächst zu optimieren, bevor sie neue Schutzmechanismen anschaffen. Dabei spricht der Analyst von der "Adaptive Security Architecture", die nicht länger allein auf der Abwehr (Respond) und der Erkennung (Detect) von Cyberattacken bestehen, sondern auf die Voraussage und aktives Management von Incidents wertlegen.

Mit einer ausgeklügelten Threat-Intelligence-Strategie lassen sich viele Hacker-Angriffe schon im Vorfeld verhindern und somit die IT-Sicherheit in einem Unternehmen anheben.
Mit einer ausgeklügelten Threat-Intelligence-Strategie lassen sich viele Hacker-Angriffe schon im Vorfeld verhindern und somit die IT-Sicherheit in einem Unternehmen anheben.
Foto: BeeBright - shutterstock.com

Dieser Gedanke wird immer wichtiger, da die IT-Landschaft immer ausgeweiteter wird. Die Ausgaben in digitale Technologie und dadurch auch in Schutzmechanismen werden immer größer. Aktuelle Studien zeigen, dass die Anzahl an vernetzten Geräten von derzeit 28 Milliarden bis 2020 auf voraussichtlich 50 Milliarden steigen wird. Auch die Zahl der vernetzten Personen wird sich von heute 2 Milliarden bis 2020 auf 6 Milliarden erhöhen. Das bedeutet, dass sowohl die Angriffsoberfläche, die das Netzwerk bietet, als auch die Angriffsoberfläche die der Mensch selbst darstellt, größer werden.

Hinzu kommt das Personalproblem. Voraussichtlich werden auf dem Sicherheitsarbeitsmarkt bis zum Jahr 2019 1,5 Millionen Fachleute fehlen. Für IT-Abteilungen bedeutet dies, dass sie selbst mit der Bewilligung von höheren Gehältern nur bedingt neues Personal finden können, um der zunehmende Zahl an Devices und Vorfällen Herr zu werden.

Garnter spricht zusätzlich die Bereiche Predict und Prevent an und spricht außerdem über insgesamt 12 Fähigkeiten einer Sicherheitsarchitektur. Um all dies umzusetzen braucht es nicht nur die passenden Werkzeuge und Fachpersonal, sondern auch die richtige Strategie zur Führung und Koordination von Security Operations. Schon heute gibt es in jedem Unternehmen 328 gleichzeitig erfolgende Verstöße - legt man die Verweilzeit, bis ein Datenverstoß entdeckt wird, und die durchschnittliche Anzahl an gemeldeten Vorfällen zugrunde.

Während die Motivation der meisten Gegner finanzieller Art ist (Stehlen von Informationen wie Kreditkartennummern, Patenten und geheime Informationen, die im Darkweb verkauft werden können), sind auch Hacktivismus, Cyberkrieg und Cyberspionage Gründe für einen Angriff.

CIO E-Magazin

Weil die Problematik derart eklatant ist, dürfen Führungskräfte die Fachabteilungen nicht alleine lassen, sondern sollten sich ebenfalls die Frage stellen, wie sie effektiven Einblick in die großen Datenmengen von Sicherheitsvorfällen erlangen und helfen können, den nächsten Angriff zu erkennen und zu verhindern. Ziel muss es sein, die eigenen IT-Sicherheitsteams richtig aufzustellen und vorzubereiten.

Data-Mining und Threat-Intelligence

Jeder Sicherheitsvorfall weltweit liefert Hunderte von Indicators of Compromise (IOCs). Sie können mit der Host Evidence des Opfers (wie Malware-Typ, Dateiname, Hash-Datei und Registrierungsschlüssel) zusammenhängen, darüber hinaus aber auch mit den Kommunikationswegen zum schädlichen Link (wie IP-Adresse, Domain-Name, URL und Port-Nummern). Sowohl Host-basierte als auch Netzwerk-basierte IOCs deuten auf ein mögliches Eindringen in das Netzwerk.

Das Problem besteht darin, dass die Daten nicht immer verknüpft sind, und eine enorme Menge durchsucht werden muss. Wenn man vier Threat-Intelligence-Quellen hat, die auch nur 300 Indikatoren pro Tag liefern, bedeutet das, dass man mindestens 500.000 Indikatoren pro Jahr erhält. IT-Fachkräfte haben nicht die Zeit, sie alle zu untersuchen und alle Informationen in die bestehenden Sicherheitstools (IPS, Firewalls, usw.) einzustellen. Am Ende kann das zu Tonnen von Falschmeldungen und schlechter Performance führen.

Der Input von Threat-Intelligence-Anbietern ist enorm, denn sie versuchen auf die veränderte Gefahrenlandschaft zu reagieren. Zudem gibt es Open-Source-Projekte und öffentliche Quellen wie das BSI, die IOCs analysieren und Threat-Feeds veröffentlichen. Jeder Anbieter fügt dem Puzzle ein Teil hinzu, um die aktuelle Bedrohungslandschaft so gut wie möglich abzubilden. Das Problem ist dabei, dass Organisationen dieses Wissen integrieren und nutzbar machen müssen.

Das führte dazu, dass die Branche Threat-Intelligence-Plattformen einführte, um alle Teile an einem Speicherort zusammenzuführen und so ein Gesamtbild der Bedrohung zu erhalten. Die Threat-Intelligence-Plattform automatisiert Aufnahme, Korrelation, Normalisierung und Deduplizierung und dient als "Single Source of Truth" für alle Teams und Systeme innerhalb des Unternehmens. Sie wird zum Instrument, mit dem Daten gewonnen werden, die zum Verständnis von Bedrohungen beitragen, mit dem Kontext hinzugefügt wird, um Analysen und Untersuchungen durchführen zu können und mit dessen Hilfe Informationen aus den Prozessen und Tools eines Unternehmens effektiv genutzt werden können.

Inhalt dieses Artikels