IT-Sicherheit - das Thema für die Chefetage

Threat Intelligence - wichtiger Baustein für die IT-Security

25.09.2018
Von   
Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient und baut in dieser Funktion den Markt in DACH und Osteuropa auf. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne.

Bedrohungen erkennen, bewerten und verhindern

Der erste Schritt einer solchen Plattform ist Umsetzung von verfügbaren Informationen in ausführbare Security Intelligence, es geht also um die richtige Umsetzung von Abwehrmaßnahmen. So kann man durch Klassifikation die Störanfälligkeit reduzieren. Nimmt man zum Beispiel in einer Plattform folgende Attribute:

  • Malware-Familie

  • Geographie

  • Sprache

Jetzt kann man durch Klassifikation das vorhandene Wissen über die Threat-Plattform nutzen, um zu prüfen, ob Angriffe gegen andere Organisationen auch eine Gefahr für das eigene Unternehmen sind. Wichtig ist dabei, dass eine solche Plattform möglichst granulare Kriterien erlaubt. Diese sollten sich einerseits auf persönliche Merkmale der eigenen User beziehen (wie Alter, Eigentümer, Nutzer-ID), aber auch andere Faktoren wie Common Vulnerabilities and Exposures (CVE), OS oder Marke des Gerätes.

Auf Basis der ausgewählten Kriterien können Fachkräfte dann ihre Aktionen priorisieren, denn nicht alle Daten sind gleich relevant für das eigene Unternehmen. Die Nutzung einer entsprechenden Threat-Intelligence-Plattform hilft, Bedrohungen zu bewerten und automatisch zu priorisieren. Ein wesentlicher Punkt dabei ist, dass Organisationen sehr unterschiedliche Geschäftstätigkeiten, Sicherheitsoperationen und Risikoprofile aufweisen. Daher ist eine Bewertung und Priorisierung auf Basis von Parametern, die man je nach individueller Situation anpassen kann, besonders wichtig. Dazu gehören der Indikatortypen (IP-Adresse, Malware-Typ, Host-basiert vs. Netzwerk-basiert, usw.) und die Indikatorquelle (Open Source, kommerziell, branchenbasiert sowie interne Quellen, wie Ihre SIEM- und Ticketing-Systeme).

Zwar gibt es viele allgemeine Informationen, diese müssen aber in den richtigen Kontext gesetzt werden. Deshalb macht es Sinn entsprechende Analysetools einzusetzen. Die Methoden kann man mit dem Joker bei "Wer wird Millionär", vergleichen. Beispielsweise entspricht der Publikumsjoker, bei dem das Publikum eine Frage beantworten muss, im Grunde dem Crowdsourcing. Dabei dienen Security-Suiten zur Prüfung von Software. Wird dort Schadcode erkannt, wird dieses Know-how öffentlich verfügbar gemacht. In besonders ungewöhnlichen Fällen kann zur Informationsanreicherung zudem ein bestimmter Anbieter als Experte (oder Telefonjoker) hinzugeholt werden, um Unterstützung für diesen Angriffstyp zu bieten.

Eine weitere Methode ist die Link-Analyse, bei der die Beziehungen zwischen Verbrechern, Transaktionen, Objekten, Servern, IP-Adressen und speziellen Malware-Familien bestimmt werden. Alle Methoden zielen darauf ab, die Arbeit von Security-Teams effizienter zu machen und Verbindungen mit der Technologie und den Tools zu verbessern.

Nach der Analyse muss die gebündelte Information dann automatisch mit den vorhandenen Sicherheitstools ausgetauscht werden - ohne dass die eigenen Sicherheitsteams überlastet werden. Dabei geht es beispielsweise darum, die eigne Firewall intelligenter zu machen und auf etwaige Bedrohungen einzustellen.

Threat-Intelligence wird zur Pflicht

Der Wert des Threat-Intelligence-Marktes wird im nächsten Jahr 1 Milliarde Euro übersteigen. Grundsätzlich dreht sich bei Threat Intelligence alles um die Unterstützung der Sicherheits- und Abwehrstrategien von Unternehmen. Gerade in größeren Firmen werden IT-Sicherheit und der Umgang mit Threat Intelligence immer wichtiger. Entsprechen wachsen der personelle Aufwand und die Budgets. Damit diese Investitionen nicht ins Leere laufen, sollten Führungsetagen sich mit der Thematik befassen und ihren Fachkräften die richtigen Tools an die Hand geben.

Eine Threat Intelligence-Plattform sollte die vorhandene Informationen aus öffentlichen und kommerziellen Quellen bündelt und mit zusätzlichen Informationen aus einer Analyse anreichern. Eine solche Plattform erlaubt das Management von Bedrohungen, schon vor einer Attacke. Wenn dann eine Gefahr bekannt wird, können IT-Verantwortliche sofort den Bedrohungsgrad einschätzen und sind damit in einer wesentlich besseren Position, um Angriffe abzuwehren.

Threat Intelligence ermächtigt IT-Abteilungen dazu, einen proaktiven Cybersicherheitsansatz zu entwickeln. Bei über 5000 neuen Schwachstellen und 400 Millionen Malware-Varianten die jährlich auftauchen verdeutlichen, dass Organisationen bei ihrem Engagement für die Zukunft und darüber hinaus in die Offensive gehen und proaktiv handeln müssen. (hal)