Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass heute mindestens jedes international aufgestellte Unternehmen in Deutschland ein potenzielles Ziel für fortgeschrittene Cyber-Attacken ("Advanced Persistent Threats", kurz APTs) ist. Kleine und mittlere Unternehmen gehören genauso zu den Angriffszielen wie große Konzerne.
Foto: folgt
Die Möglichkeiten, sich gegen komplexe Angriffe zu schützen, sind im Mittelstand allerdings oftmals gering ausgeprägt. Umso wichtiger ist es, mögliche Angriffe frühzeitig erkennen und bereits vor dem eigenen Netzwerk abwehren zu können.
Frühwarnsysteme fehlen gerade im Mittelstand
Viele Unternehmen in Deutschland sind sich der neuen Cyber-Bedrohungen aber nicht bewusst, wie eine Studie von Vanson Bourne im Auftrag von BT zeigt: Für nur 19 Prozent der deutschen Top-Manager genießt die IT-Sicherheit eine hohe Priorität. An Frühwarnsysteme, Threat-Monitoring- oder Threat-Intelligence-Lösungen gegen Cyber-Attacken denken viele deshalb noch nicht.
Threat-Monitoring- bzw. Threat-Intelligence-Lösungen könnten dabei helfen, Cyber-Attacken früher zu erkennen, indem sicherheitsrelevante Daten aus verschiedenen, verteilten Quellen ausgewertet und für die Bedrohungsvorhersage genutzt werden, zum Beispiel Daten über erkannte Malware- und Spam-Attacken auf andere Unternehmen.
Eine Umfrage unter IT-Sicherheitsverantwortlichen durch das Ponemon-Institut ergab, dass 40 Prozent der Befragten in keiner ihrer Sicherheitslösungen Hinweise aus Threat-Intelligence-Lösungen als Frühwarnsystem importieren. 59 Prozent der Befragten sind nicht in der Lage, Threat-Intelligence-Analysen mit ihren existierenden Security-Produkten effektiv zu nutzen.
Es besteht somit ein hoher Bedarf an einfach zu integrierenden, leicht zu bedienenden Frühwarnsystemen, die die Sicherheitslösungen der Unternehmen mit konkreten Warnhinweisen versorgen. Hier kommen Threat-Monitoring-Lösungen aus der Cloud ins Spiel, die extern betrieben werden, vielfältige sicherheitsrelevante Informationsquellen nutzen und kein hohes Fach-Know-how bei den Anwenderunternehmen voraussetzen.
- Eine BT-Umfrage zeigt, ...
... dass 32 Prozent der Unternehmen glauben, dass ihre Geschäftsleitung die Bedeutung von IT-Sicherheit unterschätzt. Ohne Bewusstsein für die neuartigen Cyber-Bedrohungen werden aber kaum präventive Maßnahmen wie beispielsweise Cyber-Frühwarnsysteme eingesetzt. - Wachsende Bedrohungslage
Die Bedrohungen für IT-Systeme werden immer vielfältiger und komplexer. Gerade kleine und mittlere Unternehmen brauchen Unterstützung, um Angriffe möglichst frühzeitig erkennen und abwehren zu können. Eine wichtige Rolle können dabei Threat-Monitoring-Services aus der Cloud spielen. - Früherkennung von Gefahren
Die Kombination verschiedener, weit verteilter Quellen für sicherheitsrelevante Informationen ermöglicht es, Angriffe früher und besser zu erkennen. Dies ist die Basis für Lösungen im Bereich Threat Monitoring und Threat Intelligence. - Ergänzende Analyse-Funktionen
Die Lösung Arbor Networks Pravail Security Analytics gibt es auch als Cloud-Version. Über den Zugriff auf die Daten von ATLAS (Active Threat Level Analysis System) stehen dem Anwender-Unternehmen umfangreiche Bedrohungsinformationen für sein Frühwarnsystem zur Verfügung. - Dashboards helfen visualisieren
Lösungen wie Trustwave Threat Intelligence bieten dem Anwenderunternehmen Dashboards, mit denen die Bedrohungsdaten und -vorhersagen individuell dargestellt werden können. Dies hilft auch bei der gezielten Umsetzung von Compliance-Vorgaben. - In Echtzeit
Die Visualisierung von Cyber-Attacken in Echtzeit, wie dies zum Beispiel die Kaspersky-Cyberbedrohungsweltkarte bietet, zeigt eindrucksvoll die Bedrohungslage und hilft bei der Sensibilisierung. Zusätzlich besteht Bedarf an Bedrohungsdaten, die in IT-Sicherheitslösungen importiert werden können, um so die Abwehr möglichst automatisch optimieren zu können.
Threat Monitoring gibt es aus der Cloud
Auswahl an Threat-Monitoring-Lösungen aus der Cloud gibt es inzwischen reichlich, darunter Arbor Networks Pravail Security Analytics, BT Assure Threat Monitoring-Service, Check Point ThreatCloud Managed Security Service, Cisco Cognitive Threat Analytics, Dell SecureWorks Advanced Endpoint Threat Detection, FireEye Managed Defense, RSA Web Threat Detection und Trustwave Threat Correlation Service.
Anwenderunternehmen sollten allerdings nicht nur auf die monatlichen Nutzungsgebühren achten, wenn eine Entscheidung für einen Cloud Service als Cyber-Frühwarnsystem ansteht. Damit der Service der Wahl auch tatsächlich die Cyber-Sicherheit erhöht, müssen die jeweiligen Anforderungen an Schnittstellen, Berichte und Alarmierung erfüllt sein. Zudem gibt es Unterschiede bei der Zahl und Art der "Bedrohungssensoren".
Threat Monitoring Services: Zahl und Art der Sensoren hinterfragen
Ein Threat Monitoring Service erkennt mögliche Cyber-Gefahren durch die zeitnahe Analyse möglichst vieler, relevanter Sicherheitsinformationen, die von Gefahrensensoren bereitgestellt werden. Diese Sensoren sind in der Regel IT-Systeme wie Server, Endgeräte und Netzwerkkomponenten, die der jeweilige Cloud Service Provider überwacht.
Foto: folgt
Eine globale, zumindest aber breite Verteilung der Sensoren, viele verschiedene Typen überwachter Geräte und eine möglichst große Zahl an Sensoren spielen bei der Qualität der Bedrohungsanalysen ebenso eine Rolle wie ein schnelles, leistungsstarkes und intelligentes Analyseverfahren des Threat Monitoring Service.
Anwenderunternehmen sollten deshalb nach der Zahl und Art der überwachten IT-Systeme fragen - nicht nur als Referenz, welche Verbreitung der Service bereits genießt, sondern als wichtigen Hinweis auf die Basis für die Bedrohungsanalysen und -vorhersagen. BT zum Beispiel nennt für BT Counterpane mehr als 1.000 Kunden in aller Welt und eine Überwachung von 300.000 Kundengeräten in neun international verteilten Secure Operations Centres (SOC).
Threat Monitoring Services: Schnittstellen prüfen
Wie hilfreich ein Threat Monitoring Service sein kann, hängt einerseits davon ab, von welchen IT-Systemen sicherheitsrelevante Informationen bezogen und analysiert werden können. Es kommt aber auch darauf an, an welche Sicherheitslösungen die Warnungen und konkreten Alarmierung übergeben werden können.
Informationsdienste wie Cyberthreat Real Map auf Basis des Kaspersky Security Network (KSN) zeigen eindrucksvoll die Gefahrenlage im Internet und liefern sehr wertvolle Informationen. Die Bedrohungsdaten lassen sich jedoch nicht ohne weiteres automatisiert nutzen und in Sicherheitslösungen eines Anwenderunternehmens integrieren, so dass diese auf die Gefahrenlage automatisch besser reagieren könnten. Anders sieht dies aus bei Sicherheitstacho.eu. Hier gibt es eine definierte Schnittstelle und Anleitung zur Integration des Frühwarnsystems der Deutschen Telekom.
Folgend eine Übersicht zu den Schnittstellen, die die eingangs erwähnten Anbieter für ihre Threat Monitoring Services nennen.
Threat Monitoring Services
/weitere Threat Intelligence Feeds anderer Anbieter
/ Upload der Systemprotokolle
des Anwenderunternehmens
Threat Monitoring Services: Reporting, Alarming und Dashboards müssen passen
Neben der Übertragung der Bedrohungsanalysen an interne oder ebenfalls als Service angebotene Sicherheitssysteme wie einem IPS (Intrusion Prevention System) bieten Threat Monitoring Services auch Berichtsfunktionen. Dies können E-Mails an den Administrator des Anwenderunternehmens sein mit dem regelmäßigen Bericht in PDF-Form, aber auch SMS-Nachrichten über akute Bedrohungen.
Je nach Service-Level werden zum Beispiel beim Check Point ThreatCloud Managed Security Service die Warnmeldungen direkt dem Nutzer automatisch zugestellt oder aber von Security-Analysten im Check Point Security Operation Center zuvor einer genauen Prüfung unterzogen. Je nach Kritikalität der Warnungen und je nach Service-Stufe sind zudem die garantierten Reaktionszeiten bei Sicherheitsvorfällen verschieden.
Foto: folgt
Zusätzlich bieten viele Threat Monitoring Services für den Nutzer ein Management-Portal mit Dashboard an, das im gewissen Rahmen individualisiert werden kann. Je nach internem Bedarf lassen sich so übersichtliche Management-Reports generieren oder aber Nachweise über ergriffene Sicherheitsmaßnahmen entsprechend der jeweiligen Compliance-Vorgaben.
Threat Monitoring Services: Datenschutz nicht vergessen
Wenn Daten an Dritte übertragen werden, sollte auch an den Datenschutz gedacht werden: Wer einen Threat Monitoring Service nutzt, wird oftmals auch selbst sicherheitsrelevante Daten zurückspielen. Die sicherheitsrelevanten Informationen, die an den Threat Monitoring Service übertragen werden, könnten personenbezogene Nutzerdaten enthalten. Diese unterliegen einer besonderen Zweckbindung (§ 31 BDSG) und müssen vor Missbrauch geschützt werden.
Bevor die Systemprotokolle der überwachten Anwendungen und Geräte an den Threat Monitoring Service Provider geschickt werden, sollte deshalb sichergestellt werden, dass die Daten anonymisiert oder pseudonymisiert sind.
Andernfalls könnte die Steigerung der Cyber-Sicherheit durch einen Threat Monitoring Service ungewollt dazu führen, dass die Daten der Mitarbeiterinnen und Mitarbeiter des Unternehmens oder anderer Nutzer gefährdet oder zumindest unerlaubt an Dritte übermittelt werden.
Gute Threat Monitoring Services nehmen den Datenschutz ernst und machen auf die notwendige Anonymisierung oder Pseudonymisierung der Systemprotokolle in der Schnittstellenbeschreibung aufmerksam und verfügen über eine entsprechende Datenschutzerklärung (Privacy Policy). (sh)
Foto: folgt