Bei Cyberangriffe auf Unternehmen zählt jede Minute. Denn je länger diese unbemerkt bleiben, desto mehr sensible Kundeninformationen können Kriminelle erbeuten. Silicon.de-Blogger Volker Marschner erklärt wie mit Threat Intelligence schnell auf Angriffe reagiert oder sogar verhindert werden.
Sicherheitsvorfälle werden zum Normalzustand. Dies gilt zumindest für die IT. Das liegt an Angreifern, die immer neuer Techniken verwenden, sowie unachtsamen Nutzern, die ihnen unbewusst helfen. Die Attacken bleiben dabei immer länger unbemerkt, da Angreifer zunehmend Verschleierungstechniken verwenden. Während dieser Zeit lassen sich sensible Kundeninformationen und geistiges Eigentum auslesen, wodurch das Image und die Kundenbeziehungen des betroffenen Unternehmens gefährdet sind.
Wie schnell das Sicherheitsteam einen Angriff entdecken und blockieren kann, macht den Unterschied zwischen einem Ärgernis und einem Alptraum aus. Entsprechend hat sich der Umgang mit Bedrohungen in den letzten Jahren von den bislang ereignisgetriebenen Sicherheitslösungen zu einem umfassenden Ansatz inklusive Analyse zahlreicher aktueller Informationen entwickelt.
Bei der IT-Infrastruktur können sich die Sicherheitsverantwortlichen ebenfalls nicht mehr nur ausschließlich auf die Benachrichtigung bei bekannten Bedrohungen verlassen. Sie benötigen mehr Informationen über sich entwickelnde oder neuartige Angriffe. Die Herausforderung liegt hier in der Fähigkeit, die richtigen Daten zuverlässig und konsistent zu sammeln, zu validieren und zu korrelieren.
Heute dauert das Auslesen von Daten nur Minuten, aber die Erkennung der Angriffe Monate oder gar Jahre. Entsprechend bilden die Reduzierung der Zeit bis zur Entdeckung (Time to Detection, TTD) sowie der Zeit bis zur Behebung (Time to Resolution, TTR) wichtige Messwerte für die Effektivität des Sicherheitsansatzes. Threat Intelligence (Informationen über Bedrohungen) ist dabei erfolgskritisch für schnelle und wirksame Sicherheitsprogramme. Hierzu sind folgende Eigenschaften wichtig:
- Taktisch: Threat Intelligence muss zuverlässig und konsistent die richtigen Informationen von den richtigen und vertrauenswürdigen Quellen sammeln. Diese Daten sind zu verwalten und zu korrelieren, um die Schritte der Angreifer zu verstehen und angemessen darauf zu reagieren. Dabei legt ein risikobasierter Ansatz die entsprechenden Aktivitäten fest. Das Datenvolumen ist dabei immens, so dass es in einem Format vorliegen muss, das sich einfach nutzen und analysieren lässt.
- Kontextbezogen: Angemessene Indikatoren für eine mögliche Bedrohung dürfen nicht zu kleinteilig sein oder unabhängig von ihrem Kontext gesehen werden. Der Zusammenhang kann auf der Region sowie der vertikalen oder historischen Verteilung basieren. So müssen zum Beispiel deutsche Unternehmen nicht unbedingt jedes Schadprogramm berücksichtigen, das nur in Asien verbreitet ist. Banken benötigen aktuelle Informationen über Bedrohungen im Finanzsektor und nicht in der Handelsbranche. Auch Schädlinge aus der Vergangenheit spielen meist aktuell keine große Rolle mehr, da sie nicht mehr aktiv sind oder die entsprechenden Schwachstellen inzwischen behoben wurden.
- Automatisiert: Zur schnellen und effektiven Erkennung von Bedrohungen sollten aktuelle Daten kontinuierlich automatisch in die Analysesysteme eingespeist werden. Zudem unterstützen automatische Prozesse auch das Teilen von Inhalten. So können Sicherheitsteams und Anwender schnell Informationen austauschen, reibungslos zusammenarbeiten und zuverlässige Entscheidungen treffen.
Zur Ergänzung der weltweiten Threat Intelligence bieten lokale Informationen – basierend auf Korrelation und Analyse der unternehmensweiten IT-Infrastruktur – zusätzlichen Kontext sowie die notwendigen Daten für zuverlässigere Sicherheitsaktivitäten. Dies erfordert Transparenz, die weit über die traditionellen Netzwerkgrenzen hinausreicht und Rechenzentren, Endpunkte sowie mobile, virtuelle und Cloud-basierte Anwendungen umfasst. Diese Netzwerke und ihre Komponenten entwickeln sich kontinuierlich weiter und erzeugen neue Angriffsvektoren wie mobile Geräte, webbasierte und mobile Apps, Hypervisoren, Social Media, Webbrowser, Heimcomputer oder vernetzte Fahrzeuge. Daher ermöglicht nur eine umfassende Transparenz der Geräte, Anwendungen und Systeme, die ständig mit dem erweiterten Netzwerk verbunden sind, die Korrelation scheinbar harmloser Ereignisse und die Nutzung von Informationen zur Identifizierung und Blockierung von Bedrohungen.
Threat Intelligence muss nicht nur taktisch, kontextbezogen und automatisiert sein, sondern auch das erweiterte Netzwerk sowie damit verbundene Geräte umfassen und auf einfache Weise verfügbar sein. Mit diesen Eigenschaften ermöglicht es einen informationsbasierten Ansatz für Sicherheitstechnologien und Service-Teams, damit diese schneller auf fortgeschrittene Angriffe reagieren und sie vereiteln können.