Branche, Gastbeiträge - geschrieben von am Mittwoch, Juli 15, 2020 16:19 - noch keine Kommentare

Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand

Die Operationalisierung von Informationen über Bedrohungen nimmt Zeit in Anspruch und erfordert eine gründliche Planung

Von unserem Gastautor Jonathan Couch, SVP Strategy bei ThreatQuotient

[datensicherheit.de, 15.07.2020] Es gibt zwei Arten von Cyber-Bedrohungen, mit denen sich Organisationen befassen und die in folgende Kategorien eingeteilt werden können: Hurrikane und Erdbeben. Hurrikane sind, ähnlich wie ihr Namensvetter, die Angriffe, mit denen man rechnen kann, und Erdbeben, mit denen man nicht rechnen kann. Beide sind unvermeidlich, und Organisationen müssen entsprechend planen und handeln. Das beginnt damit, dass man versteht, was Bedrohungsinformationen sind und wie man sie relevant und umsetzbar macht. Der Schlüssel dazu ist die Vorbereitung sowohl auf die vorhersehbaren als auch auf die eher unvorhersehbaren Angriffe. An dieser Stelle kommt die Bedrohungsaufklärung, die Threat Intelligence ins Spiel. Sie hilft Unternehmen von der ständigen bloßen Reaktion auf Bedrohungen zu einem proaktiveren Ansatz überzugehen. Threat Intelligence ermöglicht es, sich auf Wirbelstürme vorzubereiten und außerdem noch auf die Erdbeben mit einem effizienten, integrierten Ansatz zu reagieren.

Jonathan Couch, SVP Strategy bei ThreatQuotient

Jonathan Couch, SVP Strategy, Bild: ThreatQuotient

Störungen eliminieren

Wenn man Bedrohungsinformationen erwähnt, denken die meisten Organisationen über mehrere Daten-Feeds nach, die sie abonnieren – kommerzielle Quellen, Open Source und zusätzliche Feeds von Sicherheitsanbietern – jeder in einem anderen Format und meist ohne Kontext, um eine Priorisierung zu ermöglichen. Diese globalen Bedrohungsdaten geben einen gewissen Einblick in Aktivitäten, die außerhalb eines Unternehmens stattfinden; nicht nur die Angriffe selbst, sondern auch, wie die Angreifer operieren und Netzwerke infiltrieren. Die Herausforderung besteht darin, dass die meisten Unternehmen unter einer Datenüberlastung leiden. Ohne die Tools und Einblicke, die es ermöglichen, Berge von unterschiedlichen globalen Daten automatisch zu durchforsten und für Analysten und Maßnahmen zu aggregieren, werden diese Bedrohungsdaten zu einem Grundrauschen, dass irgendwann ignoriert wird. Man erhält Warnmeldungen zu Angriffen, die nicht kontextbezogen, relevant oder priorisiert sind. Um diese Daten effektiver nutzen zu können, müssen sie an einem überschaubaren Ort aggregiert und in ein einheitliches Format übersetzt werden, damit die Security-Verantwortlichen das „Rauschen“ automatisch beseitigen und sich auf das Wesentliche konzentrieren können.

Den Fokus auf Bedrohungen setzen

Wenn die globalen Bedrohungsdaten organisiert und verwaltet sind, können sich die Verantwortlichen auf die Hurrikane und Erdbeben konzentrieren. Hurrikane sind die Art von Bedrohungen, die bekannt sind und auf die man sich vorbereiten kann. Man kann sich vor ihnen schützen und sie auf der Grundlage vergangener Trends antizipieren. Ein Beispiel ist die Annahme auf der Grundlage von Forschungsergebnissen an, dass eine bestimmte Datei eine Malware ist. Diese Informationen sollten operationalisiert, in eine Richtlinie, eine Regel oder eine Signatur umgewandelt und an den entsprechenden Sensor gesendet werden. Dann lässt sich verhindern, dass bösartige Akteure wertvolle Daten stehlen, eine Störung verursachen oder Schaden anrichten. Wenn die Sicherheitsoperationen ausgereifter werden, können zusätzlich zur automatischen Blockierung dieser bekannten Bedrohungen auch Warnmeldungen erstellt werden, so dass mehr über den Angreifer und sein Vorgehen bekannt wird. So können sich die Verantwortlichen auf die Angriffe konzentrieren, die wirklich wichtig sind.

Erdbeben sind unbekannte Bedrohungen oder Bedrohungen, gegen die möglicherweise keine adäquaten Gegenmaßnahmen eingeleitet werden können, weil die bestehenden Abwehrmaßnahmen umgangen werden. Sobald sich die Angreifer im Netzwerk befinden, besteht daher die Aufgabe darin, sie aufzuspüren, zu reagieren und die Systeme vor den Angreifern zu schützen. Dies hängt von der Fähigkeit ab, globale Bedrohungsdaten in Bedrohungsinformationen umzuwandeln. Wenn diese Daten mit internen Bedrohungs- und Eventdaten angereichert werden und Analysten zur besseren Entscheidungsfindung zusammenarbeiten können, ist bereits ein wichtiger Schritt erfolgt. Mit Hilfe von Bedrohungsdaten kann eine Malware-Kampagne besser eingegrenzt werden. Sobald die Bedrohung erkannt ist, mehr über den Gegner bekannt ist, betroffene Systeme davor geschützt sind, können dann die auf Basis der vorliegenden Informationen die besten Abhilfemaßnahmen ergriffen werden. Durch die Korrelation von Ereignissen und zugehörigen Indikatoren aus der IT-Umgebung (z.B. SIEM-Warnungen oder Case-Management-Aufzeichnungen) mit externen Daten zu Indikatoren, Cyberkriminellen und deren Methoden erhalten die Verantwortlichen den Kontext, um das Wer, Was, Wann, Wo, Warum und Wie eines Angriffs zu verstehen.

Wenn Unternehmen dann noch einen Schritt weiter gehen und den Kontext auf ihre Geschäftsprozesse und Infrastruktur anwenden, können sie die Relevanz einer Bedrohung besser beurteilen. Ist alles, was der Organisation wichtig ist, gefährdet? Wenn die Antwort nein lautet, dann hat das, was als Bedrohung erkannt wurde, niedrige Priorität. Wenn die Antwort ja lautet, dann ist es eine wichtige Bedrohung. So oder so verfügen Unternehmen dann über die Informationen, die die Verantwortlichen benötigen, um schnell handeln zu können.

Threat Intelligence umsetzen

Die Threat Intelligence hat drei Attribute, die dabei helfen „nachverfolgbar“ zu definieren:

  • Genauigkeit: Sind die Informationen zuverlässig und detailliert?
  • Relevanz: Trifft die Information auf Ihr Unternehmen oder Ihre Branche zu?
  • Rechtzeitigkeit: Verfügen sie durch die erhaltenen Informationen über genügend Zeit, um Gegenmaßnahmen einzuleiten?

Ein alter Branchenwitz ist, dass Verantwortliche nur zwei der drei Informationen haben können, also müssen sie selbst bestimmen, was für ihr Unternehmen am wichtigsten ist. Wenn sie die Informationen so schnell wie möglich für die eigenen Sensoren benötigen, kann die Genauigkeit darunter leiden. Das führt unweigerlich zu einigen False Positives. Wenn die Informationen akkurat und zeitnah sind, dann kann die Zeit möglicherweise nicht für eine gründliche Analyse zur Gefahreneinstufung ausgereicht haben. Dies könnte dazu führen, dass Ressourcen für etwas aufgewendet wurden, was gar kein großes Risiko darstellt.

Fazit

Letztendlich muss das Ziel von Unternehmen sein, Erkenntnisse aus der Threat Intelligence über Bedrohungen nachverfolgbar zu machen. Aber die Umsetzung wird vom Benutzer definiert. Ein SOC sucht normalerweise nach IP-Adressen, Domänennamen und anderen Indikatoren für Kompromittierungen – also alles, was dazu beiträgt, eine Bedrohung zu erkennen, einzudämmen und zu verhindern. Für das Netzwerkteam geht es darum, die Abwehr mit Informationen über Schwachstellen, Signaturen und Regeln zu stärken, um Firewalls sowie Patch- und Schwachstellenmanagementsysteme zu aktualisieren. Das Incident Response-Team benötigt Informationen über den Angreifer und die beteiligten Malware-Kampagnen, damit es Nachforschungen anstellen und Abhilfe schaffen kann. Und das Management und der Vorstand benötigen Informationen über Bedrohungen mit ihren geschäftlichen, finanziellen und betrieblichen Konsequenzen, um die Einnahmen zu steigern und die Aktionäre und das Unternehmen als Ganzes zu schützen. Analysten müssen unternehmensweit zusammenarbeiten, um die richtigen Informationen im richtigen Format und in der richtigen Häufigkeit bereitzustellen, damit sie von mehreren Teams genutzt werden können.

Die Operationalisierung von Informationen über Bedrohungen wird natürlich Zeit in Anspruch nehmen und erfordert eine gründliche Planung. Viele Organisationen beginnen bereits damit, von einem reaktiven Modus zu einem proaktiveren Modus überzugehen. Aber um sich Zeit zu nehmen, den Blick auf den Horizont zu richten und Hurrikane zu erkennen und sich auf sie vorzubereiten, während sie sich gleichzeitig mit Erdbeben auseinandersetzen, müssen Organisationen zu einem vorausschauenden Modell übergehen, das kontextbezogene Informationen, Relevanz und Einblick in Trends in der Bedrohungslandschaft bietet.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen



Kommentieren

Kommentar

Medienpartner

it-sa 365

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Mitgliedschaft

German Mittelstand

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Gefragte Themen


Datenschutzerklärung