Branche, Gastbeiträge - geschrieben von cp am Mittwoch, Juli 15, 2020 16:19 - noch keine Kommentare
Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand
Die Operationalisierung von Informationen über Bedrohungen nimmt Zeit in Anspruch und erfordert eine gründliche Planung
Von unserem Gastautor Jonathan Couch, SVP Strategy bei ThreatQuotient
[datensicherheit.de, 15.07.2020] Es gibt zwei Arten von Cyber-Bedrohungen, mit denen sich Organisationen befassen und die in folgende Kategorien eingeteilt werden können: Hurrikane und Erdbeben. Hurrikane sind, ähnlich wie ihr Namensvetter, die Angriffe, mit denen man rechnen kann, und Erdbeben, mit denen man nicht rechnen kann. Beide sind unvermeidlich, und Organisationen müssen entsprechend planen und handeln. Das beginnt damit, dass man versteht, was Bedrohungsinformationen sind und wie man sie relevant und umsetzbar macht. Der Schlüssel dazu ist die Vorbereitung sowohl auf die vorhersehbaren als auch auf die eher unvorhersehbaren Angriffe. An dieser Stelle kommt die Bedrohungsaufklärung, die Threat Intelligence ins Spiel. Sie hilft Unternehmen von der ständigen bloßen Reaktion auf Bedrohungen zu einem proaktiveren Ansatz überzugehen. Threat Intelligence ermöglicht es, sich auf Wirbelstürme vorzubereiten und außerdem noch auf die Erdbeben mit einem effizienten, integrierten Ansatz zu reagieren.
Störungen eliminieren
Wenn man Bedrohungsinformationen erwähnt, denken die meisten Organisationen über mehrere Daten-Feeds nach, die sie abonnieren – kommerzielle Quellen, Open Source und zusätzliche Feeds von Sicherheitsanbietern – jeder in einem anderen Format und meist ohne Kontext, um eine Priorisierung zu ermöglichen. Diese globalen Bedrohungsdaten geben einen gewissen Einblick in Aktivitäten, die außerhalb eines Unternehmens stattfinden; nicht nur die Angriffe selbst, sondern auch, wie die Angreifer operieren und Netzwerke infiltrieren. Die Herausforderung besteht darin, dass die meisten Unternehmen unter einer Datenüberlastung leiden. Ohne die Tools und Einblicke, die es ermöglichen, Berge von unterschiedlichen globalen Daten automatisch zu durchforsten und für Analysten und Maßnahmen zu aggregieren, werden diese Bedrohungsdaten zu einem Grundrauschen, dass irgendwann ignoriert wird. Man erhält Warnmeldungen zu Angriffen, die nicht kontextbezogen, relevant oder priorisiert sind. Um diese Daten effektiver nutzen zu können, müssen sie an einem überschaubaren Ort aggregiert und in ein einheitliches Format übersetzt werden, damit die Security-Verantwortlichen das „Rauschen“ automatisch beseitigen und sich auf das Wesentliche konzentrieren können.
Den Fokus auf Bedrohungen setzen
Wenn die globalen Bedrohungsdaten organisiert und verwaltet sind, können sich die Verantwortlichen auf die Hurrikane und Erdbeben konzentrieren. Hurrikane sind die Art von Bedrohungen, die bekannt sind und auf die man sich vorbereiten kann. Man kann sich vor ihnen schützen und sie auf der Grundlage vergangener Trends antizipieren. Ein Beispiel ist die Annahme auf der Grundlage von Forschungsergebnissen an, dass eine bestimmte Datei eine Malware ist. Diese Informationen sollten operationalisiert, in eine Richtlinie, eine Regel oder eine Signatur umgewandelt und an den entsprechenden Sensor gesendet werden. Dann lässt sich verhindern, dass bösartige Akteure wertvolle Daten stehlen, eine Störung verursachen oder Schaden anrichten. Wenn die Sicherheitsoperationen ausgereifter werden, können zusätzlich zur automatischen Blockierung dieser bekannten Bedrohungen auch Warnmeldungen erstellt werden, so dass mehr über den Angreifer und sein Vorgehen bekannt wird. So können sich die Verantwortlichen auf die Angriffe konzentrieren, die wirklich wichtig sind.
Erdbeben sind unbekannte Bedrohungen oder Bedrohungen, gegen die möglicherweise keine adäquaten Gegenmaßnahmen eingeleitet werden können, weil die bestehenden Abwehrmaßnahmen umgangen werden. Sobald sich die Angreifer im Netzwerk befinden, besteht daher die Aufgabe darin, sie aufzuspüren, zu reagieren und die Systeme vor den Angreifern zu schützen. Dies hängt von der Fähigkeit ab, globale Bedrohungsdaten in Bedrohungsinformationen umzuwandeln. Wenn diese Daten mit internen Bedrohungs- und Eventdaten angereichert werden und Analysten zur besseren Entscheidungsfindung zusammenarbeiten können, ist bereits ein wichtiger Schritt erfolgt. Mit Hilfe von Bedrohungsdaten kann eine Malware-Kampagne besser eingegrenzt werden. Sobald die Bedrohung erkannt ist, mehr über den Gegner bekannt ist, betroffene Systeme davor geschützt sind, können dann die auf Basis der vorliegenden Informationen die besten Abhilfemaßnahmen ergriffen werden. Durch die Korrelation von Ereignissen und zugehörigen Indikatoren aus der IT-Umgebung (z.B. SIEM-Warnungen oder Case-Management-Aufzeichnungen) mit externen Daten zu Indikatoren, Cyberkriminellen und deren Methoden erhalten die Verantwortlichen den Kontext, um das Wer, Was, Wann, Wo, Warum und Wie eines Angriffs zu verstehen.
Wenn Unternehmen dann noch einen Schritt weiter gehen und den Kontext auf ihre Geschäftsprozesse und Infrastruktur anwenden, können sie die Relevanz einer Bedrohung besser beurteilen. Ist alles, was der Organisation wichtig ist, gefährdet? Wenn die Antwort nein lautet, dann hat das, was als Bedrohung erkannt wurde, niedrige Priorität. Wenn die Antwort ja lautet, dann ist es eine wichtige Bedrohung. So oder so verfügen Unternehmen dann über die Informationen, die die Verantwortlichen benötigen, um schnell handeln zu können.
Threat Intelligence umsetzen
Die Threat Intelligence hat drei Attribute, die dabei helfen „nachverfolgbar“ zu definieren:
- Genauigkeit: Sind die Informationen zuverlässig und detailliert?
- Relevanz: Trifft die Information auf Ihr Unternehmen oder Ihre Branche zu?
- Rechtzeitigkeit: Verfügen sie durch die erhaltenen Informationen über genügend Zeit, um Gegenmaßnahmen einzuleiten?
Ein alter Branchenwitz ist, dass Verantwortliche nur zwei der drei Informationen haben können, also müssen sie selbst bestimmen, was für ihr Unternehmen am wichtigsten ist. Wenn sie die Informationen so schnell wie möglich für die eigenen Sensoren benötigen, kann die Genauigkeit darunter leiden. Das führt unweigerlich zu einigen False Positives. Wenn die Informationen akkurat und zeitnah sind, dann kann die Zeit möglicherweise nicht für eine gründliche Analyse zur Gefahreneinstufung ausgereicht haben. Dies könnte dazu führen, dass Ressourcen für etwas aufgewendet wurden, was gar kein großes Risiko darstellt.
Fazit
Letztendlich muss das Ziel von Unternehmen sein, Erkenntnisse aus der Threat Intelligence über Bedrohungen nachverfolgbar zu machen. Aber die Umsetzung wird vom Benutzer definiert. Ein SOC sucht normalerweise nach IP-Adressen, Domänennamen und anderen Indikatoren für Kompromittierungen – also alles, was dazu beiträgt, eine Bedrohung zu erkennen, einzudämmen und zu verhindern. Für das Netzwerkteam geht es darum, die Abwehr mit Informationen über Schwachstellen, Signaturen und Regeln zu stärken, um Firewalls sowie Patch- und Schwachstellenmanagementsysteme zu aktualisieren. Das Incident Response-Team benötigt Informationen über den Angreifer und die beteiligten Malware-Kampagnen, damit es Nachforschungen anstellen und Abhilfe schaffen kann. Und das Management und der Vorstand benötigen Informationen über Bedrohungen mit ihren geschäftlichen, finanziellen und betrieblichen Konsequenzen, um die Einnahmen zu steigern und die Aktionäre und das Unternehmen als Ganzes zu schützen. Analysten müssen unternehmensweit zusammenarbeiten, um die richtigen Informationen im richtigen Format und in der richtigen Häufigkeit bereitzustellen, damit sie von mehreren Teams genutzt werden können.
Die Operationalisierung von Informationen über Bedrohungen wird natürlich Zeit in Anspruch nehmen und erfordert eine gründliche Planung. Viele Organisationen beginnen bereits damit, von einem reaktiven Modus zu einem proaktiveren Modus überzugehen. Aber um sich Zeit zu nehmen, den Blick auf den Horizont zu richten und Hurrikane zu erkennen und sich auf sie vorzubereiten, während sie sich gleichzeitig mit Erdbeben auseinandersetzen, müssen Organisationen zu einem vorausschauenden Modell übergehen, das kontextbezogene Informationen, Relevanz und Einblick in Trends in der Bedrohungslandschaft bietet.
Weitere Informationen zum Thema:
datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren