Cyberkriminalität entgegenwirken

Der entscheidende Vorsprung

„Threat Intelligence“ ist eine unverzichtbare Komponente eines soliden Cybersicherheitsprogramms. Doch bevor Unternehmen sich für eine Lösung entscheiden, sollten sie genau evaluieren, welche Bedrohungsinformationen diese wirklich liefert und wie sie die Daten verwenden können, um sich besser gegen Angriffe aus dem Netz zu schützen.

Der entscheidende Vorsprung

Moderne Lösungen liefern wichtige Informationen, um potentiellen Angreifern immer einen Schritt voraus zu sein.

„Du musst deinen Feind kennen, um ihn zu besiegen“, heißt es im Volksmund. Auch ein besseres Verständnis der Cyberangreifer, ihrer Taktiken und Ziele kann helfen, effektivere Abwehrmechanismen aufzubauen. Mit einer gezielten Reaktion auf Bedrohungen können Unternehmen Sicherheitsressourcen besser zuweisen, Angriffen proaktiv entgegenwirken und versuchte Sicherheitsverletzungen durch Cyberkriminelle vereiteln. Doch nicht alle Lösungen sind vergleichbar. Die Definition von Threat Intelligence ist bei verschiedenen Anbietern weit gefasst und reicht von simplen Malware-Indikatoren bis zu detaillierten Angreiferprofilen. Es lohnt sich, bei der Auswahl einer Lösung genau hinzusehen.

Das Analystenhaus Gartner beschreibt Threat Intelligence als evidenzbasiertes Wissen – „einschließlich Kontextinformationen, Mechanismen, Indikatoren, Implikationen und umsetzbaren Hinweisen“ – zu einer bestehenden oder aufkommenden Gefahr, das dazu verwendet werden kann, Entscheidungen über eine angemessene Reaktion zu treffen. Wichtig ist, dass Gartner von Wissen spricht – nicht von Daten oder Informationen. Schlüsselwörter sind der Kontext und die Umsetzbarkeit. Denn obwohl der Entstehung von Threat Intelligence das Zusammentragen von riesigen Datenmengen aus unterschiedlichsten Quellen zugrunde liegt, bieten die unstrukturierten Rohdaten alleine noch keine verwertbaren Einsichten. Eine Liste von IP-Adressen oder Domains etwa muss erst analysiert und in den richtigen Zusammenhang gesetzt werden. Bedrohungsinformationen sind erst dann Threat Intelligence, wenn ein Nutzer daraus gezielte Fragestellungen beantworten und konkrete Handlungen ableiten kann.

In den Tiefen des Internets

Eine gute Lösung liefert maßgeschneiderte, evaluierte und angereicherte Informationen aus zuverlässigen Quellen, die so dargestellt sind, dass das IT-Team relevante Cyberbedrohungen zeitnah identifizieren kann. Anstatt ungefilterter Warnhinweise sollte sie klar priorisierte Aussagen liefern, die helfen, wichtige von weniger wichtigen Bedrohungen zu unterscheiden und entsprechend zu reagieren.

Die Datensammlung selbst muss sich auf eine breite Basis unterschiedlicher Quellen stützen. Führende Anbieter betreiben nicht nur eigene Sinkholes, Honeypots und Crawlers. Sie beobachten Untergrundforen und das Darknet, verwerten private, versteckte und öffentliche Quellen und arbeiten mit Kunden, Partnern und Expertengemeinschaften zusammen. Die gewonnenen Einsichten – IP-Adressen, Domains und Filehash-Werte – gehen weit über die Informationen hinaus, die etwa „Security Information and Event Management” (SIEM) liefern kann. Eine gezielte Threat-Intelligence-Lösung kann bei Bedarf auch nach gestohlenen Firmendaten, Zahlungskartendetails und Anmeldeinformationen suchen, die in Hackerforen zum Verkauf angeboten werden.

Darüber hinaus ist wichtig, dass Zusammenhänge erkannt werden. Eine Kombination aus automatisierter Bedrohungskategorisierung, der Abgleich mit Open-Source-Intelligence-Daten und Erkenntnissen einzelner Sicherheitsanalysten sowie weitere Mechanismen reichern die Rohdaten so an, dass sich ein klares Gesamtbild ergibt. Beispiel: Metadaten aus einem Botnet-Sample lassen sich mit dem Profil eines Darknet-Akteurs in Zusammenhang bringen. Die kombinierten Informationen ergeben, dass der Angreifer Malware anbietet, die auf einen bestimmten Sektor ausgerichtet ist. Betroffene Unternehmen können jetzt ihr Risiko einschätzen und Vorsichtsmaßnahmen treffen.

Um die Einblicke verwerten zu können, ist das Output-Format entscheidend. Maschinenlesbare Daten lassen sich direkt in ein SIEM übertragen. Bedrohungslisten zu Crime-Servern, Bot-IPs oder Malware-Hashwerten dienen als Basis für neue Firewall-Regeln, Signaturen für Incident-Response-Plattformen oder Listen von Domains, die blockiert werden sollen.

Wichtig ist, dass die Datenströme nicht ungefiltert in der Sicherheitsinfrastruktur des Unternehmens und auf den Monitoren der IT-Verantwortlichen landen. Sonst erzeugen sie viel Aufwand und womöglich False-Positive-Alerts, die von Hand nachverfolgt werden müssen. Mit einer maßgeschneiderten Threat-Intelligence-Lösung, wie sie etwa von Blueliv angeboten wird, sind die Daten schon aggregiert und priorisiert und enthalten nur die für das Unternehmen relevanten Bedrohungs- und Angriffsindikatoren. Das hilft auch, neue Alerts besser einzuordnen – etwa ob es sich um einen gezielten Angriff oder eine global verteilte Kampagne handelt.

Die Bedrohungslage auf einen Blick

Um die eigene Sicherheitslage besser zu verstehen, ist ein Dashboard nützlich, das verschiedene Bedrohungskategorien anschaulich darstellt und mit dem sich detaillierte Analysen oder Kurzberichte für die Vorstandsetage erstellen lassen. Denn nicht nur die taktischen Einblicke, die die Threat Intelligence Tag für Tag liefert, sind wertvoll. Echtzeitinformationen zu imminenten oder bestehenden Cyberattacken dienen dazu, Risiken abzuwenden, unmittelbar auf Vorfälle zu reagieren und Verteidigungsmaßnahmen dynamisch anzupassen – alles essentielle Aufgaben. Daneben generiert eine Threat-Intelligence-Lösung aber auch Informationen, die sich für die langfristige, strategische Planung eignen.

Zum Beispiel: Einblicke in die Motive und Kapazitäten der Angreifer, die es auf bestimmte Unternehmen oder Industriezweige abgesehen haben. Die Vogelperspektive hilft, sich besser auf deren Taktiken, Techniken und Verfahren (TTP) vorzubereiten. Oder hoch angesetzte Risikobewertungen, die umfassen, wie sich globale Ereignisse und Internet-Trends auf die Cybersicherheit auswirken, um mittel- bis langfristig in die richtigen Sicherheitsstrategien zu investieren. Das Erstellen solcher Trendanalysen ist eine hochkomplexe Aufgabe, die beträchtliche Expertise und das Auswerten von Informationen aus den unterschiedlichsten Quellen und Perspektiven erfordert. Seriöse Threat-Intelligence-Anbieter beschäftigen deshalb zusätzlich zu ihrer Technologieinfrastruktur dedizierte Sicherheitsanalysten, die kontinuierlich den Untergrund beobachten.

Threat-Intelligence-Informationen lassen sich nicht nur im täglichen Kampf gegen Cyberangriffe verwerten, sondern auch als Informationsgrundlage für langfristige Geschäftsentscheidungen. Am meisten profitieren Unternehmen, die sie auf mehreren Ebenen nutzen: proaktiv, um mit der Risikolage angepassten Sicherheitsmaßnahmen potenziellen Angreifern einen Schritt voraus zu sein, und reaktiv, um schnell und wirksam auf Cybervorfälle zu reagieren. Je mehr ein Sicherheitsteam über zu erwartende Bedrohungen weiß, desto besser kann es das Unternehmen vor negativen Auswirkungen schützen.

Bildquelle: GettyImages/OJO Images

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok