beebright - Fotolia

Einstieg in Threat Intelligence – Maßnahmen gegen die Informationsflut

Threat Intelligence ergänzt technische Maßnahmen zum Schutz vor Bedrohungen. Dabei besteht aber die Gefahr von zu vielen oder von falschen Daten.

Als ehemaliger Security-Analyst bei einem Unternehmen, das regelmäßig für die US-Regierung tätig ist, konnte Larry Larsen umfangreiche praktische Erfahrungen im Einsatz von Threat Intelligence als Mittel zum Schutz vor Cybergefahren sammeln. „Wir haben gegen die Regierung so viele verschiedene Angriffe von zahlreichen unterschiedlichen Quellen aus gesehen, dass wir herausfinden mussten, woher und warum sie kamen“, erinnert sich Larsen.

Mittlerweile ist er Chief Information Security Officer (CISO) bei der Apple Federal Credit Union in Fairfax, Virginia. Auch heute noch verwendet er vergleichbare Methoden zur Threat Intelligence, um die vielfältigen Bedrohungen gegen seinen jetzigen Arbeitgeber in den Griff zu bekommen. „Cybersicherheit ist nicht wirklich ein technisches Unterfangen“, ist er überzeugt. „Eher wird ein verhaltensbasierter Ansatz in einer technischen Umgebung benötigt, der einem Counter-Intelligence-Vorgehen wie bei der Abwehr von Spionage ähnelt“.

Die meisten Firmen setzen in ihrer Netzwerkinfrastruktur bereits Firewalls, Antiviren-Scanner und andere Werkzeuge zur IT-Sicherheit ein. Damit können sie aber in der Regel nicht herausfinden, woher ein bestimmter Angriff kommt oder wer gerade durch eine Seitentür ins Unternehmen eindringt. „Ich will wissen, wer bei einem Angriff an der Tastatur sitzt und was er erreichen will“, erläutert Larsen. „Ist er nur an finanziellen Daten interessiert? Ist der Angriff Teil einer größeren Attacke, um Informationen zu sammeln? Geht es um Daten, die für einen schwerwiegenderen Angriff benötigt werden?“

Larsen gehört zu einer wachsenden Zahl von Sicherheitsspezialisten, die auf Threat Intelligence setzen, um damit ihre technischen Sicherheitsmaßnahmen zu verbessern. Nach Berechnungen des Marktforschungsunternehmens IT-Harvest hat der Markt für Threat Intelligence im Jahr 2015 relativ bescheidene 190 Millionen US-Dollar Umsatz gemacht. 2016 sollen es jedoch bereits 460 Millionen US-Dollar gewesen sein. Für 2018 rechnen die Analysten mit einem Umsatz von mehr als 1,5 Milliarden US-Dollar in diesem Bereich.

Ein wichtiger Antrieb für den Threat-Intelligence-Markt ist der Wunsch nach Sicherheitsmaßnahmen, die an den wirklichen Bedürfnissen eines Unternehmens ausgerichtet sind und die für ein besseres Verständnis der aktuellen Sicherheitslage sorgen, in der sich eine Organisation befindet. Der Security-Provider Digital Shadows mit Sitz in San Francisco und London bietet maßgeschneiderte Bedrohungsanalysen und Recherchen an, mit denen sich etwa herausfinden lässt, welche Daten über eine Firma im Dark Web zu finden sind. Das Unternehmen setzt dazu seine SearchLight-Plattform ein.

Es gehe darum, „zu wissen, was um einen herum passiert, um so herauszufinden, was man tun kann“, erläutert Rick Holland, Vice President of Strategy bei Digital Shadows. Der ehemalige Research Analyst bei Forrester ist außerdem Co-Vorsitzender des SANS Cyber Threat Intelligence Summit. „Kenntnisse über die aktuelle Lage oder auch eine Situational Awareness erfordern Werkzeuge, die sowohl Daten über die Situation innerhalb als auch außerhalb einer Organisation sammeln“, ist sich Holland sicher.

Nach Ansicht von Larsen und anderen Sicherheitsexperten gibt es zudem eine Reihe von Punkten, die beachtet werden sollten, wenn ein Unternehmen eigene Fähigkeiten zur Threat Intelligence gegen Cybergefahren aufbauen will.

Informationen aus der vorhandene Infrastruktur sammeln

Ein großer Teil der Daten, die benötigt werden, um ein verlässliches Bild der aktuellen Sicherheitslage zu erhalten, findet sich direkt in jeder Organisation. Seien es Informationen aus Application Logs, Systemen zur Intrusion Detection und Intrusion Prevention, Firewalls, Endpoint-Antivirus-Lösungen und anderen Sicherheitsmaßnahmen. Aus ihnen lassen sich nach Aussage von Bill Podborny, CISO bei der Aliant Credit Union in Chicago, bereits viele Informationen darüber gewinnen, was im Firmennetz vorgeht und welche Schwachstellen und Gefahrenpunkte vorhanden sind.

Aus ihnen lässt sich beispielsweise erfahren, wer ins Netzwerk einzudringen versucht, wer es bereits hineingeschafft hat und wie normales Nutzer- und Netzwerkverhalten aussieht. Laut Podborny sind die Daten aus den internen Systemen auch nützlich, um Lücken und gefährliche Schwachstellen in den vorhandenen Sicherheitsmaßnahmen zu identifizieren. Dazu eignen sich Lösungen zum Security Information and Event Management (SIEM) oder Tools zum Sammeln und Analysieren von Daten wie Splunk. Mit ihnen lassen sich die zu treffenden Maßnahmen auch priorisieren.

Viel zu häufig konzentrieren sich Unternehmen jedoch vor allem auf externe Gefahren und Bedrohungen. In der Folge können sie diese Informationen dann nicht mit den internen Daten abgleichen, so dass sie nicht wissen, was wirklich vorgeht.

Wenn Sie nicht die notwendige Infrastruktur haben, können Sie nicht ausreichend Daten über Bedrohungen sammeln. Sie können nicht handeln, wenn Sie Ihre eigenen Daten nicht in Betracht ziehen.
James CarderCISO, LogRhythm

„Die beste Quelle für Informationen über Bedrohungen sind Ihre eigenen Daten“, sagt etwa James Carder, CISO beim SIEM-Anbieter LogRhythm aus Boulder in Colorado. Das Unternehmen bietet die Unified Security Intelligence Platform an, die Informationen aus Log-Management, Endpoint- und Netzwerk-Monitoring sowie SIEM und anderen Sicherheitsanalysesystemen zusammenführt. „Wenn Sie nicht die notwendige Infrastruktur haben, können Sie nicht ausreichend Daten über Bedrohungen sammeln. Sie können nicht handeln, wenn Sie Ihre eigenen Daten nicht in Betracht ziehen“, betont Carder.

Informationen über Einbrüche sammeln und auswerten

Jeder Versuch, ein Programm zur Threat Intelligence einzuführen, sollte zunächst Prozesse zum Sammeln und Analysieren von Bedrohungen innerhalb des Netzwerkes umfassen. Dazu kommen Threat-Intelligence-Daten aus der jeweiligen Branche, seien es Finanzdienstleister, Unternehmen aus dem Gesundheitswesen oder dem Einzelhandel. Erst danach sollten Daten einbezogen werden, die über den jeweiligen Geschäftszweig hinausgehen. „Organisationen sollten Daten über Bedrohungen sammeln, die sich auf tatsächliche Angriffe aus der jeweiligen Umgebung beziehen“, sagt etwa Holland.

Die Security-Abteilung benötigt zudem Daten über aktuelle Exploits und Botnet-Aktivitäten sowie Informationen über C&C-Server (Command and Control), wie Malware eingeschleust wird und wie Geschäftsdaten heimlich ein Unternehmen verlassen können.

Firmen sollten darüber hinaus IP-Adressen, für bösartige Zwecke verwendete Domain-Namen, Datei-Hashes und andere Hinweise auf erfolgreiche Einbrüche sammeln, die für einen Angriff typisch sind. Diese Daten lassen sich dann nutzen, um künftig ähnliche Attacken auf das Netzwerk schnell zu erkennen und zu stoppen. Das Ziel sollte dabei sein, Maßnahmen zu entwickeln, mit denen sich erwartete und unerwartete Bedrohungen entdecken lassen, um sie dann mit bereits erkannten Gefahren in Beziehung setzen zu können. „Es gibt keine wichtigeren Daten zur Threat Intelligence als die, die sich in Ihrem Unternehmen finden“, ergänzt Holland.

Es geht um Qualität, nicht Quantität

Ein häufiges Missverständnis, wenn es um Bedrohungsdaten geht, ist, dass man sehr viele Informationen benötigt, um effektiv reagieren zu können. Die Wahrheit ist, dass man sich lieber auf die Qualität der gesammelten Daten konzentrieren sollte. Eine Ausnahme liegt allerdings vor, wenn eine Organisation das Personal und die Ressourcen hat, um auch in gigantischen Datenmengen nach der sprichwörtlichen Nadel im Heuhaufen zu suchen.

„Mir ist es nicht wichtig, ob Sie mir jeden Tag 500 TByte Daten senden können“, sagt Larsen von der Apple Federal Credit Union. „Mir kommt es eher darauf an, 1024 KByte an Daten zu haben, die ich tatsächlich nutzen kann.“ Wenn es um das Abonnieren von Feeds mit Bedrohungsdaten geht, sollten nach Ansicht von Larsen vor allem solche ausgewählt werden, die die Frage „Und nun?“ beantworten können. Es gebe zahlreiche Feeds mit Informationen über neue Gefahren und Akteure, die aber nicht erklären können, warum ein Unternehmen sich damit beschäftigen sollte.

Es kommt außerdem immer wieder vor, dass auch Multi-Threat-Services auf einer einzigen Quelle basieren. Das bedeutet, dass viele Daten, die auf eine Security-Abteilung einprasseln, Duplikate sind. Holland rät deswegen, dass „Unternehmen nicht versuchen sollten, möglichst alle verfügbaren Feeds zu abonnieren“. „Threat Intelligence, die nichts mit Ihrem Unternehmen und seinen Tätigkeiten zu tun hat, überfordert Ihr Security-Personal und erschwert die nötigen Maßnahmen nur.“ Wirklich relevante Bedrohungsdaten reduzieren dagegen laut Holland das Rauschen, dem die Security-Teams ausgesetzt sind, so dass sie sich auf kleinere und wirklich wichtige Vorfälle konzentrieren können.

Denken wie der Feind

Wenn es um die Einführung von Cyberthreat Intelligence geht, sollte ein risikobasierter Ansatz bevorzugt werden. Ein Unternehmen sollte sich bewusst sein, welches die potenziellen Ziele bei ihm sind, also wo sich seine wertvollsten Ressourcen befinden und wie sie bislang geschützt sind. Manchmal ist der beste Weg, um dieses Ziel zu erreichen, genau wie der Feind zu denken, rät Larsen. „Wenn ich ein Bösewicht bin, was würde ich klauen und wie würde ich dabei vorgehen?“

Manchmal ist der beste Weg, genau wie der Feind zu denken. Wenn ich ein Bösewicht bin, was würde ich klauen und wie würde ich dabei vorgehen?
Larry LarsenCISO, Apple Federal Credit Union

Es ist vor allem nötig zu wissen, welches die wichtigsten Angreifer für eine Organisation sind, welche Techniken und Prozesse sie bislang genutzt haben oder welche sie derzeit nutzen, um andere Unternehmen anzugreifen. Welche Angriffsvektoren verwenden sie in den meisten Fällen? Hinter welchen Daten sind sie her und warum?

Kommt die größte Gefahr für ein Unternehmen von Insidern, externen Akteuren, staatlichen Angreifern oder von kriminellen Banden? Oder geht sie von eigenen Mitarbeitern aus, die mehr oder weniger versehentlich auf E-Mail-Attachments klicken, die sie von Fremden erhalten?

„Ich sage meinen Kollegen immer, dass sie ein gesundes Maß an Paranoia behalten sollen“, sagt Larsen. „Die Mitarbeiter sollten in immer wieder einem fortlaufenden Training geschult werden, um ihre Wahrnehmung zu schärfen, und das, insbesondere wenn sie im Security-Bereich tätig sind.“

Ein Ansatz auf Basis der identifizierten Risiken

Damit Threat Intelligence wirklich etwas bringt, müssen Unternehmen verstehen, welchen Gefahren und Risiken sie ausgesetzt sind, ist Ryan Stolte überzeugt. Er ist Mitgründer und CTO von Bay Dynamics, einem Security-Anbieter mit Sitz in San Francisco, der die automatisierte Plattform Risk Fabric entwickelt hat. Diese umfasst auch verhaltensbasierte Analysen.

„Sie brauchen zu einer Bedrohung und einer Schwachstelle auch eine Bewertung des Risikos“, sagt Stolte. Manche Bedrohungen sind etwa nicht von Bedeutung, wenn weder die Daten eines Unternehmens noch andere Besitztümer in Gefahr sind. „Wenn Sie nur eine Bedrohung sehen, aber dabei nichts zu verlieren haben, warum sollten Sie sich darum kümmern?“

Das Ziel eines effektiven Programms zur Threat Intelligence sollte sein, die Vertraulichkeit, Unversehrtheit und Verfügbarkeit der kritischen Güter eines Unternehmens zu schützen, egal ob es sich dabei um eine Webseite, ein Bezahlsystem, eine Datenbank oder um geistige Besitztümer handelt. Dazu müssen sich die Unternehmen aber bewusstmachen, welches die kritischen Besitztümer sind und was geschehen würde, wenn sie nicht mehr verfügbar sind.

Ist das größte Risiko der Verlust von Geschäftsgeheimnissen, ein beschädigter Ruf oder mangelndes Vertrauen bei Kunden? „Schlussendlich versuche ich folgendes zu erreichen: Wenn ich heute nur eine Sache erledigen kann, was würde ich tun, um das Risiko am meisten zu reduzieren?“, sagt Stolte. „Und wenn ich einhundert Sachen erledigen könnte, was würden sie sein und warum?“

Klein anfangen

Wenn Unternehmen ein Programm zur Cyberthreat Intelligence einführen wollen, sind sie schnell überfordert, ist Podborny aufgefallen. Der Umgang mit Threat Intelligence könne vergleichbar mit dem Versuch sein, aus einem Hydranten zu trinken. Es würden deswegen ausgefeilte Prozesse benötigt, um die einströmenden Daten aus internen und externen Quellen verarbeiten und nutzen zu können.

„Versuchen Sie zunächst ein paar Erfolge zu erreichen“, empfiehlt Podborny. Wichtig ist dabei, wie die Bedrohungsdaten gesammelt werden und was damit geschieht. Auf dieser Basis können die Prozesse dann verbessert werden. „Ein Erfolg wäre zum Beispiel schon, wenn Sie im Vorfeld ein bestimmtes Ereignis verhindern können oder wenn Sie beweisen können, dass es hätte auftreten können“, sagt Podborny.

Der Schlüssel zu einem erfolgreichen Cyberthreat-Intelligence-Programm ist auch laut Stolte, sich auf das Wesentliche zu konzentrieren. „Übertreiben Sie es nicht“, sagt er. „Planen Sie nur für das, was Sie tun können. Aktivieren Sie zuerst nur einige Datenströme. Stellen Sie dann sicher, dass Sie Ergebnisse sehen und bauen Sie darauf auf, bevor Sie das Programm im gesamten Unternehmen ausrollen“, fügt er hinzu.

Vorteile von Standards

Unternehmen sollten sich an Standards halten, aber auch neue Technologien nicht außer Acht lassen. Der Erfolg eines Programms zur Threat Intelligence hängt davon, wie die eintreffenden Daten verarbeitet und wie sie in Aktionen umgesetzt werden können. Das ist unabhängig davon, ob diese Schritte automatisiert erfolgen oder in einem manuellen Prozess.

Maßgeblich ist es, unwichtige Daten bis zu dem Punkt auszusortieren, bis klar wird, welche Informationen wirklich relevant sind und welche nur am Rande interessant sind, fügt Podborny hinzu. Ein bedeutender Teil einer guten Threat Intelligence sei, Daten miteinander in Beziehung zu setzen und die richtigen Aktionen gegen Gefahren zu treffen.

Threat-Feeds und Dienste, die bestimmte Spezifikationen wie Structured Threat Information eXpression (STIX) und Trusted Automated eXchange of Indicator Information (TAXII) unterstützen, stellen Informationen in einem standardisierten Format dar und sind leichter zu automatisieren als nicht vereinheitlichte Informationen.

Vielen Unternehmen wird dabei allmählich klar, dass Technologie alleine nicht ausreicht, wenn es um ein erfolgreiches Programm zur Threat Intelligence geht, ist Holland von Digital Shadows überzeugt. Technologie sollte stattdessen die Analyse durch Menschen erleichtern und beschleunigen.

„Wir sehen eine deutliche Beschleunigung durch Standards wie die Structured Threat Information eXpression. Sie ermöglichen es, allen Threat-Intelligence-Teilnehmern dieselbe Sprache zu sprechen“, sagt Holland. Dadurch werde es den Verteidigern in den Unternehmen leichter, ihren Gegenspielern entgegen zu treten.

Die Bedeutung der so genannten Finished Intelligence

Josh Zelonis, Senior Analyst bei Forrester Research, empfiehlt einen Anbieter von Threat-Intelligence-Diensten auszuwählen, der es ermöglicht, die gewünschten Dienste genau auf die Bedürfnisse des jeweiligen Unternehmens zuzuschneiden. „Es wäre unverantwortlich, einen Bedrohungs-Feed zu empfehlen, ohne die jeweilige Organisation und die Motive der Angreifer zu verstehen“, sagt Zelonis.

Nach Ansicht von Larry Larsen, CISO bei der Apple Federal Credit Union, sollte das Ziel sein, eine so genannte „Finished Intelligence“ vom Anbieter zu erhalten. Darunter versteht er Informationen, die sofort in Aktionen umgesetzt werden können. „Es besteht ein Unterschied zwischen Finished Intelligence und reinen Rohdaten“, sagt Larsen. Sein Unternehmen hat sich für maßgeschneiderte Threat-Intelligence-Dienste von SurfWatch Labs entschieden.

Zum Beispiel ist es nur wenig nützlich, allgemeine Informationen über einen Kriminellen zu erhalten, der Nutzerdaten von Yahoo im Dark Web zum Verkauf anbietet. Viel wichtiger ist es zu erfahren, dass 48 dieser Yahoo-Accounts zu Personen gehören, die in der Organisation des Feed-Kunden arbeiten.

„Threat Intelligence muss soweit auf das jeweilige Unternehmen zugeschnitten sein, dass sie strategische und taktische Entscheidungen ermöglicht“, sagt Zelonis.

„Alle Informationen, die nicht bis auf diese Stufe angereichert wurden, sind nur relativ belanglose Daten und sollten vermieden werden, wenn in einem Unternehmen nicht die Kapazitäten vorhanden sind, um sie auch wirklich auszuwerten.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Threat Intelligence: Bedrohungsanalysen verstehen und richtig einsetzen

IT-Security: Technologie alleine löst keine Sicherheitsprobleme

So beeinflussen moderne Threat-Intelligence-Tools die Netzwerksicherheit

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close