Wie wertvoll sind Cloud-Sicherheitsdienste für Threat Intelligence?

Cloud-basierte Dienste, die Web-Bedrohungen erkennen, sind angesichts zahlreicher in den letzten Jahren bekannt gewordener Sicherheitsvorfälle zu einem wichtigen Thema geworden.

Cloud-basierte Dienste für die Aufklärung über Bedrohungen (Threat Intelligence Service), prädiktive Bedrohungsanalysen und fortschrittliches Management von Sicherheitsvorfällen sind in den letzten Jahren zu einem heißen Thema geworden. Zwar werden sie unter unterschiedlichsten Marketing-Namen und mit verschiedenen Funktionen angeboten, doch die Grundidee ist immer die gleiche: Weltweit gesammelte Daten über Bedrohungen und Angriffe sollen Informationen liefern, noch während sie sich abspielen – und manchmal sogar vorher.

Durch die Aggregierung von Daten aus der ganzen Welt wollen die Anbieter in diesem Bereich selbst schwer zu entdeckende Angriffe identifizieren, also auch hoch komplexe, gezielte, anhaltende beziehungsweise unauffällige und langsame. Auf dem Papier sieht das attraktiv aus, doch wie gut funktionieren diese Dienste in der Praxis?

Was sind globale Threat Intelligence Services?

Der mit Abstand wichtigste Faktor für den Erfolg derartiger Dienste sind die Daten – je mehr davon vorliegen, desto besser werden die Ergebnisse. Dabei beziehen die Anbieter diese Daten auf zwei Wegen: als Feeds von ihrer Kunden-Basis und indem sie selbst Aktivität im Internet überwachen. Das Erfassen ist dabei der (relativ) einfache Teil. Schwieriger ist es, diese enormen Mengen an Informationen durchzugehen, um verdächtige Muster und anormale Aktivitäten zu finden, die einen Angriff oder andere verdächtige Sicherheitsvorfälle anzeigen.

Anomalien in den Traffic-Mustern sind eines der möglichen Zeichen für einen Angriff. Wenn der Anbieter zum Beispiel eine Spitze beim eingehenden Datenverkehr zu einem Server oder Cluster in Weißrussland registriert, können die Techniker in seinem Security Operations Center (SOC) untersuchen, was für Gründe das hat. So könnten schnelle Reaktionen auf Phishing-Versuche dahinter stehen oder auch ein sehr starker Anstieg im Steuer-Traffic für bereits zuvor installierte Werkzeuge zum Fernsteuern fremder Computer. Ebenfalls kann der Provider proprietäre Heuristiken oder vorkonfigurierte Regeln und moderne Korrelationstechniken einsetzen, um Aktivitäten automatisch auf Verdachtsfälle zu analysieren.

Jedoch sind nicht alle Angriffe so leicht zu entdecken. Zum Beispiel lassen sich so genannte „low and slow“-Angriffe auf Anwendungen oder verteilte Angriffe über Grafik-Dateien und Flash-Anwendungen deutlich schwieriger identifizieren. Doch auch hier kann Cloud-Intelligenz helfen: Weil die Anbieter sowohl Berichte von ihren Kunden auswerten als auch die gesamte Internet-Aktivität, können sie auch gezielte Angriffe auf einen Kunden oder eine Gruppe von Kunden erkennen, die durch ungewöhnlichen Internet-Verkehr allein nicht auffallen würden.

Manche der Anbieter arbeiten dazu auch mit der Reputation von Webseiten. Wenn eine Webseite ganz neu ist oder in der Vergangenheit mit Betrugsfällen in Verbindung stand, bekommt sie einen niedrigeren Reputationswert zugewiesen als andere. Anfragen zu derartigen Sites lassen sich automatisch blockieren, während der Datenverkehr zu vertrauenswürdigeren weiter durchgelassen wird.

Die meisten Anbieter von Threat Intelligence Services über die Cloud veröffentlichen regelmäßig kostenlose Berichte über Cyberverbrechen. Potenzielle Kunden können daran erkennen, welche Art von Bedrohungen der jeweilige Anbieter aufdeckt, und sich darüber informieren, wie sein allgemeines Vorgehen in diesem Bereich aussieht.

Sind die Dienste das Geld wert?

Diese Frage lässt sich nicht leicht beantworten. Jedes Unternehmen muss dafür zunächst klären, was es mit einem solchen Dienst für Threat Intelligence erreichen will. Anschließend muss es die Qualität der Daten beurteilen und schließlich selbst überlegen, ob die Vorteile die nötigen Ausgaben rechtfertigen.

Die folgenden acht Fragen können eine Hilfe bei der Abschätzung des Wertes von Cloud-basierten Threat Intelligence Services sein:

  1. Welche Geschäftsprobleme versuchen wir mit dem Dienst zu lösen?
  2. Welche Art von Daten sammelt der Anbieter?
  3. Wie verteilt der Anbieter die Daten an seine Kunden-Basis?
  4. Können wir diese Daten rasch nutzen, um Angriffe zu blockieren, zu verhindern oder zu verlangsamen?
  5. Gibt es Alternativen, mit denen sich dieselben Ziele erreichen lassen (zum Beispiel Communities für Informationsaustausch)?
  6. Haben wir intern genügend Personal und Fachwissen, um dieselben Aufgaben zu übernehmen?
  7. Wie ist die Erfolgsbilanz des Anbieters beim Auffinden und Verhindern gefährlicher Aktivität?
  8. Brauchen wir derartige Dienste für Partner-Vereinbarungen, aus regulatorischen Gründen oder wegen anderer Compliance-Fragen?

Um festzustellen, ob sich Cloud-basierte Dienste für Threat Intelligence für Ihr Unternehmen finanziell lohnen, ist eine Kosten-Nutzen-Analyse erforderlich; außerdem brauchen Sie Input aus der Unternehmensführung sowie von den Teams für Audits und Risiko-Management. Die Effizienz und das Vorgehen bei den einzelnen Diensten unterscheiden sich je nach Anbieter. Doch in fast allen Fällen ist es nicht möglich, mit Analysen des internen Traffics allein so viele Einblicke zu gewinnen wie mit der Kombination von Informationen einer großen Kunden-Basis und allgemeinen Traffic-Mustern im Internet. Je komplexer und raffinierter die Angriffe werden, desto eher ist es also für viele Organisationen aus Präventionssicht sinnvoll, einen Cloud-basierten Aufklärungsdienst zu nutzen.

Über den Autor:

Diana Kelley ist Partner bei der Beratungsfirma SecurityCurve aus dem US-Bundesstaat New Hampshire. Zuvor hat sie als Vice President und Service Director beim Marktforschungsunternehmen Burton Group gearbeitet. Kelley hat umfangreiche Erfahrungen bei der Entwicklung von sicheren Netzwerk-Architekturen und Geschäftslösungen für große Unternehmen und hat Anbietern von Sicherheitssoftware viel strategisches, im Wettbewerb hilfreiches Wissen vermittelt.

Artikel wurde zuletzt im Dezember 2012 aktualisiert

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close