6. September 2018 | Artikel drucken | |

IT-Security – mit Thread-Intelligence den Unternehmenserfolg sichern

Sicherheit ist in Unternehmen ein wichtiges Thema. Thread-Intelligence wird essentieller Baustein der IT-Security, um nicht nur Bedrohungen zu erkennen und zu verhindern, sondern auch langfristig den Unternehmenserfolg zu sichern. 

Die IT-Landschaft weitet sich aus und erhöht damit die Notwendigkeit, neben der Abwehr und der Erkennung von Cyberattacken auf „Adaptive Security Architecture“, also auf die Voraussage und das aktive Management von Incidents, zu setzen.  Die Anzahl an vernetzten Geräten und Personen steigt rapide und bietet eine vergrößerte Angriffsfläche. Um die erhöhte Zahl an Vorfällen bewältigen zu können, werden dringend Fachleute und neues Personal benötigt. Ebenso erfordern die Bereiche Predict und Prevent nicht nur Fachpersonal und das richtige Werkzeug, sondern auch eine Strategie zur Führung und Koordination von Security Operations.

Sind Angriffe oftmals finanziell motiviert, so stellen Hacktivismus, Cyberkrieg und Cyberspionage weitere mögliche Gründe dar. Um die Problematik anzugehen und den nächsten Angriff zu erkennen und zu verhindern, muss das eigene IT-Sicherheitsteam richtig aufgestellt und vorbereitet sein.

Jeder Sicherheitsvorfall weltweit liefert hunderte IOC (Indicators of Compromise), also eine Liste von Daten über Bedrohungen. IOC können mit der Host Evidence des Opfers (wie Malware-Typ, Dateiname, Hash-Datei und Registrierungsschlüssel), aber auch mit den Kommunikationswegen zum schädlichen Link (wie IP-Adresse, Domain-Name, URL und Port-Nummern) zusammenhängen. IT-Fachkräfte müssten täglich eine enorme Anzahl an Indikatoren untersuchen und in die Informationen in die bestehenden Sicherheitstools einpflegen, wofür oftmals die Zeit fehlt.

Thread Intelligence Plattformen

Die Anbieter von Thread-Intelligence,  Open-Source-Projekte und öffentliche Quellen, die IOCs analysieren und Threat-Feeds veröffentlichen, versuchen die aktuelle Bedrohungslandschaft so gut wie möglich abzubilden. Damit Organisationen dieses Wissen integrieren und nutzbar machen können, wurden Threat-Intelligence-Plattformen eingeführt. So werden alle Teile an einem Speicherort zusammengeführt und ein Gesamtbild der Bedrohung dargestellt.
Durch die Plattform werden Daten gewonnen, die zum Verständnis beitragen und Kontext hinzugefügen. Dadurch können Analysen und Untersuchungen durchgeführt und Informationen aus den Prozessen und Tools eines Unternehmens effektiv genutzt werden.

Die richtige Umsetzung von Abwehrmaßnahmen

Die verfügbaren Informationen einer solchen Plattform müssen in eine ausführbare Security Intelligence umgesetzt werden. Durch die Klassifikation der Informationen soll die Störanfälligkeit reduziert werden: Das Wissen aus der Plattform wird genutzt um festzustellen, welche Angriffe eine Gefahr für das eigenen Unternehmen darstellen.  Dafür sollten sich die Kriterien der Plattform auf Merkmale wie Alter oder Nutzer-ID der eigenen User sowie ebenso auf andere Faktoren wie Marke des Geräts oder Common Vulnerabilities and Exposures beziehen.

Fachkräfte wählen die relevanten Kriterien aus und priorisieren auf dieser Basis Aktionen. Da Organisationen sehr unterschiedliche Geschäftstätigkeiten, Sicherheitsoperationen und Risikoprofile aufweisen, sind nicht alle Daten gleich wichtig. Je nach Situation werden Parametern wie Indikatortypen und Indikatorquelle angepasst, und Bedrohungen auf dieser Basis bewertet.

Die Vielzahl an allgemeinen Informationen muss zudem mit Hilfe von Analysetools in den richtigen Kontext gesetzt werden. Security-Suiten dienen zur Prüfung von Software, um dort Schadcodes zu erkennen und das Wissen darüber öffentlich zu teilen. Wird mehr Information über einen Angriffstyp benötigt, werden bestimmte Anbieter als Experten hinzugezogen.
Um Beziehungen zwischen Verbrechern, Transaktionen, Objekten, Servern, IP-Adressen und speziellen Malware-Familien zu bestimmen, wird als weitere Methode die Link-Analyse angewandt.

Um die eigene Firewall zu verbessern und auf Bedrohungen einzustellen, müssen die gebündelten Informationen nach der Analyse automatisch mit den Sicherheitstools ausgetauscht werden, ohne dabei das Sicherheitsteam zu überlasten.

Thread Intelligence als Pflicht

Zur Unterstützung der Sicherheits- und Abwehrstrategien von Unternehmen wird Threat Intelligence zur Notwendigkeit. Führungskräfte sollten sich mit der Thematik befassen, um Budgets richtig zu verteilen und der steigenden Zahl an Fachkräften die nötigen Tools an die Hand zu geben.
Die Nutzung einer Threat-Intelligence-Plattform hilft dabei, Gefahren sofort einzuschätzen sowie Bedrohungen schon vor der Attacke zu erkennen und im Fall eines Angriffs abzuwehren. So können IT-Abteilungen durch Threat Intelligence einen proaktiven Cybersicherheitsansatz entwickeln und der Vielzahl an Schwachstellen und Malware-Varianten offensiv gegenübertreten.


Dieser Beitrag basiert auf einem Artikel der ComputerWoche.

Quelle Titelbild: iStock / teekid

Hier schreibt Redaktion für Sie

Mehr Artikel vom Autor