Angesichts der wachsenden Angriffsfläche und der stetig zunehmenden Bedrohungskomplexität, ist die bloße Reaktion auf einen Vorfall nicht mehr ausreichend. Darüber hinaus bieten immer komplexere Umgebungen, Angreifern auch stetig mehr Angriffsmöglichkeiten. Jede Branche und jedes Unternehmen ist im Besitz individueller, schutzbedürftiger Daten und verwendet eine Reihe eigener Anwendungen, Technologien usw, was die möglichen Methoden zur Ausführung eines Angriffs um eine enorme Anzahl von Variablen darüber hinaus zusätzlich erweitert.
Innerhalb der letzten Jahre konnten wir eine Art Entgrenzung zwischen verschiedenen Arten von Bedrohungen und Bedrohungsakteuren beobachten. Methoden und Tools, die zuvor eine Bedrohung für eine begrenzte Anzahl von Unternehmen darstellten, haben sich im Laufe der Zeit auf einen deutlich breiter gefächerten Markt ausgebreitet. Ein Beispiel dafür ist das sogenannte Code Dumping der Gruppe Shadow Brokers; Diese stellte anderen kriminellen Gruppen – die unter normalen Umständen keinen Zugriff auf derart anspruchsvollen Code gehabt hätten – fortgeschrittene Exploits zur Verfügung. Ein weiteres Beispiel ist das Aufkommen von APT-Kampagnen (Advanced Persistent Threat), die ihren Fokus nicht auf Cyberspionage, sondern auf Diebstahl legen, um Geld für die Finanzierung anderer Aktivitäten, in der die APT-Gruppe involviert ist, zu finanzieren. Und die Liste geht immer weiter.
Ein neuer Ansatz ist notwendig
Immer mehr Unternehmen fallen fortgeschrittenen und zielgerichteten Angriffen zum Opfer; Eine erfolgreiche Abwehr erfordert daher zweifellos neue Methoden. Um sich zu schützen, müssen Unternehmen einen proaktiven Ansatz verfolgen und ihre Sicherheitskontrollen kontinuierlich an die ständig wechselnde Bedrohungslandschaft anpassen. Die einzige Möglichkeit, mit diesen Veränderungen mithalten zu können, ist die Erstellung und der Einsatz eines effektiven Threat Intelligence Programms.
Threat Intelligence hat als Schlüsselkomponente in Sicherheitsoperationen von Unternehmen unterschiedlicher Größe in allen Branchen und Regionen bereits Fuß gefasst. Threat Intelligence wird in maschinen- und menschenlesbaren Formaten zur Verfügung gestellt und kann Sicherheitsteams auf diese Weise während des gesamten Vorfallmanagementzyklus mit aussagekräftigen Informationen versorgen und strategische Entscheidungen treffen (siehe Abbildung 1).
Die wachsende Nachfrage nach externer Threat Intelligence hat jedoch zum Überfluss von Threat-Intelligence-Anbietern geführt, die eine Unzahl verschiedener Dienstleistungen zur Verfügung stellen. Ein umfangreicher und wettbewerbsfähiger Markt mit unzähligen, komplexen Möglichkeiten, die die Wahl der richtigen Unternehmenslösung zu einer extrem verwirrenden und frustrierenden Aufgabe machen können.
Threat Intelligence, die nicht auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten ist, kann dieses Problem zusätzlich verschlimmern. In vielen modernen Unternehmen verbringen Sicherheitsanalysten mehr als die Hälfte ihrer Zeit mit dem Aussortieren von Falschmeldungen, nicht aber mit der proaktiven Bedrohungsermittlung und Vorfallsreaktion, was zu einem deutlichen Anstieg der Erkennungszeiten führt. Ihre Sicherheitsoperationen mit unwichtigen oder ungenauen Informationen zu füttern, treibt die Anzahl der Fehlalarme zusätzlich in die Höhe und hat ernsthafte, negative Auswirkungen auf Ihre Reaktionsfähigkeiten sowie die allgemeine Sicherheit Ihres Unternehmens.
Die beste Threat Intelligence …
Wie kann man also die zahlreichen Threat-Intelligence-Quellen bewerten, diejenigen identifizieren, die am wichtigsten für Ihr Unternehmen sind und diese dann effektiv operationalisieren. Wie handlen Sie am besten die unzähligen, meist sinnlosen, Marketingstrategien, mit denen Sie so gut wie jeder Anbieter davon zu überzeugen versucht, dass seine Threat Intelligence die beste ist?
Obwohl diese Fragen durchaus gültig sind, sind sie definitiv nicht die ersten, die Sie sich stellen sollten. Angetan von auffälligen Nachrichten und hochgesteckten Versprechen, glauben viele Unternehmen, dass ein externer Anbieter sie mit einer Art allmächtigen Röntgenblick geben kann und übersehen dabei völlig die Tatsache, dass die wichtigsten Informationen im Umkreis des eigenen Unternehmensnetzwerkes liegen.
Daten von Intrusion Detection– und Prevention-Systemen, Firewalls, Anwendungsprotokollen und Protokollen anderer Sicherheitskontrollen können Aufschluss darüber geben, was im Netzwerk eines Unternehmens vor sich geht. Sie können Muster schädlicher Aktivitäten identifizieren, die sich konkret auf das Unternehmen beziehen, zwischen einem normalen Nutzer- und Netzwerkverhalten unterscheiden, dabei helfen, die Datenzugriffsaktivität zu verfolgen, ein potenzielles Datenloch identifizieren, das gestopft werden muss, und vieles mehr. Diese Transparenz erlaubt es Unternehmen wiederum, externe Threat Intelligence zu operationalisieren und an die internen Erkenntnisse anzuknüpfen (siehe Abbildung 2). Anderenfalls kann der Einsatz externer Quellen zu Problemen führen. Tatsächlich haben einige Anbieter – aufgrund ihrer globalen Präsenz und der Fähigkeit, Daten aus verschiedenen Teilen der Welt zu sammeln, zu verarbeiten und in Beziehung zu setzen – möglicherweise einen breiter gefächerten Einblick in bestehende Cyberbedrohungen. Dies ist jedoch nur dann sinnvoll, wenn auch genügend interner Kontext vorhanden ist.
Denken wie ein Angreifer
Um ein wirksames Threat-Intelligence-Programm zu erstellen, müssen Unternehmen – auch solche mit etablierten SOCs – wie professionelle Angreifer denken, um auf diese Weise die wahrscheinlichsten Ziele identifizieren und schützen zu können. Ein wirklich nützliches Threat-Intelligence-Programm erfordert ein klares Verständnis über und die Identifizierung der wichtigsten Ressourcen sowie der bedeutsamsten Datensätze und Geschäftsprozesse für die Erreichung der Unternehmensziele. Dies ermöglicht es Unternehmen, Datensammelpunkte zu errichten, um die erfassten Daten mit extern verfügbaren Bedrohungsinformationen weiter auszuarbeiten. Angesichts der begrenzten Ressourcen, über die Informationssicherheitsabteilungen normalerweise verfügen, ist die Profilerstellung eines gesamten Unternehmens ein gewaltiges Vorhaben. Die Lösung besteht darin, einen risikobasierten Ansatz zu verfolgen und sich zunächst auf die anfälligsten Ziele zu konzentrieren.
Sobald interne Bedrohungsdatenquellen definiert und operationalisiert wurden, kann das Unternehmen dann damit anfangen darüber nachzudenken, den bereits vorhandenen Workflows externe Informationen hinzuzufügen.
Eine Frage des Vertrauens
Externe Threat-Intelligence-Quellen unterscheiden sich in ihren jeweiligen Vertrauensstufen:
- Öffentlich zugängliche Quellen sind kostenlos, weisen allerdings häufig einen Mangel an Kontext auf und geben eine erhebliche Anzahl von Fehlalarmen zurück.
- Greifen Sie für einen guten Start auf branchenspezifische Communitys, z. B. das FS-ISAC (Financial Services Information Sharing and Analysis Center), zu. Diese Communitys liefern äußerst wertvolle Informationen, obwohl häufig eine Mitgliedschaft notwendig ist, um Zugriff zu erhalten.
- Kommerzielle Threat-Intelligence-Quellen sind deutlich vertrauenswürdiger, obwohl der Erwerb einer Zugriffslizenz teuer werden kann.
Das Leitprinzip für die Auswahl externer Threat-Intelligence-Quellen sollte definitiv immer Qualität vor Quantität sein. Einige Unternehmen sind möglicherweise der Ansicht, dass sie durch die Integration möglichst vieler dieser Quellen auch mehr Sichtbarkeit erlangen. Dies kann in einigen Fällen der Fall sein – beispielsweise dann, wenn es um besonders vertrauenswürdige Quellen geht. Dazu gehören unter anderem kommerzielle Quellen, die spezifische, auf das Bedrohungsprofil des Unternehmens abgestimmte Threat Intelligence bereitstellen. Andernfalls besteht ein erhebliches Risiko, dass Ihre Sicherheitsvorgänge mit irrelevanten Informationen überlastet werden.
Die Informationsüberschneidung, die spezialisierte Threat-Intelligence-Anbieter liefern, kann sehr gering sein. Da ihre Quellen und Sammelmethoden variieren, sind die Erkenntnisse, die sie zur Verfügung stellen, in einigen Aspekten einzigartig. Ein Anbieter, der beispielsweise in einer bestimmten Region häufiger vertreten ist, bietet sehr wahrscheinlich mehr Details über Bedrohungen, die von dieser Region ausgehen, während ein anderer Anbieter nähere Informationen zu bestimmten Arten von Bedrohungen liefert. Der Zugang zu beiden Quellen kann von Vorteil sein; Werden sie gemeinsam verwendet, können sie dazu beitragen, ein umfassenderes Bild zu vermitteln und eine effektivere Suche nach Bedrohungen und Maßnahmen zur Vorfallsreaktion zu ermöglichen. Bedenken Sie jedoch, dass vertrauenswürdige Quellen dieser Art auch eine sorgfältige vorherige Evaluierung erfordern, um sicherzustellen, dass die von ihnen zur Verfügung gestellten Informationen den spezifischen Anforderungen und Anwendungsfällen Ihres Unternehmens entsprechen, wie zum Beispeil Sicherheitsopertionen, Vorfallsreaktion, Risikomanagement, Schwachstellenmanagement, Red Teaming usw.
Dinge, die Sie bei der Beurteilung kommerzieller Threat-Intelligence-Angebote bedenken sollten
Derzeit gibt es noch keine einheitlichen Kriterien für die Beurteilung verschiedener kommerzieller Threat-Intelligence-Angebote. Beachten Sie jedoch Folgendes:
- Halten Sie nach Threat Intelligence mit globaler Reichweite Ausschau. Angriffe kennen keine Grenzen – ein Angriff auf ein lateinamerikanisches Unternehmen kann ebenso von Europa aus gestartet werden und umgekehrt. Bezieht der Anbieter Informationen aus der ganzen Welt und fasst er scheinbar nicht zusammenhängende Aktivitäten zu zusammenhängenden Kampagnen zusammen? Diese Art der Intelligence wird Ihnen dabei helfen, geeignete Maßnahmen zu ergreifen.
- Wenn Sie auf der Suche nach strategischeren Inhalten für Ihre langfristige Sicherheitsplanung sind, halten Sie Ausschau nach:
- Ein umfassendes Bild über Angriffstrends;
- Von Angreifern angewandte Methoden und Techniken;
- Beweggründe;
- Zuschreibungen, etc.,
Suchen Sie zudem nach einem Threat-Intelligence-Anbieter, der nachweislich komplexe Bedrohungen in Ihrer Region oder Branche aufdeckt und untersucht. Die Fähigkeit des Anbieters, seine Untersuchungen auf die spezifischen Ansprüche und Besonderheiten Ihres Unternehmens abzustimmen, ist ebenfalls entscheidend.
- Der Kontext macht aus Daten Intelligence. Bedrohungsindikatoren ohne jeglichen Kontext sind vollkommen wertlos – Sie sollten nach Anbietern suchen, die Ihnen bei der Beantwortung der Frage „Warum ist genau das wichtig?“ helfen. Der Beziehungskontext (z. B. Domains, die den erkannten IP-Adressen oder URLs, von denen die bestimmte Datei heruntergeladen wurde, zugeordnet sind) liefert einen zusätzlichen Wert, fördert die Vorfallsanalyse und unterstützt das „Scoping“ von Vorfällen, indem neu erworbene verwandte Kompromittierungsindikatoren im Netzwerk aufgedeckt werden.
- Es wird davon ausgegangen, dass in Ihrem Unternehmen bereits gewisse Sicherheitskontrollen und die damit verbundenen Prozesse vorhanden sind und dass es Ihnen wichtig ist, Threat Intelligence mit den Tools, die Sie bereits gebrauchen und kennen, zu verwenden. Suchen Sie daher nach Bereitstellungsmethoden, Integrationsmechanismen und Formaten, die eine reibungslose Threat-Intelligence-Integration in Ihre bereits vorhandenen Sicherheitsoperationen unterstützen.
Wir bei Kaspersky Lab konzentrieren uns bereits seit mehr als zwei Jahrzehnten auf die Bedrohungsforschung. Mit umfangreichen Bedrohungsdaten, fortschrittlichen maschinellen Lerntechnologien und einem einzigartigen Team globaler Experten unterstützen wir Sie mit der neuesten Threat Intelligence aus der ganzen Welt und helfen Ihnen dabei, sich vor bisher unbekannten Cyberangriffen zu schützen. Weitere Informationen finden Sie hier: https://www.kaspersky.de/enterprise-security/security-operations-center-soc