{"id":19273,"date":"2019-05-20T16:28:43","date_gmt":"2019-05-20T14:28:43","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19273"},"modified":"2019-11-22T12:05:23","modified_gmt":"2019-11-22T10:05:23","slug":"evaluating-threat-intelligence","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/evaluating-threat-intelligence\/19273\/","title":{"rendered":"So w\u00e4hlen Sie die richtige Threat Intelligence"},"content":{"rendered":"

Angesichts der wachsenden Angriffsfl\u00e4che und der stetig zunehmenden Bedrohungskomplexit\u00e4t, ist die blo\u00dfe Reaktion auf einen Vorfall nicht mehr ausreichend. Dar\u00fcber hinaus bieten immer komplexere Umgebungen, Angreifern auch stetig mehr Angriffsm\u00f6glichkeiten. Jede Branche und jedes Unternehmen ist im Besitz individueller, schutzbed\u00fcrftiger Daten und verwendet eine Reihe eigener Anwendungen, Technologien usw, was die m\u00f6glichen Methoden zur Ausf\u00fchrung eines Angriffs um eine enorme Anzahl von Variablen dar\u00fcber hinaus zus\u00e4tzlich erweitert.<\/p>\n

Innerhalb der letzten Jahre konnten wir eine Art Entgrenzung zwischen verschiedenen Arten von Bedrohungen und Bedrohungsakteuren beobachten. Methoden und Tools, die zuvor eine Bedrohung f\u00fcr eine begrenzte Anzahl von Unternehmen darstellten, haben sich im Laufe der Zeit auf einen deutlich breiter gef\u00e4cherten Markt ausgebreitet. Ein Beispiel daf\u00fcr ist das sogenannte Code Dumping<\/em> der Gruppe Shadow Brokers<\/em>; Diese stellte anderen kriminellen Gruppen \u2013 die unter normalen Umst\u00e4nden keinen Zugriff auf derart anspruchsvollen Code gehabt h\u00e4tten \u2013 fortgeschrittene Exploits zur Verf\u00fcgung. Ein weiteres Beispiel ist das Aufkommen von APT-Kampagnen (Advanced Persistent Threat), die ihren Fokus nicht auf Cyberspionage, sondern auf Diebstahl legen, um Geld f\u00fcr die Finanzierung anderer Aktivit\u00e4ten, in der die APT-Gruppe involviert ist, zu finanzieren. Und die Liste geht immer weiter.<\/p>\n

Ein neuer Ansatz ist notwendig<\/strong><\/p>\n

Immer mehr Unternehmen fallen fortgeschrittenen und zielgerichteten Angriffen zum Opfer; Eine erfolgreiche Abwehr erfordert daher zweifellos neue Methoden. Um sich zu sch\u00fctzen, m\u00fcssen Unternehmen einen proaktiven Ansatz verfolgen und ihre Sicherheitskontrollen kontinuierlich an die st\u00e4ndig wechselnde Bedrohungslandschaft anpassen. Die einzige M\u00f6glichkeit, mit diesen Ver\u00e4nderungen mithalten zu k\u00f6nnen, ist die Erstellung und der Einsatz eines effektiven Threat Intelligence Programms.<\/p>\n

Threat Intelligence hat als Schl\u00fcsselkomponente in Sicherheitsoperationen von Unternehmen unterschiedlicher Gr\u00f6\u00dfe in allen Branchen und Regionen bereits Fu\u00df gefasst. Threat Intelligence wird in maschinen- und menschenlesbaren Formaten zur Verf\u00fcgung gestellt und kann Sicherheitsteams auf diese Weise w\u00e4hrend des gesamten Vorfallmanagementzyklus mit aussagekr\u00e4ftigen Informationen versorgen und strategische Entscheidungen treffen (siehe Abbildung 1).<\/p>\n

Die wachsende Nachfrage nach externer Threat Intelligence hat jedoch zum \u00dcberfluss von Threat-Intelligence-Anbietern gef\u00fchrt, die eine Unzahl verschiedener Dienstleistungen zur Verf\u00fcgung stellen. Ein umfangreicher und wettbewerbsf\u00e4higer Markt mit unz\u00e4hligen, komplexen M\u00f6glichkeiten, die die Wahl der richtigen Unternehmensl\u00f6sung zu einer extrem verwirrenden und frustrierenden Aufgabe machen k\u00f6nnen.<\/p>\n

\u00a0<\/p>\n

\"\"

Threat-Intelligence-orientierte Sicherheitsoperationen<\/p><\/div>\n

Threat Intelligence, die nicht auf die spezifischen Bed\u00fcrfnisse Ihres Unternehmens zugeschnitten ist, kann dieses Problem zus\u00e4tzlich verschlimmern. In vielen modernen Unternehmen verbringen Sicherheitsanalysten mehr als die H\u00e4lfte ihrer Zeit mit dem Aussortieren von Falschmeldungen, nicht aber mit der proaktiven Bedrohungsermittlung und Vorfallsreaktion, was zu einem deutlichen Anstieg der Erkennungszeiten f\u00fchrt. Ihre Sicherheitsoperationen mit unwichtigen oder ungenauen Informationen zu f\u00fcttern, treibt die Anzahl der Fehlalarme zus\u00e4tzlich in die H\u00f6he und hat ernsthafte, negative Auswirkungen auf Ihre Reaktionsf\u00e4higkeiten sowie die allgemeine Sicherheit Ihres Unternehmens.<\/p>\n

Die beste Threat Intelligence \u2026<\/strong><\/p>\n

Wie kann man also die zahlreichen Threat-Intelligence-Quellen bewerten, diejenigen identifizieren, die am wichtigsten f\u00fcr Ihr Unternehmen sind und diese dann effektiv operationalisieren. Wie handlen Sie am besten die unz\u00e4hligen, meist sinnlosen, Marketingstrategien, mit denen Sie so gut wie jeder Anbieter davon zu \u00fcberzeugen versucht, dass seine Threat Intelligence die beste ist?<\/p>\n

Obwohl diese Fragen durchaus g\u00fcltig sind, sind sie definitiv nicht die ersten, die Sie sich stellen sollten. Angetan von auff\u00e4lligen Nachrichten und hochgesteckten Versprechen, glauben viele Unternehmen, dass ein externer Anbieter sie mit einer Art allm\u00e4chtigen R\u00f6ntgenblick geben kann und \u00fcbersehen dabei v\u00f6llig die Tatsache, dass die wichtigsten Informationen im Umkreis des eigenen Unternehmensnetzwerkes liegen.<\/p>\n

Daten von Intrusion Detection<\/em>\u2013 und Prevention<\/em>-Systemen, Firewalls, Anwendungsprotokollen und Protokollen anderer Sicherheitskontrollen k\u00f6nnen Aufschluss dar\u00fcber geben, was im Netzwerk eines Unternehmens vor sich geht. Sie k\u00f6nnen Muster sch\u00e4dlicher Aktivit\u00e4ten identifizieren, die sich konkret auf das Unternehmen beziehen, zwischen einem normalen Nutzer- und Netzwerkverhalten unterscheiden, dabei helfen, die Datenzugriffsaktivit\u00e4t zu verfolgen, ein potenzielles Datenloch identifizieren, das gestopft werden muss, und vieles mehr. Diese Transparenz erlaubt es Unternehmen wiederum, externe Threat Intelligence zu operationalisieren und an die internen Erkenntnisse anzukn\u00fcpfen (siehe Abbildung 2). Anderenfalls kann der Einsatz externer Quellen zu Problemen f\u00fchren. Tats\u00e4chlich haben einige Anbieter \u2013 aufgrund ihrer globalen Pr\u00e4senz und der F\u00e4higkeit, Daten aus verschiedenen Teilen der Welt zu sammeln, zu verarbeiten und in Beziehung zu setzen \u2013 m\u00f6glicherweise einen breiter gef\u00e4cherten Einblick in bestehende Cyberbedrohungen. Dies ist jedoch nur dann sinnvoll, wenn auch gen\u00fcgend interner Kontext vorhanden ist.<\/p>\n

\"Operationalisieren<\/p>\n

Denken wie ein Angreifer<\/strong><\/p>\n

Um ein wirksames Threat-Intelligence-Programm zu erstellen, m\u00fcssen Unternehmen \u2013 auch solche mit etablierten SOCs \u2013 wie professionelle Angreifer denken, um auf diese Weise die wahrscheinlichsten Ziele identifizieren und sch\u00fctzen zu k\u00f6nnen. Ein wirklich n\u00fctzliches Threat-Intelligence-Programm erfordert ein klares Verst\u00e4ndnis \u00fcber<\/em> und die Identifizierung der<\/em> wichtigsten Ressourcen sowie der bedeutsamsten Datens\u00e4tze und Gesch\u00e4ftsprozesse f\u00fcr die Erreichung der Unternehmensziele. Dies erm\u00f6glicht es Unternehmen, Datensammelpunkte zu errichten, um die erfassten Daten mit extern verf\u00fcgbaren Bedrohungsinformationen weiter auszuarbeiten. Angesichts der begrenzten Ressourcen, \u00fcber die Informationssicherheitsabteilungen normalerweise verf\u00fcgen, ist die Profilerstellung eines gesamten Unternehmens ein gewaltiges Vorhaben. Die L\u00f6sung besteht darin, einen risikobasierten Ansatz zu verfolgen und sich zun\u00e4chst auf die anf\u00e4lligsten Ziele zu konzentrieren.<\/p>\n

Sobald interne Bedrohungsdatenquellen definiert und operationalisiert wurden, kann das Unternehmen dann damit anfangen dar\u00fcber nachzudenken, den bereits vorhandenen Workflows externe Informationen hinzuzuf\u00fcgen.<\/p>\n

Eine Frage des Vertrauens<\/strong><\/p>\n

Externe Threat-Intelligence-Quellen unterscheiden sich in ihren jeweiligen Vertrauensstufen:<\/p>\n