justinkendra - Fotolia

So beeinflussen moderne Threat-Intelligence-Tools die Netzwerksicherheit

Moderne Threat-Intelligence-Tools sollen die IT-Sicherheit standardisieren und verbessern. Unternehmen können so Netzwerke besser schützen.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Verwenden Sie sogenannte Threat Intelligence in Ihrem Unternehmen? Ist das der Fall, haben Sie möglicherweise das Fehlen von Standards bemerkt. Auch die Kooperation zwischen Firmen und Behörden hinsichtlich solcher Informationen lässt zu wünschen übrig.

Blickt man zurück auf die Anfangszeiten von InfraGard, einer Partnerschaft zwischen der FBI und dem privaten Sektor – und dadurch auch auf die Cybersecurity, die von US-Politikern gefordert wird–, gibt es einen Langzeitplan hinsichtlich Threat Intelligence. Es geht hier um das Sammeln, Analysieren und gemeinsame Nutzen von Informationen.

Heutzutage bilden sich neue Frameworks und Services. Sie sollen Unternehmen beim Verständnis helfen, wer ihren Netzwerken und Geschäften schaden will. Ich habe schon mit diversen Firmen in verschiedenen Branchen zusammengearbeitet. All diese hatten aber wenige Standards für die eingesetzte Threat Intelligence. Jedes Unternehmen geht anders an die Sache heran und benutzt differenzierte Quellen für Bedrohungsinformationen. Außerdem analysiert oder behandelt jeder die gesammelten Daten auf unterschiedliche Weise. Nur weil Unternehmen und Behörden wertvolle Informationen sammeln, heißt das aber noch lange nicht, dass sie diese auch verwerten, wie sie sollten. In vielen Fällen kommt es wohl vor, dass die IT-Abteilung und Security-Mitarbeiter, die die Daten überprüfen, nicht einmal genau wissen, was sie da gerade vor sich haben. Möglicherweise können sie die Informationen auch nicht für ihre spezielle Situation anwenden.

In diesem Tipp gehen wir auf die neuen Threat-Intelligence-Tools und die modernen Industriestandards ein. Weiterhin sehen wir uns an, wie man Tools und Standards für den Einsatz im Unternehmen besser evaluiert.

Aufkommende Threat Intelligence Tools und Standards

Einige Threat-Intelligence-Tools und -Standards haben den Durchbruch niemals geschafft. Gartner Inc. hat allerdings einige Informationen zum Thema Threat-Intelligence-Standards zur Verfügung gestellt. So kommt etwas Licht ins Dunkel bei diesem schwer zu fassenden Security-Bereich. Dazu gehören:

  • CyboX (Cyber Observable eXpression) ist eine Sprache oder ein Schema, das von der MITRE Corp. betrieben wird. Es dient der Spezifikation, dem Sammeln, der Charakterisierung und der Kommunikation von Vorfällen oder zustandsbehafteten Eigenschaften, die man im operativen Bereich beobachtet.
  • OpenIOC (Open Indicators of Compromise) ist ein Framework, mit dem man Threat Intelligence teilen kann. Es wurde von der  MANDIANT Corp. ins Leben gerufen. Darin ist ein XML-Schema für die Beschreibung der technischen Charakteristiken definiert. Diese identifizieren Bedrohungen, die Methodik eines Angreifers oder andere Beweise einer Kompromittierung.
  • STIX (Structured Threat Information eXpression) ist eine Sprache, die ebenfalls von MITRE entwickelt wurde. Sie setzt auf CyboX, um Bedrohungsinformationen auf eine standardisierte und strukturierte Weise zu beschreiben.
  • Taxii (Trusted Automated eXchange of Indicator Information) ist eine weitere Kreation aus dem Hause MITRE. Damit wird ein Satz an Services und Nachrichtenaustauschmethoden definiert, mit der man verfolgbare Bedrohungsinformationen firmenübergreifend teilen kann. Ein gemeinsames Nutzen zwischen diversen Produkten und Services ist natürlich ebenfalls möglich.

Zu den kommerziellen Anbietern in diesem Bereich gehören Cyveillance Inc. und DigitalStakeout Inc. Selbst Maltego hat eine Existenzberechtigung in dieser Diskussion. Es handelt sich hier um ein Tool von Paterva, das bei Informationssicherheits-Consultants und Penetrationstestern beliebt ist.

Das richtige Threat-Intelligence-Tool finden

Es gibt viele theoretische Vorteile durch das Sammeln und Teilen der angesprochenen Threat Intelligence. Dafür verwendet man die oben erwähnten Open-Source-Tools oder kommerzielle Werkzeuge. In einer perfekten Welt könnten alle Firmen, Organisationen und Behörden gegen die Cyberkriminellen und relevante Bedrohungen kämpfen, indem sie eine offene Garnitur an Threat-Information-Tools einsetzen.

An dieser Stelle muss man allerdings auch auf den Frustfaktor hinweisen.

Wem kann man nun wirklich die Informationen anvertrauen, die man über das Netzwerk eines Unternehmens gesammelt hat? Welchen speziellen Informationsquellen kann eine Firma vertrauen? Wollen sich Organisationen wirklich auf die Empfehlungen Dritter verlassen? Wie werden die Unternehmen alles unter einem Hut bringen, um relevante Reaktionen auf Datensicherheitsverletzungen zu kreieren, sowie die Risiken zu minimieren und entsprechende Strategien und Taktiken auszuarbeiten?

Die Realität sieht so aus, dass die meisten Unternehmen weder Zeit, noch Geld oder notwendige Ressourcen haben, um das auf die Beine zu stellen. Der Vergleich mit Ländern und Terrorbedrohungen hinkt an dieser Stelle nicht wirklich. Die Ressourcen sind nun einmal limitiert und die Terroristen oder Angreifer werden den guten Jungs immer ein paar Schritte voraus sein.

Springen Sie nicht blind auf den Zug Threat Intelligence auf. Es gibt hier viel Marketing-Gefasel im Netzwerk-Security-Universum. Sehen Sie sich lieber das Gesamtbild an. Unternehmen sollten sich nachfolgende Fragen stellen:

  • Was wollen wir erreichen?
    Eventuell benötigt ein Unternehmen detaillierte Einblicke zu spezieller Threat Intelligence für die relevante Branche. Die Firma möchte die IT-Risiken minimieren oder will lediglich einen Haken setzen können, damit die Auditoren zufrieden sind. Sollten sich Firmen nur auf Open Source verlassen? Ist es möglicherweise besser, sich an einen kommerziellen Anbieter zu wenden? Viele Menschen investieren in Security-Technologien und machen sich niemals darüber Gedanken, warum sie das eigentlich tun. Seien Sie sich über Ihre Ziele im Klaren.
  • Sollte man existierende Netzwerk- und Security-Technologien nutzen, die mit Threat-Intelligence-Tools zusammenarbeiten oder diese anderweitig unterstützen?
    Zu den möglichen Bereichen gehören an dieser Stelle Malware-Schutz, Netzwerkanalyse, Monitoring von sozialen Medien, Ereignisse in einen Zusammenhang bringen, sowie SIEM-Systeme (Security Information and Event Management). Selbst der Schutz der Konzernmarke fällt in diesen Bereich.
  • Kann das Unternehmen Threat-Intelligence-Quellen über den existierenden Anbieter abonnieren?
    Viele Anbieter wie zum Beispiel Cisco und Dell integrieren diese Art an Informationen in die eigenen Produkte und Services.
  • Wer ist für das Management zuständig?
    Immer wenn eine Firma etwas Neues bei der Netzwerksicherheit einführt, muss sie normalerweise dafür etwas aufgeben, an dem aktuell gearbeitet wird. Denkbar ist natürlich auch, dass man zusätzliche Ressourcen bereitstellt oder Mitarbeiter einstellt, die sich um die Neuerungen kümmern. Ist dafür genug Budget vorhanden?
  • Wie misst ein Unternehmen Erfolg?
    Netzwerk-Threat-Intelligence ist sexy und cool. Ab einem gewissen Zeitpunkt braucht ein Unternehmen aber auch messbare Resultate verglichen mit den Informationen, die man sowieso aus den bisherigen Netzwerk-Security-Produkten herausholen konnte.

Im Endeffekt sollen all diese Threat-Intelligence-Ressourcen einer Organisation helfen, bessere Entscheidungen aufgrund besserer Informationen zu treffen. Das Ziel ist es, die Informationsrisiken zu minimieren.

Ich bin der festen Überzeugung, dass ein Unternehmen die besten Informationsoptionen einkaufen, die bestmögliche Technologie im Einsatz haben und auf dem Papier absolut sicher aussehen kann. Dennoch ist es meiner Meinung nach denkbar, dass das entsprechende Netzwerk total unsicher ist, da eine einfach zu knackende Komponente in den unzähligen IT- und Security-Management-Prozessen einfach übersehen wurde.

Nach meinen Erfahrungen und was ich aus den jährlichen Berichten zu Datensicherheitsverletzungen herauslesen kann, müssen die meisten Unternehmen in Sachen Security-Schwachstellen erst einmal vor der eigenen Haustüre kehren. Erst danach würde es Sinn ergeben, sich mehr mit den Bedrohungen zu befassen. Bereinigen Sie die Quelle der Schwachstelle, dann beißen sich Angreifer an dieser Stelle die Zähne aus.

Das soll nun aber nicht heißen, dass es für Threat Intelligence keine Existenzberechtigung gibt. Das gilt vor allen Dingen für Branchen mit höheren Risiken und Regierungsbehörden.

Unternehmen sollten sich CyboX, OpenIOC, STIX und Taxii ansehen und auch die oben erwähnten kommerziellen Produkte. Unternehmen ohne eine Threat-Intelligence-Strategie wären damit besser bedient. Selbst solche profitieren möglicherweise, die schon ein sehr ausgereiftes Threat-Intelligence-Programm haben. Vielleicht sind sie in der Lage, die Standards zusammen mit existierenden Kontrollmechanismen zu verbinden.

Wichtig ist, sich vor einem Problem oder einem Angriff überhaupt mit Threat Intelligence zu befassen. Viele sehen Threat Intelligence als etwas, mit dem man sich im Nachhinein beschäftigen muss oder als eine Sache, mit der sich Anbieter und Behörden plagen sollten. Das entspricht ganz einfach nicht der Wahrheit.

Allerdings hängt das komplette Thema derzeit noch in der Luft. Aus diesem Grund müssen sich interessierte Unternehmen im Moment noch um sich selbst kümmern.

Über den Autor:
Kevin Beaver arbeitet als Berater, Gutachter und Referent zum Thema Informationssicherheit für Principle Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments und Risiko-Management-Analysen. Beaver ist zudem Autor und Co-Autor zahlreicher Bücher, darunter „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Einführung in Threat Intelligence Services für Unternehmen

Die besten Threat-Intelligence-Services im Vergleich

Netzwerk-Sicherheit: Threat Intelligence Feeds analysieren ein Meer an Daten

Wie wertvoll sind Cloud-Sicherheitsdienste für Threat Intelligence?

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close