Sie sind hier: HomeTelekommunikation

Cyber Threat Intelligence Plattform: Neue Grundlagen für Cybersicherheit

Die Gefahrenlage hat sich grundlegend geändert und jedes Unternehmen gerät früher oder später ins Visier von Cyberkriminellen. Die meisten Chefetagen sehen Handlungsbedarf, das verdeutlicht auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht

Axis Bildquelle: © Axis Communications

Im BSI-Lagebereicht sieht man ebenfalls die Privatwirtschaft am Zug: „Es ist allerdings nicht nur der Staat alleine gefragt: Wenn es um den Schutz in der Wirtschaft geht, bleiben die Unternehmen selbst aufgerufen, ihre IT-Sicherheitsmaßnahmen zu intensivieren und an neue Herausforderungen anzupassen.“ Der Aufruf ist klar und simpel: Geschäftsführungen müssen dafür sorgen, dass Sicherheitsstrategien angepasst und um entsprechende Mechanismen erweitert werden – sonst lässt sich der Bedrohungssituation nicht Herr werden. Gartner rät Unternehmen, ihre bestehenden Lösungen und Prozesse im Bereich Security zunächst zu optimieren, bevor sie neue Schutzmechanismen anschaffen. Dabei spricht der Analyst von der „Adaptive Security Architecture“, die nicht länger ausschließlich aus der Abwehr (Respond) und der Erkennung (Detect) von Cyberattacken bestehen, sondern auf die Voraussage und aktives Management von Incidents Wert legen.

Dabei geht es nicht darum, eine immer größere Anzahl von Security-Tools zu implementieren, vielmehr müsste eine passende Plattform geschaffen werden. In dieser sollen alle Komponenten, auch die Software eines Unternehmens, erfasst und überwacht werden. Ziel ist die Gewinnung von ausführbarem Know-how – der Cyber Threat Intelligence. Gleichzeitig muss diese Basis mit vorhandenem Wissen gekoppelt werden. Das BSI, Open-Source-Communities, aber auch kommerzielle Anbieter liefern Informationen über Angreifer, deren Motivation, Taktiken und Vorgehensweisen sowie dazugehörende Indicators of Compromise (IoCs) in Form von Threat Feeds. Organisationen müssen in der Lage sein, ihre internen Prozesse mit externem Wissen abzugleichen und Anzeichen von Angriffen entsprechend nachzugehen.

Nicht jedes Unternehmen ist immer im gleichen Maße betroffen. Daher ist der Abgleich von verfügbaren Informationen und tatsächlichen Vorfällen im eigenen Firmennetzwerk unabdingbar. Nur so können eine angepasste Klassifizierung und Priorisierung durchgeführt werden. Um Fachabteilungen nicht zu überlasten, sollte dieser Vorgang automatisiert stattfinden. Ziel muss es sein, die eigenen IT-Sicherheitsteams richtig aufzustellen und vorzubereiten.

Was ist wichtig bei einer Cyber Threat Intelligence Plattform?
Automatisierung ist gerade beim Umgang mit Cyberattacken immer ein schwieriges Thema – schließlich ist eine Plattform mit vielen kritischen Assets verbunden. Es ist allerdings zu bedenken: Jeder Sicherheitsvorfall weltweit liefert Hunderte von IOCs. Dabei geht es nicht nur um Malware-Signaturen, sondern auch um verbundene Personen, Registrierungsschlüssel und Kommunikationswege – wie IP-Adressen, Domain-Name, URL und Port-Nummern. Das Problem besteht darin, dass die Daten nicht immer verknüpft sind und eine enorme Menge durchsucht werden muss. Vier Threat Intelligence-Quellen, die vielleicht nur 300 Indikatoren pro Tag liefern, generieren aber auf ein Jahr gesehen mindestens 500.000 Indikatoren. IT-Fachkräfte haben nicht die Zeit, alle Indikatoren zu untersuchen und jede Information in die bestehenden Sicherheitstools (IPS, Firewalls, usw.) zu integrieren. Am Ende führt das zu Tonnen von Falschmeldungen und schlechter Performance.

Der Input von Threat Intelligence-Anbietern ist enorm, denn sie versuchen auf die veränderte Gefahrenlandschaft zu reagieren. Jeder Anbieter fügt dem Puzzle ein weiteres Teil hinzu, um die aktuelle Bedrohungslandschaft so gut wie möglich abzubilden. Eine Threat-Intelligence-Plattform zeichnet sich daher vor allem dadurch aus, eine lokale Bedrohungsdatenbank, auch Threat Library, aufzubauen, in der alle Bedrohungsinformationen aus externen und internen Quellen an einem zentralen Ort gespeichert werden. Im Weiteren sollen dann Daten automatisiert aggregiert, normalisiert und de-dupliziert, sowie Relevanz und Priorität für das eigene Unternehmen mittels eines Scoring-Systems geprüft werden. Die Threat Library dient damit als „Single Source of Truth“ für alle Teams und Systeme innerhalb des Unternehmens. So wird aus unterschiedlichen Stücken ein möglichst konkretes Lagebild erstellt, IT-Verantwortliche entlastet und die richtigen Schritte priorisiert.