Sie sind hier: HomeTelekommunikation

Cyber Threat Intelligence Plattform: Neue Grundlagen für Cybersicherheit

Fortsetzung des Artikels von Teil 1.

Schlüsselfähigkeit Data Mining

Solche Plattformen eignen sich nicht nur für Großunternehmen und benötigen auch kein großes Investment. Es gibt gezielte Service-Angebote, die sich für jede Branche und Mitarbeiteranzahl anpassen lassen. In jedem Fall macht es aber immer Sinn, die Fähigkeiten eines Angebots genauer unter die Lupe zu nehmen. Besonders ist hier das Thema Data Mining. Werden in einer Plattform beispielsweise folgende Attribute ausgewählt:

  • Malware-Familie
  • Geographie
  • Sprache

Jetzt kann durch Klassifikation das vorhandene Wissen über die Threat-Plattform genutzt werden, um zu prüfen, ob Angriffe gegen andere Organisationen auch eine Gefahr für die eigene sind. Wichtig ist dabei, dass eine solche Plattform möglichst granulare Kriterien erlaubt. Diese sollten sich einerseits auf persönliche Merkmale der eigenen User beziehen (wie Alter, Eigentümer, Nutzer-ID), aber auch auf andere Faktoren wie bekannte Schwachstellen, Betriebssystem oder Marke des Gerätes.

Auf Basis der ausgewählten Kriterien können Fachkräfte dann ihre Aktionen priorisieren, denn nicht alle Daten sind gleich relevant für das eigene Unternehmen. Eine Threat Intelligence-Plattform hilft, Bedrohungen zu bewerten und automatisch zu priorisieren. Ein wesentlicher Punkt ist hier, dass Organisationen sehr unterschiedliche Geschäftstätigkeiten, Sicherheitsoperationen und Risikoprofile aufweisen. Daher sind eine Bewertung und Priorisierung auf Basis von Parametern, die je nach individueller Situation angepasst werden können, besonders wichtig. Dazu gehört der Indikatortyp (IP-Adresse, Malware-Typ, Host-basiert vs. Netzwerk-basiert, usw.) und die Indikatorquelle (Open Source, kommerziell, branchenbasiert sowie interne Quellen, wie SIEM- und Ticketing-Systeme).

Markus Auer ThreatQuotient Bildquelle: © ThreatQuotient

Der Autor, Markus Auer, ist Regional Manager Central Europe bei ThreatQuotient.

Eine weitere Methode ist die Link-Analyse, bei der die Beziehungen zwischen Verbrechern, Transaktionen, Objekten, Servern, IP-Adressen und speziellen Malware-Familien bestimmt werden. Alle Methoden beim Enrichment zielen darauf ab, die Arbeit von Security-Teams effizienter zu machen und Verbindungen mit der Technologie und den Tools zu verbessern. Nach der Anreicherung muss die gebündelte Information dann automatisch mit den vorhandenen Sicherheitstools ausgetauscht werden – ohne, dass die eigenen Sicherheitsteams überlastet werden. Dabei geht es unter anderem darum, die eigene Firewall intelligenter zu machen und auf etwaige Bedrohungen einzustellen.

Prioritäten neu ordnen
Entscheider müssen verstehen, dass der richtige Umgang mit der veränderten Gefahrenlage eine Schlüsselkompetenz ist – hier entscheidet sich, wer wirklich von der Digitalisierung nachhaltig profitierten kann. Ein Unternehmen, das eine IT nicht auf ein sicheres Fundament stellt, wird später mit Sicherheit große Probleme haben. Wirtschaftsunternehmen müssen hier eine Vorreiterrolle einnehmen. Speziell der Aufbau einer Threat Intelligence-Plattform sollte auf der Agenda stehen. Durch eine Anpassung ihrer Sicherheitsstrategie können Organisationen ihre IT-Abteilungen entlasten und flexibler auf neue Bedrohungen reagieren. Es ist nur eine Frage der Zeit, bis eine neue Art von Angriffsmuster die Nachfolge von Ransomware und Cryptominern anstrebt.