Zentrale Informationsplattform als Ausweg
Nun stellt sich die Frage, wie dieses Szenario aussehen würde, wenn die einzelnen Abteilungen über eine zentrale Bedrohungsdatenbank untereinander kommunizieren würden und Informationen problemlos austauschen könnten?
Das SOC reichert IoCs (Indicator of Compromise) durch die zentrale Bedrohungsdatenbank automatisch mit externen Informationen an und teilt diese mit den anderen Sicherheitsteams, um eine umfassendere Untersuchung und Korrelation mit anderen Aktivitäten zu ermöglichen. An dieser Stelle können für das Unternehmen nicht relevante Ereignisse bereits herausgefiltert und so die Last des Incident Response Teams reduziert werden. So können beispielsweise die Endpunkt- und Perimeter-Teams Hashes und Reputationslisten überprüfen, um die Bereiche zu blockieren, von denen bekannt ist, dass sie direkt oder indirekt vom Angriff betroffen ist.
Das Incident Response Team erhält durch eine zentrale Bedrohungsdatenbank schnell benötigten Kontext, kann somit weitere False/Postives eliminieren und teilt nun alle Informationen über den Angriff und die Abwehr, damit andere Teams an anderer Stelle im Netzwerk nach relevanten IoCs suchen können. So kann entsprechend darauf reagiert und das Risiko minimiert werden. Gleichzeitig kann der Schutz von den Endpunkt- und Perimeter-Teams entsprechend aktualisiert werden.
Das Schwachstellenteam erhält über die Bedrohungsdatenbank sofort und automatisch Informationen, ob sich Systeme im Netzwerk befinden, welche für einen Angriff verwundbar sind und welche Bedeutung das für das Unternehmen hat. Dadurch können Patches entsprechend priorisiert und gegebenenfalls ein automatischer Patchprozess gestartet werden.
Zudem ermöglicht eine Bedrohungsdatenbank dem SOC und dem CSIRT, zu sehen, ob die aktuelle Schwachstelle bereits in der Vergangenheit für einen Angriff auf das Unternehmen ausgenutzt wurde. Über eine retrospektive Analyse kann festgestellt werden, ob der IoC vor Wochen oder Monaten bereits erschienen ist, welches Ausmaß an Schaden der Angriff hatte und welche Abwehrmaßnahmen durchgeführt werden müssen.
Informations-Sharing erhöht IT-Security
Die CISOs sind auf dem richtigen Weg. Der Schlüssel zur Verbesserung der Security-Struktur besteht darin, Verbindungen zwischen den einzelnen Teams herzustellen und Informationssilos zu vermeiden. So können Informationen über Angriffe sofort geteilt und entsprechend reagiert werden. Das Wissen, das sich in jedem dieser Teams befindet, stellt die wertvollste und umsetzbare Bedrohungsintelligenz dar, die dem Unternehmen zur Verfügung steht - und dieses Wissen wäre verschenkt, würde es nicht nutzbar gemacht werden.
Um diese Verbindungen herzustellen und von diesem Wissen zu profitieren, benötigen Unternehmen eine zentrale Bibliothek, in der sie Bedrohungs- und Ereignisdaten aggregieren und durch Korrelation mit Indikatoren aus der Umgebung ergänzen können. Hierbei werden externe Bedrohungsinformationen, sogenannte Feeds (Open Source Intelligence (OSINT), MISP, kommerzielle Feeds, Enrichment Plattformen) und interne Informationen unter anderem von SIEM,Firewalls, Vulnerability Assessment in einer zentralen und lokalen Datenbank gespeichert. Daten werden automatisch aggregiert, normalisiert und die Relevanz für das Unternehmen überprüft. So ist es möglich, Arbeitsabläufe zu optimieren und die automatische Bereitstellung relevanter und priorisierter Bedrohungsinformationen in Echtzeit für eine orchestrierte und koordinierte Reaktion zu integrieren.
Durch die Zusammenführung von bereits genutzten Sicherheitsmaßnahmen und -diensten, Technologien und Bedrohungsinformationen, können Unternehmen sofortige Verbesserungen der IT-Security vornehmen. CISOs erhalten so ein vollständiges Lagebild aller verfügbaren Ressourcen und Aktivitäten und können alle vorhandenen Sicherheitslücken genau einschätzen. Mit diesem Wissen können globale Sicherheitssysteme effektiver weiterentwickelt werden. (hal)