Bedrohungen erkennen, bewerten und verhindern
Der erste Schritt einer solchen Plattform ist Umsetzung von verfügbaren Informationen in ausführbare Security Intelligence, es geht also um die richtige Umsetzung von Abwehrmaßnahmen. So kann man durch Klassifikation die Störanfälligkeit reduzieren. Nimmt man zum Beispiel in einer Plattform folgende Attribute:
Malware-Familie
Geographie
Sprache
Jetzt kann man durch Klassifikation das vorhandene Wissen über die Threat-Plattform nutzen, um zu prüfen, ob Angriffe gegen andere Organisationen auch eine Gefahr für das eigene Unternehmen sind. Wichtig ist dabei, dass eine solche Plattform möglichst granulare Kriterien erlaubt. Diese sollten sich einerseits auf persönliche Merkmale der eigenen User beziehen (wie Alter, Eigentümer, Nutzer-ID), aber auch andere Faktoren wie Common Vulnerabilities and Exposures (CVE), OS oder Marke des Gerätes.
Auf Basis der ausgewählten Kriterien können Fachkräfte dann ihre Aktionen priorisieren, denn nicht alle Daten sind gleich relevant für das eigene Unternehmen. Die Nutzung einer entsprechenden Threat-Intelligence-Plattform hilft, Bedrohungen zu bewerten und automatisch zu priorisieren. Ein wesentlicher Punkt dabei ist, dass Organisationen sehr unterschiedliche Geschäftstätigkeiten, Sicherheitsoperationen und Risikoprofile aufweisen. Daher ist eine Bewertung und Priorisierung auf Basis von Parametern, die man je nach individueller Situation anpassen kann, besonders wichtig. Dazu gehören der Indikatortypen (IP-Adresse, Malware-Typ, Host-basiert vs. Netzwerk-basiert, usw.) und die Indikatorquelle (Open Source, kommerziell, branchenbasiert sowie interne Quellen, wie Ihre SIEM- und Ticketing-Systeme).
Zwar gibt es viele allgemeine Informationen, diese müssen aber in den richtigen Kontext gesetzt werden. Deshalb macht es Sinn entsprechende Analysetools einzusetzen. Die Methoden kann man mit dem Joker bei "Wer wird Millionär", vergleichen. Beispielsweise entspricht der Publikumsjoker, bei dem das Publikum eine Frage beantworten muss, im Grunde dem Crowdsourcing. Dabei dienen Security-Suiten zur Prüfung von Software. Wird dort Schadcode erkannt, wird dieses Know-how öffentlich verfügbar gemacht. In besonders ungewöhnlichen Fällen kann zur Informationsanreicherung zudem ein bestimmter Anbieter als Experte (oder Telefonjoker) hinzugeholt werden, um Unterstützung für diesen Angriffstyp zu bieten.
Eine weitere Methode ist die Link-Analyse, bei der die Beziehungen zwischen Verbrechern, Transaktionen, Objekten, Servern, IP-Adressen und speziellen Malware-Familien bestimmt werden. Alle Methoden zielen darauf ab, die Arbeit von Security-Teams effizienter zu machen und Verbindungen mit der Technologie und den Tools zu verbessern.
Nach der Analyse muss die gebündelte Information dann automatisch mit den vorhandenen Sicherheitstools ausgetauscht werden - ohne dass die eigenen Sicherheitsteams überlastet werden. Dabei geht es beispielsweise darum, die eigne Firewall intelligenter zu machen und auf etwaige Bedrohungen einzustellen.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Threat-Intelligence wird zur Pflicht
Der Wert des Threat-Intelligence-Marktes wird im nächsten Jahr 1 Milliarde Euro übersteigen. Grundsätzlich dreht sich bei Threat Intelligence alles um die Unterstützung der Sicherheits- und Abwehrstrategien von Unternehmen. Gerade in größeren Firmen werden IT-Sicherheit und der Umgang mit Threat Intelligence immer wichtiger. Entsprechen wachsen der personelle Aufwand und die Budgets. Damit diese Investitionen nicht ins Leere laufen, sollten Führungsetagen sich mit der Thematik befassen und ihren Fachkräften die richtigen Tools an die Hand geben.
Eine Threat Intelligence-Plattform sollte die vorhandene Informationen aus öffentlichen und kommerziellen Quellen bündelt und mit zusätzlichen Informationen aus einer Analyse anreichern. Eine solche Plattform erlaubt das Management von Bedrohungen, schon vor einer Attacke. Wenn dann eine Gefahr bekannt wird, können IT-Verantwortliche sofort den Bedrohungsgrad einschätzen und sind damit in einer wesentlich besseren Position, um Angriffe abzuwehren.
Threat Intelligence ermächtigt IT-Abteilungen dazu, einen proaktiven Cybersicherheitsansatz zu entwickeln. Bei über 5000 neuen Schwachstellen und 400 Millionen Malware-Varianten die jährlich auftauchen verdeutlichen, dass Organisationen bei ihrem Engagement für die Zukunft und darüber hinaus in die Offensive gehen und proaktiv handeln müssen. (hal)