FotolEdhar - Fotolia

Durchdachte IT-Sicherheit mit Threat Intelligence Libraries

In eine Bedrohungsbibliothek können externe Bedrohungsdaten wie interne Informationen aus SIEM und Firewall einfließen. Das hilft, Engpässe bei der Cyberabwehr zu schließen.

Seit Jahrzehnten wachsen die Investments in IT-Sicherheit. Firewalls, Web- und E-Mail-Sicherheitsgateways sowie Endpoint Security sind in vielen Unternehmen mittlerweile Standard. Im Laufe der Zeit haben diese Technologien zunehmend auf Bedrohungsinformationen zurückgegriffen, um Echtzeit-Blacklists für Malware-Signaturen, unsichere Domains und IP-Adressen, File Hashes und mehr zu erstellen. Obwohl das Budget für die Abwehr von Cyberangriffen steigt, wächst auch die Anzahl der Sicherheitslücken und damit die Unsicherheit von Organisationen.

Quelle dieses schlechten Gefühls ist das fehlende Wissen der eignen Gefahrenlage: Es gibt eine Angriffswelle, Sicherheitsanbieter haben aber noch keine Signatur, um die Bedrohung umgehend zu erkennen. Und wenn ein Vendor dann eine Attacke finden kann, so muss dessen Lösung tatsächlich implementiert werden. Natürlich kann man nur eine begrenzte Anzahl von Tools gleichzeitig nutzen. Dadurch hinken Unternehmen den Angreifern ohne entsprechende Mechanismen hinterher und ein direktes Blockieren oder Erkennen eine Attacke ist nicht mehr möglich.

Eine Basis für Security Operations und mehr

Unternehmen können es sich nicht leisten, mit Sicherheitslücken zu leben. Das müssen sie aber auch nicht. Oftmals haben sie bereits viel von den Fähigkeiten, die sie bräuchten, um diese Herausforderungen anzugehen. Sie müssen nur einen Weg finden, um die Technologien und Teams, die sie bereits einsetzen, besser zu nutzen.

Der Schlüssel ist die Erstellung einer eigenen lokalen Bedrohungsdatenbank, einer Threat Library, welche externe Bedrohungsinformationen aus unterschiedlichen Quellen, so genannten „Feeds“ (beispielsweise aus Open Source Intelligence (OSINT), MISP, oder kommerziellen Quellen) und interne Informationen von SIEM, Firewall, Vulnerability Assessment und andere Lösungen an einem zentralen Ort speichert, um Datensilos zu reduzieren.

Markus Auer, ThreatQuotient

„Durch die automatische Priorisierung von Bedrohungsinformationen kann eine Bedrohungsbibliothek bestimmen, wonach in einer Umgebung gesucht werden soll.“

Markus Auer, ThreatQuotient 

Bei der Verwendung von externen Feeds sollten mehrere Quellen gleichzeitig betrachtet werden, denn keiner deckt jeden Angriff ab. In einer Analyse unterschiedlicher Blacklists stellen Forscher der Carnegie Mellon University fest, dass sich die Inhalte selten überschneiden. Tatsächlich erschienen von den 123 überprüften Listen fast alle Indikatoren nur auf einer einzigen Liste. Darüber hinaus haben Geräte wie Firewalls eine Speicherbegrenzung für die Anzahl der Signaturen, die sie zu jedem Zeitpunkt speichern können. Der jeweilige Vendor entscheidet meistens über die Priorisierung. Eine Threat Library hilft dabei, die enorme Menge an gleichzeitig anfallenden Daten bewältigen und priorisieren zu können und schnell Kontext zu einzelnen IoCs (Indicator of Compromise) zu finden.

Der nächste wichtige Punkt ist die Relevanz der Bedrohungsdaten, da nur ein Bruchteil der eingehenden Informationen für das eigene Netz wichtig sind. Eine Threat Library stellt eine zusätzliche Liste von Signaturen bereit, die auf den Kontext und die Parameter des Unternehmens zugeschnitten sind, derart bewertet werden und somit vertrauenswürdig und relevant sind. Die Sammlung von Bedrohungsinformationen, die Priorisierung, und die Bereitstellung und Verteilung an Sicherheitswerkzeuge und Security Teams stellt sicher, dass die richtigen Informationen zur richtigen Zeit am richtigen Ort sind, um schnelle Entscheidungen zu treffen.

Eine eigene Threat Library kann zusätzlich auch Informationen inkludieren, die keinen direkten Sicherheitsbezug haben. DNS oder interne Server erstellen Protokolle, die wertvolle Daten liefern. Eine Bedrohungsbibliothek kann dieses Potenzial durch die Integration mit SIEM nutzen, indem sie Nicht-Sicherheits-Geräte in Sicherheitssensoren verwandelt. Die Zuführung von Rohdaten zu einem SIEM erzeugt viel Lärm, so dass die Bedrohungsbibliothek die Aufgabe hat, Rohdaten zu deduplizieren, zu normalisieren und zu priorisieren.

Zudem ist eine solche Bibliothek auch ein Gefahrengedächtnis. Man kann in der Zeit zurückgehen und neue Erkenntnisse über unterschiedliche Zeiträume prüfen. Dies erlaubt Organisationen eine Prüfung von Vorfällen, selbst wenn diese in der Vergangenheit nicht als kritisch eingestuft wurden. Dies bewahrt IT-Teams nicht nur vor doppeltem Aufwand durch schlechte Koordination, sondern automatisiert auch die Bedrohungssuche.

Fazit

Durch die automatische Priorisierung von Bedrohungsinformationen kann eine Bedrohungsbibliothek bestimmen, wonach in einer Umgebung gesucht werden soll. Mit diesem Fokus kann man Untersuchung starten, bei der mehrere risikoreiche Indikatoren importiert werden. Zudem können zusätzliche Datenpunkte miteinbezogen werden, um die komplette Infrastruktur inklusive interne Protokolldaten auf Bedrohungen zu prüfen. Da neue Daten und Erkenntnisse in die Bedrohungsbibliothek aufgenommen werden, werden die Informationen ständig neu priorisiert, um die laufende Bedrohungssuche zu unterstützen.

Durch die Zusammenführung der Sicherheitswerkzeuge, -technologien und -teams, die man bereits einsetzt, trägt eine zentrale Threat Intelligence-Bibliothek dazu bei, die zeitlichen Engpässe und physischen Sicherheitslücken zu schließen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Bedrohungsanalysen verstehen und richtig einsetzen

Einstieg in die Threat Intelligence

So kann man Erkenntnisse über Angriffe in Threat Intelligence umwandeln

Erfahren Sie mehr über Netzwerksicherheit