Andrea Danti - Fotolia
Erkenntnisse über Angriffe in Threat Intelligence umwandeln
Meist mangelt es Unternehmen nicht an Sicherheitstools, die die eigene IT überwachen. Oft können die gesammelten Informationen jedoch nicht wirkungsvoll zum Schutz genutzt werden.
Nach einem Sicherheitsvorfall müssen sich IT-Fachkräfte häufig Gedanken machen, wie es denn so weit kommen konnte. Dabei wird die Frage sowohl von der Geschäftsführung, als auch aus der eigenen Abteilung gestellt. Besonders, wenn Angriffswellen wie bei Ransomware große Aufmerksamkeit auf sich ziehen, stempelt man dies schnell als Versagen der Security-Teams ab.
Dabei sollte bedacht werden, dass bei derart vielen betroffenen Einrichtungen und Unternehmen kein einfaches Urteil gefällt werden kann. Betroffen waren bisher schon Hunderttausende Computer in mehr als 150 Ländern. IT-Abteilungen befinden sich offensichtlich im Belagerungszustand, denn Cyberkriminelle führen aggressive Kampagnen durch, die sich schnell verbreiten und hohen Schaden verursachen.
Das grundlegende Problem ist das veraltete Paradigma von Defense-in-Depth beim Thema Sicherheit. Der Fokus liegt auf der Abwehr und Vermeidung von Angriffen. Grundsätzlich nimmt man an, dass einem Angriffsvektor ein Schutzmechanismus entgegengestellt werden muss. Dabei gerät der wirkliche Bedrohungsgrat des individuellen Unternehmens und die Qualität der Abwehrmöglichkeit ins Hintertreffen.
Dass diese Ansätze an ihre Grenzen kommen, spüren IT-Sicherheitsverantwortliche bereits, denn Unternehmen stellen zunehmend fest, dass selbst die besten Abwehrmaßnahmen gehackt werden können. Die Attacken der Cyberkriminellen haben sich weiterentwickelt und durch immer bessere Malware und größeren Schwachstellen in einzelnen Systemkomponenten können Schutzmechanismen häufig überlistet werden. Die scheinbare Unfähigkeit der Fachabteilungen beim Thema Sicherheit liegt also nicht an menschlichem Versagen, sondern vielmehr an unzeitgemäßen Werkzeugen der Fachkräfte.
Nicht mit Pfeil und Bogen gegen Panzer und Raketen
Um einen besseren Überblick zu den Vorgängen zu erhalten, haben Unternehmen in den letzten Jahren immer mehr Sicherheitstools angeschafft. Viele davon dienen der Überwachung von bestimmten Systemen, einzelner Assets oder Netzwerksegmenten. Ziel ist dabei einerseits die Erkennung von Bedrohungen und andererseits die Reaktion auf ebendiese. Das hat sich als eine echte Herausforderung erwiesen, denn aufgrund einer Defense-in-Depth-Strategie verfügen viele Unternehmen über mehr als 40 Sicherheitsprodukte, die alle durch IT-Abteilungen verwaltet werden müssen – häufig durch unterschiedliche Teams mit spärlicher Kommunikation untereinander. Die Folge sind in der Regel Informationssilos.
Um beim Beispiel Ransomware zu bleiben bedeutet dies, dass es zwar irgendwo im System oder aus einer externen Quelle Details zu einer möglichen Bedrohung gibt, diese Information aber nicht in nutzbare Intelligence umgewandelt werden kann. Die Unternehmen sind demnach nicht rechtzeitig in der Lage, ihren Bedrohungsstatus festzustellen und die nötigen Schritte einzuleiten.
Administratoren sind gezwungen, die vorhandenen Informationen manuell in die einzelnen Tools einzupflegen und stehen damit vor einem massiven Datenmanagementproblem, da jede Architekturebene ihre eigenen Logs und Ereignisse kreiert. Zwar sind Werkzeuge im Unternehmen zur Abwehr theoretisch vorhanden, können aber nicht effizient eingesetzt werden.
Im Rahmen einer von ESG durchgeführten Studie gaben 42 Prozent der Sicherheitsexperten an, ihre Organisation ignoriere eine beträchtliche Anzahl an Sicherheitswarnungen aufgrund der Menge, und mehr als 30 Prozent antworteten, dass sie mehr als die Hälfte sogar ignorieren würden. In den meisten Fällen sind es die Mitarbeiter im Security Operation Center (SOC), die an diesen Daten ersticken, wenn sie sich an die beschwerliche Aufgabe der manuellen Korrelation von Logs und Ereignissen zu Prüfungszwecken und anderen Aktivitäten machen.
Bei dem Versuch, die Herausforderung der Datenflut zu bewältigen und den Analysten die schwere Bürde zu erleichtern, entwickelten sich die SIEM-Lösungen als eine Möglichkeit, all diese Daten zu speichern sowie Logs und Ereignisse aggregieren und korrelieren zu können. SIEM war das Mittel der Wahl für SOC, um Logs und Ereignisse zu bearbeiten und um festzustellen, ob es sich um Störungen, Falschmeldungen oder echte Bedrohungen handelt, die eine Weiterleitung rechtfertigen. Das Computer Security Incident Response Team (CSIRT) hat die Aufgabe, bösartige Bedrohungen zu stoppen und aus ihnen zu lernen, um dann dafür zu sorgen, dass sich die Abwehr kein weiteres Mal mit dem gleichen Angriff beschäftigen muss.
Mittlerweile ist aber auch dieser Ansatz überholt, denn Angriffe lassen sich heute leicht an die neuen Sicherheitsvorkehrungen anpassen. Daher stehen außerordentlich schwere Attacken samt Ereignismeldungen ebenfalls an der Tagesordnung. Wenn solche „Ausnahmen“ aber alle zehn Minuten eintreten, dann sind es keine Ausnahmen mehr, sondern ernstzunehmende Vorfälle. Der reine Fokus auf die Bewältigung von Angriffen und die Reaktion darauf passt dann nicht mehr. Security Operators und Incident Response-Teams brauchen Werkzeuge, die ihre Arbeit effizienter machen. Hier ist ein proaktiver Ansatz im Umgang mit Bedrohungen erforderlich. Dieser beginnt damit, die Bewegung und die Weiterentwicklung von Gegnern nach Location, Branchen und letztlich nach den Gegebenheiten ihrer speziellen Organisation zu verstehen.
„Durch die veränderte Gefahrenlandschaft brauchen die Mitarbeiter in den Fachabteilungen daher die Möglichkeit, vorhandenes Wissen ohne Umstände in ausführbare Threat Intelligence umzuwandeln.“
Markus Auer, ThreatQuotient
Mit Intelligence-basierten Workflows können Sicherheitsfachkräfte ihre Kenntnisse über Gegner und deren Entwicklungsgang nutzen, um die interne Überwachung zu verbessern. Gleichzeitig können sie Prioritäten setzen und sich auf relevante Bedrohungen konzentrieren, zudem Warnungen minimieren, die lediglich Störungen oder Falschmeldungen darstellen.
Sicherheitsteams können die Abwehrmaßnahmen verstärken, indem sie relevante Bedrohungsinformationen direkt an das Sensornetz (Firewalls, IPS, IDS, NetFlow, etc.) senden, um Richtlinien und Vorschriften neu zu erstellen beziehungsweise zu aktualisieren und die Organisation proaktiv vor künftigen Bedrohungen schützen.
Fazit
IT-Sicherheit wird immer mehr zu einem strategischen Thema, bei dem Geschäftsführungen über die Kosten und den Nutzen von Schutzmechanismen entscheiden und gleichzeitig die Risikosituation des eigenen Unternehmens bewerten. Das Problem dabei ist, dass die Stimme der Experten im Feld immer weniger vernommen wird und diese zunehmend in größere Problemsituationen kommen, wenn es darum geht, die verfügbaren Tools richtig einzusetzen.
Durch die veränderte Gefahrenlandschaft brauchen die Mitarbeiter in den Fachabteilungen daher die Möglichkeit, vorhandenes Wissen ohne Umstände in ausführbare Threat Intelligence umzuwandeln. Ansonsten bilden sich Silos und Organisationen verlieren die Kontrolle. In der Praxis bedeutet das mangelhafte Reaktionsfähigkeit und unzureichende Einsicht. Dies ist besonders kritisch, wenn ein Unternehmen gar nicht von einer Attacke bedroht ist – aber diese ausschlaggebende Information nicht abrufen kann.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!