Die besten Threat-Intelligence-Services im Vergleich

Der Security-Experte Ed Tittel vergleicht in diesem Artikel verschiedene Anbieter von Threat-Intelligence-Services und gibt Tipps für die Auswahl.

Threat-Intelligence-Services liefern Informationen über Cyberangriffe und andere Sicherheitsbedrohungen. Damit können Unternehmen Gefahren schnell erkennen und die Schwachstellen ihrer IT-Infrastruktur schützen. Basis dafür sind weltweit gesammelte Daten über Bedrohungen und Angriffe. Ziel der Threat-Intelligence-Services ist es, aus der Analyse dieser Daten verwertbare Informationen über potenzielle Hackerangriffe zu gewinnen und diese im Idealfall präventiv zu verhindern. Mit dieser „Sicherheitsintelligenz“ ist es auch möglich, die Abwehrmaßnahmen auf die besonders wahrscheinlichen oder tatsächlich vorliegenden Bedrohungen abzustellen.

Der Security-Experte Ed Tittel nimmt in diesem Artikel verschiedene Anbieter von Threat-Intelligence-Services unter die Lupe. Er zeigt, wie sie sich voneinander unterscheiden und wie sie die Sicherheitsanforderungen von Unternehmen erfüllen.

Viele Unternehmen stehen heute vor der Herausforderung, Daten über Bedrohungsszenarien und Hackerangriffe, die aus verschiedenen Quellen stammen, in verwertbare und kontextrelevante Informationen zu verwandeln. Es kann sehr leicht passieren, bei der Analyse der großen Datenmengen Zusammenhänge und verdächtige Muster zu übersehen oder falsch zu interpretieren.

Um dies zu vermeiden, können Unternehmen einen externen Dienstleister für Threat-Intelligence-Services engagieren oder eine Threat-Intelligence-Management-Plattform buchen. Diese sammeln, filtern und analysieren die Daten und stellen sie in Standardformaten für die Integration in eine Vielzahl von Security Appliances und -Systemen bereit. Viele dieser Dienste liefern auch detaillierte Berichte, die speziell auf die Gefahren für einzelne Branchen oder sogar einzelne Unternehmen zugeschnitten sind.

Die Auswahl des idealen Anbieters von Threat-Intelligence-Services kann für das jeweilige Unternehmen aber sehr zeitaufwändig sein. Am Anfang steht die Bedarfs- und Anforderungsanalyse, sprich die interne Bewertung der Geschäftsprozesse, IT-Infrastruktur und Sicherheitslage eines Unternehmens. Darüber hinaus sollten die Firmen prüfen, inwieweit sie selbst mit eigenen Ressourcen in der Lage sind, die Daten über die Bedrohungen auszuwerten und entsprechende Maßnahmen daraus abzuleiten. Weil die Kosten für Security oder Threat Intelligence sehr hoch werden können, sollten Unternehmen die Funktionen der Anbieter genau prüfen, verschiedene Service-Provider vergleichen und auch Unternehmen aus der eigenen Branche kontaktieren, die bereits einen entsprechenden Dienst einsetzen.

Dieser Artikel vergleicht Anbieter von sehr gut bewerteten Threat-Intelligence-Services wie Cyveillance, Dell, FireEye, IID, LogRhythm, RSA, Symantec und Verisign nach folgenden Kriterien: Daten-Feeds und Analyse-Fähigkeiten, Anforderungen an Hardware und Software, Warnmeldungen (Alerts) und Berichte, Kosten und Support.

Daten-Feeds

Mit Ausnahme von LogRhythm bieten alle genannten Unternehmen Daten-Feeds im Abonnement an. Diese unterscheiden sich nur im Format oder inwieweit sie spezielle Hardware und Software oder proprietäre Plattformen benötigen.

Cyveillance bietet in einem einzigen Abonnement zum Beispiel XML-basierte Daten-Feeds für sehr riskante Hosts, Domainnamen, Webseiten, schadhafte Malware und IP-Adressen an. IID liefert drei ActiveTrust Daten-Feeds, die Unternehmen in Standard Datei-Formaten wie CSV alle 20 Minuten oder über ein Application Programming Interface (API) so oft wie gewünscht herunterladen können. Kunden des Dell SecureWorks Premium Global Threat-Intelligence-Services können drei verschiedene Feeds (Schwachstellen, Bedrohungen und Beratung) via XML in ihre bestehende Infrastruktur integrieren.

Symantec bietet drei DeepSight Intelligence Daten-Feeds zu Reputation, Sicherheitsrisiken und Schwachstellen. Reputation-Daten-Feeds sind über eine SOAP-Web-Service-Verbindung in XML, CSV und Common Event Format (CEF) verfügbar; die Daten-Feeds zu Sicherheitsrisiken und Schwachstellen gibt es nur in XML. Hier bestimmen die Kunden, wie oft sie Updates erhalten wollen: zum Beispiel alle 15 Minuten, jede Stunde oder täglich.

FireEye offeriert drei aufeinander aufbauende Daten-Feeds: Dynamic Threat Intelligence (DTI), Advanced Threat Intelligence (ATI) and Advanced Threat Intelligence Plus (ATI+). DTI ist das Basisangebot mit Erkennung und Blockade fortschrittlicher Angriffe und stündlichen Updates. Allerdings lassen sich diese Feeds, ebenso wie die von RSA und Verisign, nur mit einer proprietären Lösung oder einer begrenzten Anzahl von Sicherheitssystemen von Drittanbietern einsetzen.

LogRhythm ist ein fortschrittliches System für Log-Management und Security Information und Event Management (SIEM), das Maschinendaten erfasst und analysiert sowie künstliche Intelligenz verwendet, um bislang unentdeckte und neu entstehende Bedrohungen zu identifizieren.

Ausstattung und Infrastruktur

Da Cyveillance, Dell Secureworks, IID und Symantec ihre Daten-Feeds in Standard-Formaten verteilen, lassen sie sich problemlos in Systeme zum Perimeterschutz wie Firewalls, SIEM-Systeme und andere Sicherheitsanwendungen integrieren. Die Feeds von Cyveillance und IID sind auch mit anderen Feeds zu verknüpfen. So können Unternehmen die IID Feeds mit dem Feed ThreatCloud IntelliStore von Check Point integrieren und in Firewalls von Check Point einsetzen. LogRhythm ist mit fast jedem Security-Produkt kompatibel, weil der Anbieter Daten auf Protokollebene (Logging) sammelt.

Unternehmen, deren Sicherheitsinfrastruktur keine Daten-Feeds von Drittanbietern akzeptiert, oder die den ersten Schritt in Richtung Threat Intelligence unternehmen, sollten Lösungen wie FireEye, RSA Live oder Verisign iDefense wählen. Threat Intelligence-Feeds von FireEye benötigen eigene FireEye-Appliances wie etwa Geräte der neuesten NX-Serie. RSA Live ist Teil von RSA Security Analytics; daher können nur Kunden von RSA Security Analytics den Service abonnieren. Verisign iDefense liefert XML-Feeds für Archer, ArcSight, Agiliance, Skybox und den Vulnerability-Management-Cloud-Service von QualysGuard.

Warnmeldungen und Reporting

Cyveillance bietet wöchentlich sehr ausführliche Trendberichte auf seiner Website, die Unternehmen bequem über RSS beziehen können. Cyveillance sieht seine Berichte als Ergänzung zum Perimeterschutz (Firewalls, SIEMs usw.) an. Dell SecureWorks bietet speziell angepasste Berichte für seine Kunden, die auf den Markenkern eines Unternehmens und/oder die Führungskräfte zugeschnitten sind. Hinzu kommen wöchentliche Zusammenfassungen zur Bedrohungslage und eigene Berichte über neu entstehende Sicherheitsgefahren. IID sendet vierteljährliche Trendberichte über Cyberkriminalität an seine Kunden.

Viele dieser Threat-Intelligence-Services liefern auch detaillierte Bedrohungs-reports, die nach Industrie oder Organisation kategorisiert sind.

Der FireEye ATI Service benachrichtigt sofort, wenn die Threat Intelligence Plattform einen Angriff erkennt; der ATI + Service enthält Nachrichten, Trends sowie detaillierte Berichte und Analysen über fortschrittliche Bedrohungen und die dahinter stehenden Angreifer.

RSA Live bietet Berichte rund um Bedrohungen, Sicherheit und Botnetze, identifiziert Exploits und Anzeichen, die auf Zero-Day-Lücken und andere Gefährdungen hindeuten. Zudem stellt RSA Live Warnmeldungen mit Informationen über verdächtige Aktivitäten zur Verfügung. Verisign liefert sowohl Berichte über die globale Gefahrenlage als auch kundenspezifische Reports, die Besonderheiten der jeweiligen Branche oder auch spezielle Anforderungen, Ereignisse oder Umstände berücksichtigen. Symantec DeepSight Security Intelligence bietet ein Kundenportal mit Alarmmeldungen bei Bedrohungen, Details zum Patch-Management und Informationen zu den Auswirkungen auf das Tagesgeschäft und die Umgebung jedes einzelnen Kunden.

LogRhythm verfügt in dieser Kategorie über besondere Stärken. Umfangreiche Dashboard-Tools für die forensische Analyse und die Analyse von Korrelation, Alarmmeldungen und Berichte liefern detaillierte Informationen zur (IT-)Umgebung eines Unternehmens. In der zentralen Konsole des Unternehmens laufen alle Analysen, Berichte und Bewertungen zum Event- und Incident-Management zusammen. Damit erhalten Unternehmen eine komplette Übersicht über die Sicherheitslage ihrer Infrastruktur.

Preise

Daten-Feeds sind in der Regel in Abonnements mit einer Laufzeit von ein, zwei oder drei Jahren erhältlich; die Kosten hängen meist von der Anzahl der Benutzer ab. Das heißt: Ab einer bestimmten Anzahl an Benutzern gibt es Mengenrabatte.

Die Kosten für einen einzelnen Daten-Feed betragen mindestens 2.000 bis 3.000 US-Dollar pro Monat, können aber auch höher liegen. Symantec verlangt für seinen DeepSight Security Risk Feed etwa 27.500 US-Dollar pro Jahr für einen bis 2.499 Nutzer. Alle drei Datenfeeds von IID kosten mehr als 10.000 US-Dollar pro Monat; das Unternehmen verkauft seine Feeds aber auch einzeln. Für das Jahresabonnement des Reputation-Feeds von Symantec müssen Unternehmen 95.300 US-Dollar für einen bis 2.499 Nutzer auf den Tisch legen.

FireEye verkauft seinen Threat-Intelligence-Service als Monats-, Quartals- oder Jahresabonnement. Die unverbindliche Preisempfehlung für das FireEye DTI Abonnement liegt bei etwa 20 Prozent der Kosten der dafür benötigten Zusatzhardware von FireEye, bei FireEye ATI sind es 30 Prozent, beim Feed FireEye ATI+ etwa 40 Prozent. Die Kosten für die Appliance sind abhängig von der Kapazität und bewegen sich in einer Spanne zwischen 17.400 und mehr als 175.000 US-Dollar pro Gerät.

LogRhythm bietet kein Abonnement für Daten-Feeds an; die Kosten für den Service beginnen bei etwa 28.000 US-Dollar pro Jahr.

Tipp: Fragen Sie den Anbieter, ob er einen ROI-Rechner anbietet, mit dem Sie den Return on Investment (ROI) für die Threat-Intelligence-Services ermitteln können. Diese Rechner sind in der Regel online oder als Tabellenkalkulation verfügbar.

Support

Alle hier genannten Unternehmen bieten Rund-um-die-Uhr-Support (24/7/365) über Telefon, ein Kundenportal oder eine Wissensdatenbank im Internet. Mit Ausnahme von LogRhythm ist der Standard-Support im Abonnement enthalten. LogRhythm berechnet für seinen Standard-Support etwa 20 Prozent der Grundkosten seines Produkts. Bei einem Ausfall der Lösung oder aufwändigeren Support-Leistungen fällt bei allen Unternehmen eine zusätzliche Gebühr an.

Welche Threat-Intelligence-Services eignen sich für welches Unternehmen?

Unternehmen, die in erster Linie Daten-Feeds für ihre bestehende Sicherheitsinfrastruktur benötigen, sollten sich für IID ActiveTrust oder/und Symantec DeepInsight entscheiden. Beide Lösungen bieten umfassende Feeds in Standardformaten, detaillierte Berichte und hervorragenden Support.

Cyveillance (unsere Top-Empfehlung), VeriSign und Dell SecureWorks eignen sich für Unternehmen, die Berichte über globale Bedrohungen sowie individuelle, auf ihre Branche oder ihr Unternehmen angepasste Einschätzungen zur Sicherheitslage benötigen. Firmen, die Threat Intelligence und die zugrundeliegende Hardwareausrüstung aus einer Hand beziehen wollen, sollten sich für Produkte von FireEye entscheiden, die bei vielen Experten als die besten der Branche gelten.

LogRhythmn und RSA Live / RSA Security Analytics konzentrieren sich auf die Analyse der Log-Dateien sowie Event und Incident Mangement, enthalten aber zuverlässige Funktionen für Sicherheitsintelligenz.

Wichtige Faktoren für die Entscheidung sind das verfügbare Budget, die aktuell bestehende Sicherheitsinfrastruktur sowie der Vergleich mit Kunden aus der eigenen Branche, die ähnliche Anforderungen besitzen und bereits Lösungen mit speziellen Threat-Intelligence-Funktionen einsetzen. Bei der Evaluation der potenziellen Anbieter sollten Unternehmen auf Kohärenz achten, sprich sie sollten dieselben Fragen stellen, die Antworten vergleichen und sich auf eine zweite Fragerunde vorbereiten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit