Skip to main content

16.06.2015

Threat Intelligence – das Frühwarnsystem für Ihre Informationssicherheit

Schließen von Sicherheitslücken, bevor Angreifer sie ausnutzen können

Die meisten Unternehmen haben bereits diverse Maßnahmen zum Schutz ihrer Netzinfrastruktur, IT-Systeme, Anwendungen und Daten eingeführt. Dazu zählen z. B. Firewalls, Intrusion Detection Systeme, Anti-Viren-Lösungen, Berechtigungskonzepte, Backups oder geschützte Server-Räume.

Auf der anderen Seite werden aber auch die Angreifer immer besser und schneller, Lücken in der Informationstechnik zu finden. Für praktisch jede neu entdeckte Schwachstelle ist im Handumdrehen ein sog. „Exploit“ verfügbar, mit dem diese Lücke ausgenutzt und dem Unternehmen Schaden zugefügt werden kann. 

Die Unternehmen stehen somit vor der permanenten Herausforderung, ihr IT-Sicherheitskonzept an neue Bedrohungen anzupassen, um ihre IT und damit ihr Geschäft wirksam zu schützen.

Es stellt sich nun die Frage, wie ein Unternehmen zeitnah wissen kann, welche aktuellen Bedrohungen es gibt und welche davon für die eigene IT relevant sind. Dies ist der Einstiegspunkt zum Thema „Threat Intelligence“ (zu Deutsch in etwa „Aufklären von Bedrohungen“).

Threat Intelligence beschreibt das Sammeln und die Analyse von Informationen, die auf Schwachstellen, geplante Angriffe oder jegliche andere unerwünschte Aktivitäten in der eigenen IT-Infrastruktur hindeuten.

Im ersten Schritt ist jedes Unternehmen gut beraten, zunächst in der eigenen Infrastruktur zu beobachten, was dort auf potentielle Angriffe hindeutet. Hier haben sich sog. SIEM (Security Information and Event Management) Systeme bewährt, die Informationen aus den IT-Komponenten sammeln (z. B. Log-Daten oder Verkehrsfluss-Daten), zueinander in Beziehung setzen und Alarm schlagen, sobald eine verdächtige Aktivität entdeckt wird. Zu berücksichtigen ist hier, dass SIEM-Systeme Angriffe nur entdecken können, wenn man im Vorfeld bereits weiß, wonach man in den gesammelten Daten suchen muss. Für alle bereits bekannten Angriffe funktioniert dies gut.

Wie man leicht erkennt, ist es darüber hinaus notwendig, ein Frühwarnsystem zu haben, das auf bevorstehende Angriffsszenarien hinweist und dem Unternehmen somit die Zeit verschafft, reagieren zu können. Im Gut-Fall betrifft das Szenario das Unternehmen nicht (weil z. B. die betroffene Komponente dort nicht verwendet wird), im Schlecht-Fall kann das Unternehmen zumindest einen Workaround umsetzen, bis der Hersteller ein Sicherheits-Update herausgegeben hat. Im „Worst Case“ zeigt die Analyse der gespeicherten SIEM-Daten, dass bereits ein Angriff stattgefunden hat. Das Unternehmen kann dann aber immer noch den entstandenen Schaden analysieren und weitere Auswirkungen verhindern.

Die zweite Stufe der Threat Intelligence ist somit, auch Daten aus externen, nicht zur Unternehmung gehörenden, Quellen heranzuziehen. Externe Quellen können Foren oder Chats sein, in denen zum Beispiel Angriffe auf die Unternehmung geplant oder neue Sicherheitslücken aufgezeigt werden, bevor der Hersteller ein entsprechendes Update (Patch) bereitstellt. Weitere Quellen sind Websites, die Listen mit potentiell verdächtigen Servern bereitstellen oder Anbieter, die auf Anforderung Web-Seiten analysieren und hinsichtlich verdächtiger Eigenschaften (z. B. Phishing) bewerten. Besonders interessant sind Threat Intelligence-Plattformen, auf denen bereits zusammengetragene Informationen geteilt werden. Auf Grund der zunehmenden Bedeutung von Threat Intelligence etablieren sich darüber hinaus mehr und mehr Service Provider, die auf unterschiedlichen Kanälen Informationen sammeln und analysieren, um sie dann an ihre Kunden weitergeben zu können. 

Damit das Unternehmen abschätzen kann, welche Relevanz diese Informationen haben, müssen sie, unabhängig von der Quelle, systematisch und detailliert ausgewertet werden. Dabei wird zum einen die Relevanz der Bedrohung verifiziert und zum anderen auch die Grundlage geschaffen, nach Hinweisen auf den jeweiligen Angriff in der eigenen IT suchen zu können. 

Je detaillierter die Informationen zu einem Angriffsszenario sind, desto besser kann das Unternehmen sie für ihre IT nutzen. Sei es, dass man nach speziellen Mustern in den archivierten Log-Daten suchen kann oder in dem SIEM-System Filter implementieren kann, die zukünftig bei einem Angriffsversuch einen Alarm auslösen.

Dies fällt umso leichter, je formalisierter die Beschreibung eines Angriffsszenarios ist. Eine solche formale Beschreibung wird als Indicator of Compromise (IOC) bezeichnet

IOC sind im Prinzip Profile mit Auflistungen zu Eigenschaften der Sicherheitslücke bzw. des schadhaften Programmes oder auch Verhaltensweisen und Vorgehen der Angreifer.

Hilfreich an diesen IOC ist, dass Unternehmen damit nicht nur ihre selbstentdeckten Indikatoren spezifizieren können, sondern diese öffentlich im Internet oder mit ausgewählten Partnern, wie dies in einigen Branchen schon der Fall ist, teilen können. Damit erspart man sich viel Arbeit, da Bedrohungen nicht mehrfach analysiert werden müssen und hat zudem den Vorteil, dass sich Trends und lokale, globale oder auch branchenspezifische Lagebilder erzeugen lassen. 

Der Kreis rund um das Thema Threat Intelligence schließt sich, wenn auf der Basis der Erkenntnisse neue Signaturen und Regeln entwickelt, auf den Sicherheitskomponenten implementiert und die daraus resultierenden Ergebnisse wiederum analysiert werden. Sollten dabei neue Erkenntnisse zu Tage treten, werden diese zu der bereits bestehenden Analyse bzw. dem betreffenden IOC hinzugefügt. So ist es möglich, dass große Ganze einer Sicherheitslücke, eines unerwünschten Programmes oder auch das Profil eines Angreifers und seiner Vorgehensweisen zu sehen und Schritt für Schritt zu komplettieren.

Fazit: Threat Intelligence ist der nächste Schritt in Richtung globaler Cyber Security. Mit diesem Konzept kann nun gemeinschaftlich und unternehmensübergreifend die globale Sicherheitslage erfasst werden und Unternehmen können sich auf Basis der gewonnenen Daten –zumindest teilautomatisiert gegen künftige Bedrohungen schützen. Die Angreifer im Cyber Space agieren bereits global. Kooperativ genutzt, wird Threat Intelligence Innovationen und Methoden hervorbringen, diesen Vorsprung zu verkürzen.

Threat Intelligence