Die Anzahl und die Vielfalt von Angriffen auf IT-Infrastrukturen nehmen weiterhin signifikant zu. Unternehmen müssen sich den damit einhergehenden Herausforderungen stellen. Cyber Threat Intelligence kann bei dieser Problematik helfen.
Der Inhalt im Überblick
Was genau ist Cyber Threat Intelligence?
Cyber Threat Intelligence (CTI) soll bei der Identifikation, Bewältigung und Verhinderung von Sicherheitsvorfällen helfen. Experten auf diesem Gebiet sollen die Fähigkeiten zum Erkennen und Handeln durch Indikatoren für Angriffs- und Beeinträchtigungsszenarien vermittelt werden.
Tatsächlich nutzen Angreifer sehr viele verschiedene Methoden, um Zugriff auf Systeme zu erlangen und die Kontrolle dieser Systeme zu übernehmen. Die Angriffe folgen trotz variierender Methodik einem ähnlichen Lebenszyklus. Beginnend mit Aufklärungsaktivitäten und endend mit der Durchführung böswilliger Aktivitäten auf einem System oder innerhalb eines Netzwerks.
Bei der stetig steigenden Anzahl von Angriffen kann davon ausgegangen werden, dass viele Angriffsarten und -weisen betroffenen Unternehmen bekannt sind. Cyber Threat Intelligence soll all diese Erkenntnisse zusammenführen und zum rechtzeitigen Erkennen und Handeln im Falle eines Vorfalls führen. Auch soll CTI diese zusammengefügten Erkenntnisse mit neu erlangten Erkenntnissen aus einem andauernden Angriff ergänzen.
Bei einem laufenden Angriff kommen häufig Fragen auf wie:
- Wer greift an?
- Welche Methoden werden genutzt?
- Welche Systeme sind Ziel des Angriffs?
Cyber Threat Intelligence analysiert alle Informationen über die Absicht, die Fähigkeiten und die Möglichkeiten von Gegnern in der digitalen Welt. CTI ist somit ein Mechanismus, um Angriffe zu verhindern und zu erkennen und auf selbige zu reagieren.
Warum sollte Cyber Threat Intelligence eingesetzt werden?
Durch die Einführung einer Cyber-Threat-Intelligence-Abteilung kann mit Verbesserungen in folgenden Bereichen gerechnet werden:
- Fähigkeit, Angriffe im Kontext zu sehen
- Genauigkeit der Erkennungs- und Reaktionsfähigkeit
- Geschwindigkeit der Erkennungs- und Reaktionsfähigkeit
Wie sollte Cyber Threat Intelligence eingesetzt werden?
CTI ist eine sehr komplexe Angelegenheit und erfordert eine gute Vorbereitung. Es folgt einem ganzheitlichen Problemlösungskonzept. Das Gesamtkonzept mag zu Beginn erschlagend wirken, Unternehmen können jedoch Schritt für Schritt vorgehen. Die ersten Schritte zur Umsetzung sollten wie folgt aussehen:
- Zusammenstellung eines adäquaten CTI-Teams
- Planen der Wissenssammlung
Das CTI-Team
Ein CTI-Team sollte aus IT-Sicherheits- und IT-Forensik-Experten bestehen. Ebenso müssen Entscheidungsträger und die jeweilige IT-Abteilung eines Unternehmens hinzugezogen werden. Das erforderliche Wissen kann intern und extern gesammelt werden.
Interne Wissenssammlung
Wissen kann intern wie folgt gesammelt werden:
- Protokollierung und Analyse der entsprechenden Logfiles
- Erlangte Erkenntnisse aus einem Sicherheitsvorfall (Incident Response Report)
- weitere Details über Ereignisse im unternehmenseigenen Netzwerk, wie Analysen des Netzwerkverkehrs, Informationen über Schwachstellen, Sicherheitsinformationen der eingesetzten Firewall-, Endpoint- und anderer Systeme
Externe Wissenssammlung
Extern kann Wissen wie folgt gesammelt werden:
- Open Source oder Public CTI Feeds
- Threat Feeds von Sicherheitsfirmen
- Community- oder Brancheninformationen (ISACs, CERTs)
- Medienberichte und Nachrichten
- Sicherheitsinformationen von IDS, Firewall, Endpoint- und anderer Systeme
- SIEM Plattformen
- Informationen über Schwachstellen
- Incident Response und Live Forensics
- Analysen des Netzwerksverkehrs
Eine Liste von im Internet veröffentlichten Threat-Intelligence-Ressourcen kann auf github eingesehen werden.
Schritt für Schritt zum Erfolg
Der Aufbau eines Cyber-Threat-Intelligence-Team kann Schritt für Schritt vorgenommen werden. Das erforderliche Wissen sollte als erstes intern gesammelt werden. Ist die interne Wissenssammlung erfolgreich implementiert, kann das Konzept mit externen Wissenssammlungen erweitert werden. Ziel sollte es langfristig sein CTI ganzheitlich einzusetzen, um von internem und externem Wissen zu profitieren. Auf diesem Weg wird das Sicherheitskonzept eines Unternehmens effizienter und effektiver gestaltet und umgesetzt.
Angreifer teilen bereits Erkenntnisse und lernen so miteinander und voneinander, so sollte es auch auf der anderen Seite bei den IT-Sicherheits- und IT-Forensik-Experten aussehen. Sollten Sie in Ihrem Unternehmen nicht auf entsprechende Experten zurückgreifen können, empfiehlt es sich Externe hinzuzuziehen.
Nicht hilfreich, da ganz allgemein. Von dieser Sorte „Tipps“ gibt es im Datenschutz leider viele („tun Sie das Richtige, Angemessene, in der richtigen Reihenfolge…“).
Vom Grundsatz her sehr gut geschrieben, was fehlt sind konkrete technologische Ansätze ein CTI Programm im Unternehmen umzusetzen. Richtig beschrieben wird, dass neben dem CTI-Team und den richtigen Prozessen die Wissensammlung aus internen und externen Quellen der wichtigste Baustein eines CTI Programms ist. Leider bleibt die Frage offen, wie ich mit mehreren Informationsquellen, womöglich in verschiedenen Formaten, gleichzeitig umgehe, wie ich Daten aggregieren, normalisiere und de-dupliziere, sowie die Verknüpfung zwischen einzelnen Datensätze herstelle. Genau hierzu wurden Threat Intelligence Platforms (TIP) entwickelt.