Thought Leadership
Cyber Threat Intelligence (CTI) wird durch ein bloßes „mehr davon“ nicht besser. Wenn ein Unternehmen jeden verfügbaren Feed einfach bucht und hofft, dass die schiere Zahl an Informationen über Bedrohungen seine Risiken reduziert, überlastet es die eigenen Security-Teams. Eine geschickte Vorauswahl als Service und die Einbindung in einen Security Lifecycle mit Penetration Tests reduziert die Kosten und erhöht die Effizienz.
Threat Intelligence leistet zweifellos einen beachtlichen Beitrag zur Absicherung moderner Unternehmen gegen Cyber-Risiken. Ursprünglich sollte Threat Intelligence relevante Informationen über groß angelegte Angriffe auf Unternehmen aufbereiten und vergleichbaren Organisationen zugänglich machen, um deren Sicherheits-Fachleute beim zielgerichteten Monitoring zu unterstützen. Die Security-Teams wussten dann, wonach sie schauen mussten, um Anzeichen bereits bekannter schädlicher Aktionen rechtzeitig zu entdecken – und zwar auch dann, wenn die Indizien ihren Sicherheits-Systemen entgingen. „Intelligence“ steht bei diesem Konzept für jene Mischung aus Analyse, Ermittlung und Bericht, die die „Central Intelligence Agency“ (CIA) in den USA bei Kriminalfällen bereitstellt.
Heute allerdings bietet fast jeder Security-Anbieter „Threat Intelligence Feeds“ an – permanente Informationsströme über weltweit aufgedeckte Angriffsformen, die sich anderswo wiederholen könnten. Die Feeds können dann entweder manuell ausgewertet werden oder fließen direkt in automatisierte Erkennungssysteme, die im Netz nach Anzeichen für ein entsprechendes böswilliges Vorgehen suchen.
Bei hoch entwickelten SIEM-Produkten und bei KI-gestützten, stark automatisierten Systemen aus dem Bereich der Netzwerk-Verhaltensanalyse hat dies Sinn. Standard-Werkzeuge wie Firewalls und Virenscanner sollten aber auch ohne entsprechende Informationslieferungen funktionieren. Abonniert ein Unternehmen auch zur Abwehr ungezielter Attacken bis hinunter zu den altbekannten Script-Kiddie-Aktionen immer neue CTI-Informationen hinzu, bringt selbst ein gewöhnliches Arsenal an Sicherheitswerkzeugen schnell eine geradezu unüberschaubare Zahl sich überschneidender Bedrohungs-Informationen und Warnungen auf die Bildschirme der Security-Teams. Hinzu kommt, dass Hinweise auf weltweit auftretende Bedrohungen oft thematisch ungefiltert an alle Kunden geliefert werden. Daten über aktuelle Angriffe auf Patientendaten erreichen also zum Beispiel auch Unternehmen, die Stoßdämpfer für den Autobau produzieren. Die Last, die relevanten Daten zu selektieren, liegt dann wiederum bei den Sicherheitsspezialisten im Unternehmen, die sich in ihrer knapp bemessenen Zeit eigentlich mit den Gefahren für ihre spezifische Umgebung befassen sollten.
In der normalen Lebenswelt würde man niemals auf diese Weise vorgehen. Der Besitzer eines reinen Steinhauses lagert keine Mittel gegen Holzwürmer oder Termiten ein, die Holzbalken angreifen könnten. Der Bewohner eines einstöckigen Bungalows im Münsterland hängt sich kein tonnenschweres Pendel gegen Erdbeben ins Wohnzimmer, wie er den Wolkenkratzer Taipeh 101 in Taiwan sichert. Unternehmen sollten ausschließlich gegen Bedrohungen vorgehen, die sie tatsächlich betreffen. Die Resultate einer „Threat Intelligence“ müssen intelligent ausgewertet werden und in sinnvolle Aktionen münden.
Ein Weg, CTI gezielter und spezifischer einzusetzen und eine Überflutung des Sicherheits-Personals mit Informationen zu vermeiden, ergibt sich in der Kombination mit dem Penetration Testing. Das Abklopfen einer Organisation auf Schwachstellen gehört zu den Standard-Vorgehensweisen der Informationssicherheit, wird von Institutionen wie dem BSI explizit als Bestandteil eines professionellen Sicherheitsmanagements gefordert und von Normen wie dem PCI DSS-Standard für die Kreditkartenbranche unverhandelbar verlangt. Im Alltag birgt allerdings auch diese Maßnahme Umsetzungsprobleme, denn häufig wird während eines Penetration Test lediglich ein Standard-Arsenal an üblichen Schwachstellen abgeprüft. Will der Kunde der Forderung des BSI nachkommen und eine für ihn maßgeschneiderte Vorgehensweise beauftragen, kann er oft nichts anderes tun als auszuwählen, welcher Teil der Standard-Liste bei ihm abgearbeitet werden soll. Eine echte Anpassung auf den jeweiligen Schutzbedarf erlaubt dies nicht. Die Scope-Bestimmung für eine Schwachstellenanalyse lässt sich aber hervorragend anhand von CTI-Resultaten durchführen, wenn man sie zuvor anhand eines Anwender-Profils nach Relevanz filtert.
Auf der Basis eines kundenspezifischen Threat Intelligence Feeds und einem daran angeschlossenen zielgerichteten Penetration Testing bauen neutrale Prüf- und Zertifizierungsdienstleister wie TÜV SÜD einen Security Lifecycle, der Unternehmen zu schlagkräftigen Sicherheitsmaßnahmen verhilft und die hauseigenen Security-Spezialisten entlastet – während gleichzeitig unnötige Kosten entfallen. Die erste Komponente eines solchen Konzepts besteht im Anlegen des Profils, das den Anwender beschreibt: Welcher Branche gehört er an, welche Daten verarbeitet er, welche Informationen über ihn finden sich im Internet, lässt er sich eher über Datendiebstahl oder die Manipulation von Prozessen schädigen – und wer könnte es auf ihn abgesehen haben? Das Resultat dieser Erhebung dient dazu, als zweite Komponente des Lifecycles die Filterung der Threat Intelligence Feeds nach genau denjenigen Informationen durchzuführen, die für den Anwender relevant sind. Darauf folgen Penetration Tests, die ebenfalls auf die gefilterten CTI-Daten zugreifen und deshalb lediglich nach solchen Schwachstellen fahnden, die den Anwender tatsächlich gefährden können. Im Anschluss an derartige „Intelligence-Led Penetration Tests“ erhält der Anwender dann noch Empfehlungen zur Optimierung seiner Security und Beratung zur Umsetzung seiner Ziele.
Durchläuft der Anwender diesen Zyklus regelmäßig, kommt er zu einer maximalen Nutzanwendung von Threat Intelligence Informationen, ohne sich täglich mit der Auswertung entsprechender Feeds abmühen und beim Penetration Test Kompromisse eingehen zu müssen. TÜV SÜD unterstützt mit Dienstleistungen dieser Art speziell die hoch belasteten Security-Teams im Mittelstand, die meist mit geringen Ressourcen auskommen müssen.
Stefan Vollmer, Chief Technology Officer, TÜV SÜD Sec-IT GmbH
