Netzwerk-Sicherheit: Threat Intelligence Feeds analysieren ein Meer an Daten

Threat Intelligence Feeds helfen Unternehmen bei der Priorisierung unbekannter Bedrohungen. Security Intelligence geht noch einen Schritt weiter.

Viele Unternehmen haben im Laufe der Jahre sehr viel Geld in Security-Infromations-, Ereignis- und Log-Management-Technologien investiert. Damit sammeln, verwalten und analysieren sie Log-Dateien. Fortschritte bei groß angelegten Analytik-Methoden dieser Daten ermöglichen ein gut durchdachtes Security-Programm, um Anomalien zu erkennen und Angriffe zu analysieren. Allerdings ist es auch nicht schwer, von einer Unmenge an Indikatoren und Warnungen überrannt zu werden, die aus diesen Daten hervorgehen.

Security-Intelligenz (Security Intelligence) verspricht, dieser Aufgabe mehr Fokus zu verleihen. Man sucht nicht mehr blind nach „neuen“ und „anormalen“ Ereignissen. Nun können wir nach speziellen IP-Adressen, URL und Payload-Mustern suchen. Das ist sehr wichtig, da Kompromittierungen oft lange Zeit unentdeckt bleiben. Viele Firmen werden von externen Instanzen in Kenntnis gesetzt und nicht von internen Sensoren auf den Missstand hingewiesen. Das ist nicht der Fall, obwohl es Fortschritte bei Datensammlung und Ereignis-Monitoring gibt.

In der heutigen Zeit nimmt die Zahl der Threat Intelligence Feeds immer weiter zu. Es gibt kostenlose Open-Source-Daten, die von einer großen Netzwerk-Security-Community zur Verfügung gestellt wird. Dann gibt es noch überprüfte und aggregierte kommerzielle Produkte, sowie Communities, die hinter geschlossenen Türen Informationen austauschen. Letztere sind für spezielle Branchen oder Fokus-Bereiche gedacht. Implementieren und Wenn Sie Sie diese Feeds für Bedrohungs-Information nutzen, müssen Sie sehr aufpassen, dass Sie nicht in Daten ertrinken. Security Intelligence ist dazu gedacht, das Herauspicken von Signalen aus einem Meer an Daten zu vereinfachen. Wenn das Analysieren der Log-Dateien nur noch in Rauschen und analytischem Overhead endet, ist das kontraproduktiv.

Unternehmen müssen drei Faktoren in Betracht ziehen, bevor Sie die besten Security Intelligence Feeds für Ihre Geschäftsrisiken und Prioritäten wählen:

  • Geschäftliche Ausrichtung (Business Alignment): Mit welchen Arten an Bedrohungen hat es das Unternehmen zu tun? Welche davon sind von intern generierten Security-Intelligence-Produkten unzureichend adressiert?
  • Leistungsmerkmale von Sensoren (Sensor Capabilities): Was für Daten können Sie sammeln? Welche Sensoren haben Sie bereits im Einsatz oder sind geplant?
  • Intelligente Lücken-Analyse (Intelligence Gap Analysis): Welche momentane Bedrohungen für das Geschäft lassen sich effizienter abschwächen, wenn Sie Zugriff auf einen speziellen Intelligence Feed hätten?

Ein Finanzdienstleister muss möglicherweise Risiken nicht nur für die eigene Infrastruktur adressieren, sondern auch Bedrohungen wie Banking-Malware, die Kunden betrifft. Ein aktueller Threat Intelligence Feed für sogenannte Command-and-Control-Server (C&C), die von der jeweiligen Malware genutzt werden, ist möglicherweise weniger nützlich als Informationen über Artefakte in HTTP-Anfragen. Sie können sehr wahrscheinlich das Equipment von Kunden nicht überwachen, das sich mit dem Command-and-Control-Server verbindet. Ein Feed mit den IP-Adressen von kompromittierten Maschinen ist sicherlich hilfreich, um Transaktionen aufzudecken, die von diesen Systemen in Auftrag gegeben wurden. Damit können Sie infizierte Kunden in Kenntnis setzen.

Threat Intelligence sollte nicht auf einfache Netzwerk- und Host-basierte Signaturen wie IP-Adressen und Hashes schädlicher Software limitiert sein. Um die Threat Intelligence mit Business-Problemen in Einklang zu bringen, sollten Sie Transaktions-Volumen oder Branchen-spezifische Performance-Indikatoren in Zusammenhang mit Transaktionen und andere Risiken betrachten. Operiert ein Unternehmen global und ist in erster Linie wegen ausländischer Konkurrenz besorgt, sind die Fähigkeiten dieser Gegenspieler, deren geografischer Standort und vergangene Methodik von Interesse.

Um das volle Potenzial gesammelter Daten auszuschöpfen, die den Firmen unter die Arme greifen sollen, muss man Threat Intelligence gemeinsam nutzen. Informationen von anderen Firmen, speziell von denen in der gleichen Branche, sind sehr hilfreich. Sie haben es mit ähnlichen Bedrohungen zu tun. Teilen Sie die eigenen Bedrohungs-Informationen, nutzt das ebenfalls. Möglicherweise bekommen Sie so weitere Einblicke, die sich aus den intern gesammelten Daten nicht ableiten ließen. Vielleicht war ein Angriff auf Ihr Netzwerk nicht erfolgreich, hat sich aber als effizient gegen andere Unternehmens-Netzwerke erwiesen. Die Security-Teams dieser Netzwerke können nun weitere Details zur Verfügung stellen. Wir sprechen hier zum Beispiel von der Absicht der Angreifer und deren Fähigkeiten. Somit kann das Security-Team im eigenen Unternehmen die Systeme abermals unter die Lupe nehmen und nach Indikatoren Ausschau halten, die man bisher übersehen hat.

Im Endeffekt ist ein Security-Intelligence-Programm nur dann erfolgreich, wenn es relevante, einsetzbare Signaturen liefert, die dem Unternehmen helfen, die Bedrohungen effizienter abzuschwächen.

Über den Autor:
Johannes B. Ullrich, Ph.D., GIAC und GWEB, ist Chief Technology Officer beim SANS Technology Institute und Chef Head Researcher an dessen Internet Storm Center. Sie können ihm auf Twitter unter@johullrich folgen.

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close