Julien Eichinger - stock.adobe.c
Threat Intelligence, die digitale Finanzwelt und Vertrauen
Haben IT-Teams keinen Überblick über die eigene Sicherheitslage, fehlt die Grundlage für Schaffung von Vertrauen. Das ist aber gerade in der digitalen Finanzwelt unabdingbar.
2017 erreichte der Wert pro Bitcoin über 20.000 Euro – ein Höhepunkt im Hype um die Kryptowährung. Allerdings fehlt nach wie vor das Vertrauen, um den Kurs stabil zu halten. Bis heute sind Online-Währungen mehr Spekulation als echtes Zahlungsmittel – vor allem an der Sicherheit wird hier gezweifelt. Eine Etablierung ist aber nur möglich, wenn die Nutzer nachhaltig an den Wert von etwas glauben.
Diese einfache Weisheit trifft auf jedes Zahlungsmittel zu. In keiner Branche ist die subjektive Wahrnehmung von Sicherheit so wichtig wie im Bereich Finance. Online-Währungen scheitern also nicht, weil User Angst vor digitaler Innovation haben, schließlich wickeln sowohl private User als auch Großkunden immer mehr Transaktionen online ab. Banken und Versicherungen reagieren entsprechend und erweitern ihre virtuellen Angebote. Dabei müssen sie, um dem Zweifel an Sicherheit entgegen zu treten, vor allem den Punkt Security und die Absicherung in den Fokus rücken.
Blockchain gilt bis dato als sicher und dennoch sorgen Spekulationen für eine so große Unsicherheit, dass sich Kryptowährungen bisher noch zu keiner ernstzunehmenden Konkurrenz für etablierte Währungen entwickelt haben. IT-Entscheider sollten sich daher immer wieder vor Augen führen, wie wichtig das Sicherheitsgefühl der Nutzer für ihre Branche ist. Im Zuge der digitalen Integrationen haben viele Finanzorganisationen gleich mehrere Sicherheits-Tools implementiert und verfügen zudem über eigene Security-Teams.
Dies ist notwendig, um rechtlichen Vorgaben nachzukommen. Schließlich sind fast alle anderen Sektoren von der Finanzbrache abhängig. Des Weiteren geht es natürlich um die Sicherheit von Kunden und Partnern. Daher ist es auch nicht überraschend, dass dieser Wirtschaftszweig über die Jahre eine Vorreiterrolle eingenommen hat. Einige Einrichtungen haben bereits eigene Security Operations Centers (SOC), um auf mögliche Bedrohungen reagieren und Indicators of Compromise (IoCs) erkennen zu können. Ausreichend ist das allerdings nicht mehr.
Von Threat Data zu Threat Intelligence
Denn reine Bedrohungsinformationen (oder „Threat Data“) haben zunächst einen geringen Wert für das eigene Unternehmen. Ihre Nutzung ist zu aufwendig und für IT-Abteilungen nicht leistbar. Erst wenn drei Faktoren erfüllt werden, wird Threat Data zu „Threat Intelligence“ und das Unternehmen kann konkrete Maßnahmen ableiten:
- Verfizierung und Genauigkeit: Informationen müssen detailliert sein und aus einer zuverlässigen Quelle stammen.
- Relevanz für das eigene Unternehmen: Bedrohungen müssen für das eigene Geschäftsfeld und Netzwerk relevant sein.
- Rechtzeitigkeit: Informationen müssen zeitnah eintreffen, damit überhaupt Abwehrmaßnahmen ergriffen werden können.
In der Praxis gibt es viele Informationsquellen: Öffentliche Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), Security-Vendors aber auch Open-Source-Communities veröffentlichen Reports und Threat Feeds zu aktuellen Bedrohungen. Gleichzeitig sammeln Sicherheitswerkzeuge wie SIEM oder Firewalls ebenfalls Threat Data, die zur Bekämpfung von Gefahren eingesetzt werden können. Zusätzlich gibt es branchenspezifische Information Sharing and Analysis Centers (ISAC), an denen sich Organisationen beteiligen können. Die Anzahl und die Qualität sowohl der Informationsquellen als auch der IoCs wachsen stetig weiter und machen aktuell die wichtigsten Ressourcen für die Angriffsabwehr aus.
Das SANS Institute ist im Rahmen einer Untersuchung den neuesten Entwicklungen im Bereich Security nachgegangen und hat erkannt, dass immer mehr Unternehmen die Vorteile von Cyber Threat Intelligence (CTI) für sich nutzen und zeigt auch, wie dies geschieht, ohne das Sicherheitsteams überlastet werden. Es sieht eine Entwicklung, die über das Know-how von IoCs hinausgeht und eine neue Dimension im Bereich Threat Intelligence darstellt.
Der Trend geht hin zum Bereich „Tactics, Techniques and Procederes (TTPs)“, also in Richtung tiefgreifendes Verständnis, wie die Angreifer in die Netzwerke der Opfer eindringen möchten. Anstatt sich nur auf Spuren von Attacken zu fokussieren, sollten IT-Teams daran arbeiten, den Kriminellen immer einen Schritt voraus zu sein. Ein Beispiel ist das MITRE ATT&CK Framework: Es zeigt, wie man von der manuellen Auswertung einzelner Bruchstücke hin zum Aufbau von strategischem Wissen über die Gefahrenlandschaft und dem Ausmaß der Bedrohungen für die eigenen Systeme kommt. Ohne Unterstützung ist die Analyse von IoCs extrem aufwendig. Speziell bei IT-Teams im Finanzbereich entsteht schnell die Situation, dass Sicherheitsverantwortliche händisch Daten aus unterschiedlichen Quellen abgleichen und prüfen müssen. Dabei finden keine Absprachen über die Tätigkeiten zwischen den einzelnen Teams statt, die Arbeit wird ineffizient und Informationssilos entstehen. Gleichzeitig nimmt die Anzahl der Attacken immer weiter zu und durch die zunehmende Vernetzung werden Infrastrukturen ebenfalls komplexer.
Wenn IT-Abteilungen keinen Überblick über die eigene Sicherheitslage haben, fehlt die Grundlage für die Schaffung von Vertrauen – jene Eigenschaft, die wie anfangs beschrieben so elementar ist. CTI wirkt an dieser Stelle: SANS stellt fest, dass 81 Prozent nach dem Einsatz einer passenden Plattform ihre Abwehr- und Erkennungsfähigkeit als verbessert ansehen. Dabei geht es um eine teilweise oder komplette Automatisierung, um aus den verfügbaren Informationen umsetzbare Intelligence zu machen und diese in der eigenen Organisation zu nutzen.
Aufbau einer eigenen Threat Library in der Praxis
Eigentlich braucht es eine Vielzahl von Tools und Prozessen, um eine eigene Cyber-Threat-Intelligence-Plattform aufzusetzen. Die meisten Finanzunternehmen haben jedoch bereits die wichtigsten Bauteile für die Umsetzung. Oftmals sind schon interne Datenquellen vorhanden: SIEM-Lösungen oder Bedrohungsinformationen von Sicherheitsanbietern, deren Lösung eingesetzt wird (IDS, Firewall, End Point Security). Wie erwähnt, gibt es von Behörden und Open-Source-Angeboten (wie beispielsweise www.malwaredomainlist.com) ebenfalls Berichte und Analysen. Ergänzend können Informationen von Branchenverbänden und eigene Analysen des Netzwerkverkehrs mit einfließen.
Der herausfordernde letzte Schritt ist der Aufbau einer übergreifenden Plattform. Das SANS Institut spricht von einer Collection Management Plattform (CMF), die sich vor allem dadurch auszeichnet, eine lokale Bedrohungsdatenbank aufzubauen, in der alle Daten aus externen und internen Quellen an einem zentralen Ort gespeichert werden. Des Weiteren sollen dann Informationen automatisiert aggregiert, normalisiert und dedupliziert sowie Relevanz und Priorität für das eigene Unternehmen mittels eines Scoring-Systems geprüft werden. Hierbei ist es essenziell, dass das Unternehmen das Scoring manuell, auf Basis von Quelle, Indikatoren oder Attributen machen kann. Die Threat Library dient damit als „Single Source of Truth“ für alle Teams und Systeme innerhalb eines Unternehmens.
„Banking und Payment in der digitalen Welt sind besonders auf das Vertrauen und das subjektive Sicherheitsgefühl der Kunden angewiesen.“
Markus Auer, ThreatQuotient
Personell gibt es viele Abteilungen, die bedacht werden sollten: Neben SOCs und Incident Response-Teams können auch IT-Operations- und Security-Teams ihre Aktionen untereinander über eine solche Plattform koordinieren. Natürlich sind gerade im Finanzbereich die Abteilungen sehr unterschiedlich aufgestellt. So gibt es auch eigene Teams für Compliance und Audits, aber auch für das Management von Schwachstellen. Zusätzlich nehmen Dienstleister ebenfalls solche Aufgaben war.
Je nach Größe und Budget einer Organisation spielen Services eine wichtige Rolle. Die Experten von SANS empfehlen aber vermehrt auf Partnerschaften und Kooperationen zu setzen, anstatt eine komplette Auslagerung in Betracht zu ziehen. Der richtige Umgang mit der Gefahrenlage ist essenziell, da speziell im Bereich Finance die Bedrohungen durch Cyberattacken bereits fester Bestandteil des Alltags sind und Organisationen sich auf weitere Angriffe vorbereiten müssen. Es stellt sich dann die Frage, ob und wie stark das eigene Unternehmen betroffen ist.
Fazit
Die Zahlen zum Thema Threat Intelligence Plattform sprechen eine eindeutige Sprache: Die Befragten im Survey erkennen die größten Vorteile in der Verbesserung ihrer Security Operations, der Erkennung von Bedrohung und Angriffen und deren Blockierung. Besonders nützlich erwies sich die koordinierte Nutzung von CTI, laut 90 Prozent der Nutzer bei der Verbesserung der Visibilität von Gefahren in der eigenen Netzwerkumgebung. Außerdem verbesserte sich in fast allen Fällen die Präzision und Geschwindigkeit bei der Beseitigung von Störungen.
Das alles sind Bereiche, die sich direkt auf die Nutzererfahrung auswirken. Banking und Payment in der digitalen Welt sind besonders auf das Vertrauen und das subjektive Sicherheitsgefühl der Kunden angewiesen. Daher müssen Player in der Branche einen genauen Einblick über die allgemeine Bedrohungslage und ihre individuelle Gefahrensituation haben, um zu jedem Zeitpunkt richtig zu reagieren.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
