Threat Intelligence und Monitoring: Integration als Vorteil

Datenintegration steigert Effizienz in der Cybersicherheit

Wenn Threat Intelligence in Monitoring- und Warnlösungen integriert werden, entsteht durch ihre kombinierte Wirkung ein tiefenwirksamer Ansatz in der Abwehr. Dieser ermöglicht es, Bedrohungen effizient zu erfassen, zu erkennen und zu neutralisieren. Überwachungstools generieren jedoch oft eine große Anzahl von Warnmeldungen, von denen viele False Positives sein können oder denen der Kontext fehlt.

Durch die Integration von Threat Intelligence können Teams diese Warnmeldungen mit priorisierten und operationalisierbaren Erkenntnissen anreichern, wie der Reputation von IP-Adressen oder dem Kontext einer erkannten Schwachstelle. So können sie sich stärker auf kritische Probleme konzentrieren und sofort Maßnahmen ergreifen. Wenn ein APM-Tool beispielsweise ein ungewöhnliches Anwendungsverhalten feststellt, kann durch die Integration von IoC- und APM-Daten ermittelt werden, ob das Verhalten mit bekannten Angriffsmustern wie Credential Stuffing oder SQL-Injection-Versuchen übereinstimmt. Dies kann dann mit internen Telemetriedaten in Beziehung gesetzt werden.

Anwendungsfälle für die Verbindung von Monitoring und Threat Intelligence

Verbesserung der Netzwerksicherheit

Die Netzwerküberwachung liefert eine Fülle von Daten über Verkehrsströme und -muster. Durch die Korrelation dieser Daten mit Threat Intelligence können Unternehmen den bösartigen Datenverkehr effektiver erkennen. Beispielsweise könnte ein Netzwerküberwachungs-Tool einen ungewöhnlichen Anstieg im ausgehenden Datenverkehr melden. Durch die Integration von Threat Intelligence aus einer TIP mit Netzwerkdaten kann festgestellt werden, ob beispielsweise die Ziel-IPs mit bekannten Command-and-Control-Servern (C&C) verknüpft sind, was eine schnelle Eindämmung ermöglicht.

Automatisierung der Bedrohungserkennung und -behebung

Die Kombination von Überwachungstools und Threat Intelligence erleichtert die Automatisierung und reduziert die Arbeitsbelastung der Sicherheitsteams. Lösungen, die SOAR-Funktionen (Security Orchestration, Automation and Response) enthalten, können angereicherte Warnmeldungen aufnehmen und vordefinierte Reaktionsabläufe ausführen. Beispielsweise könnte ein Infrastrukturüberwachungstool, das nicht autorisierte Dateiänderungen auf einem Server erkennt, einen automatisierten Workflow auslösen, der den Server isoliert, eine forensische Analyse durchführt und TIPs mit neuen IoCs aktualisiert.

Unterstützung des Threat Hunting

Threat Hunter können von der Überwachung von Daten stark profitieren, insbesondere wenn diese mit angereicherten Bedrohungsdaten kombiniert werden. Protokolle und Warnmeldungen von APM-, Netzwerküberwachungs- und Infrastruktur-Tools liefern die Rohdaten, die für die Hypothesenbildung sowie Untersuchung potenzieller Bedrohungen erforderlich sind. IT-Überwachungssysteme liefern eine Fülle von Daten, die das Threat Hunting mit detaillierten und aktuellen Systemdaten beschleunigen können. In diesem Fall kann ein Bedrohungsjäger APM-Protokolle verwenden, um verdächtige API-Aufrufmuster zu verfolgen. Diese können dann mit TIP-Daten abgeglichen werden, um festzustellen, ob sie mit bekannten Angriffsvektoren übereinstimmen, die auf bestimmte APIs abzielen. Die Bedrohungsdaten werden in der Regel angereichert und priorisiert, sodass sich Threat Hunter zielgerichtet auf eine Umgebung konzentrieren können.

Stärkung der Arbeitsabläufe im Incident Management

Plattformen für das Incident Management sind für die teamübergreifende Koordination von Reaktionen von entscheidender Bedeutung. Durch die Integration kontextbezogener und priorisierter Daten aus Threat-Intelligence-Systemen können diese Plattformen direkt in Vorfalltickets relevantere Erkenntnisse liefern und so den Zeitaufwand für manuelle Recherchen reduzieren. Wenn ein Ticket für eine Netzwerkanomalie erstellt wird, kann die Einbettung von Daten zu Threats wie Geolokalisierung, Verbindungen zu Threat Actors oder historische Aktivitäten der zugehörigen IP die Ursachenanalyse beschleunigen.

Operative Vorteile der Integration

Die Integration von Monitoring und Warnmeldungen mit Threat Intelligence bietet zusätzlich zahlreiche operative Vorteile:

• Verbesserte Effizienz: Die automatisierte Anreicherung von Überwachungs-Alerts mit Threat-Daten reduziert den manuellen Aufwand und beschleunigt die Entscheidungsfindung dank besserer Kontextdaten.
• Verbesserte Genauigkeit: Angereicherte Warnmeldungen minimieren Fehlalarme, sodass sich Sicherheitsteams auf echte Bedrohungen konzentrieren können. Genauigkeit ist ebenfalls wichtig und wird durch diese Integration weiter erhöht.
• Aktive Verteidigung: Durch die Kombination von historischen und Echtzeitdaten können Organisationen Angriffsphasen vorhersehen und verhindern, anstatt erst im Nachhinein zu reagieren.
• Optimierte Zusammenarbeit: Einheitliche Tools und angereicherte Daten fördern eine bessere Zusammenarbeit zwischen IT- und Sicherheitsteams, indem sie Silos aufbrechen und eine zusammenwirkende Verteidigungsstrategie schaffen.

„Die Konvergenz von Überwachung, Warnmeldungen und Threat Intelligence verändert die Art und Weise, wie Unternehmen ihre IT-Umgebungen schützen. Durch die Nutzung der Stärken beider Bereiche können Unternehmen die Transparenz verbessern, Reaktionszeiten verkürzen und eine aktive Abwehrstrategie entwickeln.“

Frank Lange, Anomali

Herausforderungen und zusätzliche Überlegungen

Die Integration dieser beiden Funktionen bietet zwar erhebliche Vorteile, doch müssen Organisationen die folgenden Herausforderungen bewältigen:

• Datenüberflutung: Überwachungs- und Bedrohungsanalyse-Tools generieren riesige Datenmengen. Ohne eine angemessene Filterung und Priorisierung auf der Sicherheitsseite können Teams Schwierigkeiten haben, verwertbare Erkenntnisse zu gewinnen.
• Tool-Kompatibilität: Um sicherzustellen, dass Überwachungs- und Bedrohungsanalyse-Tools nahtlos integriert werden können, ist eine sorgfältige Bewertung der APIs, Datenformate und der Anbieterkompatibilität erforderlich. Anwender müssen sich Zeit nehmen, dies direkt richtig umzusetzen.
• Qualifikationsbeschränkungen: Die Umsetzung komplexer und dynamischer Integrationen erfordert qualifizierte Arbeitskräfte, die mit Domains, Automatisierung und Orchestrierungsplattformen vertraut sind. Dies kann ein echtes Problem darstellen, da tiefgreifende Fachkenntnisse zwischen IT und Sicherheit in der Regel domänenspezifisch sind.
• Latenz bei Bedrohungsdaten: Threat-Daten müssen aktuell und relevant sein. Veraltete Informationen können dazu führen, dass Bedrohungen übersehen werden oder unnötige Maßnahmen ergriffen werden. Die Latenz wird heutzutage oft in Minuten gemessen.

Ausblick

Die Konvergenz von Überwachung, Warnmeldungen und Threat Intelligence verändert die Art und Weise, wie Unternehmen ihre IT-Umgebungen schützen. Durch die Nutzung der Stärken beider Bereiche können Unternehmen die Transparenz verbessern, Reaktionszeiten verkürzen und eine aktive Abwehrstrategie entwickeln. Auch wenn es immer Herausforderungen geben wird, überwiegen die operativen Vorteile der Integration bei weitem die Hindernisse, sodass dieser verbesserte betriebliche Rahmen zu einem entscheidenden Bestandteil der modernen Cybersicherheit und des IT-Betriebs wird.

Da sich die Bedrohungslandschaft weiterentwickelt, sind Organisationen, die die Synergie zwischen diesen Technologien nutzen, besser gerüstet, um mit Komplexitäten umzugehen, ihre digitalen Vermögenswerte zu sichern, die Unternehmensleistung zu optimieren, die Produktivität ihrer Mitarbeiter zu erhalten, ihre Kunden zufriedenzustellen und die Regulierungsbehörden zu überzeugen.

Über den Autor:
Frank Lange ist Technical Director bei Anomali.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.