Wie man Informationen über Cyber-Bedrohungen erhält

Wollen Sie qualitativ hochwertige Informations-Quellen für die Security-Strategie in Ihrem Unternehmen finden, gibt es einige Aspekte zu beachten.

Die meisten Unternehmen sehen die Wichtigkeit, Bedrohungs-Informationen in den Security-Workflow zu integrieren. Allerdings setzen das nur sehr wenige Firmen um. Um ein erfolgreiches Security-Programm gegen Bedrohungen zu etablieren, sind diverse Komponenten notwendig. Es gibt keinen speziellen Ansatz, wie man Informations-Quellen aussucht, die dann Erfolg garantieren. Aber wir können Ihnen einige Hinweise geben.

Lassen Sie sich erinnern

Das gesammelte Wissen vieler Organisationen ist besser als individuelles. Stellen Sie klar, dass Sie ein ernsthafter Security-Profi sind, der ein ernsthaftes Security-Programm erschaffen möchte. Investieren Sie Zeit, um aktiv zu den formellen und informellen Organisationen beizutragen, die Informationen teilen. Das gilt auch für vertrauenswürdige Foren und individuelle Beziehungen.

Ihre Mitstreiter werden ehrliche Gedanken im Hinblick auf die verschiedenen Informations-Quellen teilen. Weiterhin ist die Chance hoch, dass diese Mitstreiter Informationen auch mit Ihnen teilen. 

Beachten Sie, dass diejenigen, die am meisten mit anderen teilen, auch das Meiste zurückbekommen. Qualitativ hochwertige Informationen kann man in der Regel durch Austausch von Informationen erlangen, sobald man eine Vertrauensgrundlage aufgebaut hat.

Inhalte sind der Schlüssel

Nur Inhalte mit dem dazugehörigen Kontext kann man als brauchbare Informationen ansehen. Ohne diesen Zusammenhang handelt es sich lediglich um Daten. Bei der Suche nach Informations-Quellen müssen Sie sicherstellen, dass die entsprechenden Quellen zu den Daten auch relevante Zusammenhänge enthalten. 

Eine klare Vision hilft enorm im Hinblick auf Informations-Quellen.

Der Kontext muss dabei nicht kompliziert oder ausgefallen sein. Er sollte allerdings genügend Anweisungen enthalten, wie man diese Informationen auch praktisch umsetzen kann.

Zum Beispiel wäre der Kontext bei „Diese Domänen-Namen werden für C&C (Command and Control) missbraucht“ oder „diese URLs sind Abnahme-Stellen (drop sites)“ ausreichend. 

Bekommen Sie „hier ist eine lange Liste mit IP-Adressen ohne Zusammenhang“, ist das unbrauchbar. Bringen die Informationen keinen angemessenen Kontext mit sich, dann können Sie in der Regel gut darauf verzichten.

Haben Sie ein Ziel vor Augen

Eine klare Vision hilft enorm im Hinblick auf Informations-Quellen. Wenn Sie sehr genau verstehen, was Sie mit Ihrem Security-Informations-Programm erreichen wollen, können Sie Risiken und Bedrohungen priorisieren. Sind Sie in der Lage, die Risiken und Bedrohungen zu priorisieren, kann sich das Unternehmen klare Ziele stecken.

Ziele und Prioritäten helfen außerdem bei der Wahl von Informations-Quellen. Hat Ihr Unternehmen zum Beispiel nichts mit Kreditkarten zu tun, dann brauchen Sie wahrscheinlich eher weniger Informationen hinsichtlich Malware, die es auf Kreditkarten-Nummern abgesehen hat. Verschiedene Informations-Quellen haben unterschiedliche Einblicke in Bedrohungen und stellen differenzierte Ansichten und Perspektiven zur Verfügung.

Ansatz und Perspektive jeder Quelle sind wahrscheinlich leicht differenziert und nicht alle davon werden für Ihr Unternehmen nützlich sein.

Prüfen

Es kann niemals schaden, einige Überprüfungen durchzuführen. Ist eine Informations-Quelle wertvoll, wird sich das herumgesprochen haben. Auch im echten Leben würden wir eine Informations-Quelle zunächst verifizieren und uns im Anschluss darauf verlassen beziehungsweise auf deren Ratschläge hören. Das gleiche gilt auch für die digitale Welt.

Qualität ist wichtiger als Quantität

In der Welt der Security-Information ist Qualität viel wichtiger als Quantität. Nehmen wir als Beispiel zwei Informations-Quellen, A und B. A versorgt uns mit 5.000 Stücken an Informationen, die zehn echte Treffer und 100.000 falsche (False Positives) produzieren. Informations-Quelle B liefert hingegen zehn Stücke, die 100 Treffer und zehn False Positives produzieren.

Es ist nicht schwer zu erkennen, dass Quelle B gegenüber A einen Mehrwert hat, weil es auch mehr Treffer erzielt. Ein weiterer Aspekt wird aber gerne übersehen. Quelle A produziert wesentlich mehr Rauschen. Das wirkt sich auf die abzuarbeitende Liste aus und vernebelt die Sicht auf das Wesentliche.

Fragen Sie nach

Hinter guten Informations-Quellen stehen ein solider Prozess, erstklassige Experten und neueste Technologie. Seien Sie nicht schüchtern. Fragen Sie die Anbieter von Informationen, wie sie an diese kommen und warum das Angebot für Ihr Unternehmen in Bezug auf Risiken, Bedrohungen, Ziele und Prioritäten nützlich ist.

Die richtigen Informations-Quellen zu finden, ist leider keine so geradlinige Prozedur wie wir uns wünschen.

Provider von Security-Informationen sprechen in der Regel nicht über Hintergründe oder über das, was hinter den Kulissen stattfindet. Allerdings sollten sie zumindest das Konzept hinter dem Prozess erklären können. Kann der Provider den Mehrwert nicht angemessen erklären oder die Erklärung ergibt wenig Sinn, hilft das auf jeden Fall beim Treffen einer Entscheidung.

Die richtigen Informations-Quellen zu finden, ist leider keine so geradlinige Prozedur wie wir uns wünschen. Allerdings gibt es ein paar Ansätze, wie man an gute Informations-Quellen gelangt. Dabei ist es irrelevant, ob diese kommerziell, Open-Source oder Community-basiert sind. Finden Sie immer heraus, wie relevant sie für das Unternehmen sind und prüfen Sie die Qualität sorgfältig.

Verstehen Sie diese Prinzipien und wenden sie an, wird sich das positiv auf Ihre Firma auswirken. Somit kommen Sie in den Genuss qualitativ hochwertiger Informations-Quellen, die für das Unternehmen einen hohen Mehrwert bieten.

Über den Autor:
Joshua Goldfarb ist Chief Security Officer der Enterprise Forensic Group bei FireEye.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close