beebright - Fotolia

Threat Intelligence: Bedrohungsanalysen verstehen und richtig einsetzen

Dienste zur Bedrohungsanalyse können wertvolle Informationen liefern. Es gilt jedoch die richtigen Zahlen zu erheben, um gute Ergebnisse zu erzielen.

Threat Intelligence – oder zu Deutsch die Analyse von Bedrohungen – ist ein großer und wachsender Bereich im großen Feld der Cybersicherheit. Die zunehmende Bedeutung von Threat Intelligence lässt in Zukunft viele Investitionen in Dienste zur Analyse von Bedrohungen und Risiken erwarten. Genauso war es bereits bei den schnell wachsenden Märkten während der Einführung von Systemen zur Intrusion Detection und Intrusion Prevention, Firewalls oder auch VPNs.

Um mit der Analyse von Bedrohungen beginnen zu können, müssen diese zunächst in ihrer Abhängigkeit zu den jeweiligen Risiken eingestuft werden. Dieser Prozess ist von großer Bedeutung, um wirklich zutreffende und relevante Zahlen bei der Analyse von Bedrohungen zu erhalten. Der erste Schritt ist dabei immer, die Umgebung einer Organisation genauestens zu analysieren.

Um die Umgebung einer Organisation zu verstehen, ist ein umfangreiches Wissen ihrer aktuellen Schwachstellen und ihrer Beziehungen zu dem Risikoprofil des Unternehmens erforderlich. Dieses Wissen muss vorhanden sein, bevor mit der eigentlichen Bedrohungsanalyse begonnen werden kann. Warum ist das so? Weil sich die gewonnenen Werte zuordnen lassen müssen, um als relevant eingestuft werden zu können.

Ein Problem wird als begrenzt eingestuft, wenn sich das Risiko- und das Erfolgsprofil eines Unternehmens quantifizieren lässt. Ein so genanntes begrenztes Problem ist eine Schlüsselkomponente jeder Bedrohungsanalyse. Darüber hinaus kann ein Problem nicht als begrenzt eingestuft werden, wenn in einer Organisation unzutreffende Vorstellungen von Risiko und Erfolg verbreitet sind. Dadurch kann es dazu kommen, dass Bedrohungen falsch eingestuft und falsche Prioritäten gesetzt werden. Manchmal entstehen dadurch neue Probleme, die vorher gar nicht existierten.

Begrenzte Werte zur Bedrohungsanalyse

In einer nicht begrenzten Umgebung begrenzte Werte zur Bedrohungsanalyse zu erhalten, ist nicht nur schwierig, sondern fast schon unmöglich. Selbst eine einfache Risikoanalyse liefert die nötigen Daten für diesen ersten Schritt. Die gefundenen Risiken werden als „bekannt schlecht” bezeichnet. Die Bereiche, die als „bekannt gut” eingestuft werden, können ebenfalls quantifiziert werden. Schlussendlich ist ein umfassendes Verständnis der Umgebung einer Organisation die wichtigste Voraussetzung, um zutreffende und wirksame Bedrohungsmetriken zu erhalten.

Das Modellieren von Abhängigkeiten garantiert den besten Ansatz. Deswegen müssen zunächst die Bedrohungen, vorhandene Schwachstellen sowie die entstehenden Kosten in Betracht gezogen werden. Nur so lässt sich einschätzen, welche Kosten ein bestimmter Angriff verursachen kann. Im nächsten Schritt werden die Bedrohungen dann bewertet.

Zunächst geht es darum, Redundanzen aufzuspüren und aus den Daten zu eliminieren. Diese treten auf, wenn mehrere Datenquellen genutzt werden, die sich auf dieselben Ereignisse beziehen. Die Qualität der Ergebnisse lässt sich nämlich erhöhen, wenn mehrere Dienste zur Bedrohungsanalyse eingesetzt werden. Dadurch kann auch der zeitliche Ablauf eines Angriffs leichter verfolgt werden.

Wenn übereinstimmende Bedrohungen gefunden werden, sollten alle Informationen über den zeitlichen Ablauf, wer daran beteiligt ist und welche Schwachstelle genutzt wurde, ausgewertet und mit anderen verfügbaren Daten abgeglichen werden. Die beiden wichtigsten Werte sind dabei die Zeit, die zur Verbreitung benötigt wurde, und der Zusammenhang mit bereits identifizierten Risiken. Diese Prozesse unterstützen Unternehmen dabei, die relevanten Informationen schneller aus der Masse an Daten zu filtern und zudem festzustellen, welche Hersteller relevante Daten schnell genug bereitstellen können. So kann auch der Wert einer bestimmten Datenquelle besser eingeschätzt werden.

Den Erfolg bewerten

Die nächste und vermutlich wichtigste Bewertung bezieht sich darauf, wie gut oder schlecht eine Organisation in Bezug auf die Bedrohungen vorgeht. Viele Firmen ziehen es vor, Daten darüber zu sammeln, welche Bedrohungen in ihrer Branche besonders häufig auftreten. Viel wichtiger ist es jedoch, den Bedrohungen zu begegnen und den Fortbestand der Geschäftsaktivitäten zu garantieren. Dabei sollte nie aus den Augen verloren werden, dass reale Bedrohungen existieren. Eine der am häufigsten übersehenen Metriken ist die Zahl der identifizierten Bedrohungen, die versuchen, die in einer Organisation vorhandenen Schwachstellen auszunutzen. Eine erste Warnung sollte sein, wenn Angreifer damit beginnen, Daten über die Sicherheitslösungen zu sammeln. Deswegen sollte auch immer ausgewertet werden, wie viele Angriffe abgewehrt werden konnten.

Eine Abwehrrate von 99 Prozent bedeutet naturgemäß, dass ein Prozent der Angriffe Erfolg haben. Alle Aktivitäten müssen in Bezug zu den Risiken und Kosten gesetzt werden, die sie verursachen. Angenommen, es kommt aufgrund der genannten ein Prozent zu einem erfolgreichen Einbruch, dann stellt sich die Frage, wie hoch die Kosten der Wiederherstellung sind? Wie viel Zeit wird benötigt, um die betroffenen Systeme oder ein einzelnes betroffenes System wieder in den ursprünglichen sauberen Zustand zurück zu versetzen und dabei alle notwendigen Patches einzuspielen?

Alle wesentlichen Daten über Angriffe müssen aufgezeichnet und gespeichert werden. Dazu gehören das Datum und die Uhrzeit, wann verschiedene Phasen erfolgten, aber auch Daten über die Art der Angriffe und von wem sie ausgingen. Informationen darüber, ob ein Angriff von innen oder außen kam, sind ebenfalls wichtig, aber auch über den Angreifer selbst. So sind bei einem erfolgreichen Phishing-Angriff ein unvorsichtiger Mitarbeiter („Insider“) sowie ein externer Anstifter („Outsider“) beteiligt, von dem der Betrugsversuch ausging. Diese verschiedenen Akteure müssen vermerkt und gruppiert werden, damit die Bedrohungsmetriken ihre Gültigkeit behalten.

Wann ein Angriff entdeckt wurde und wie lang es dauerte, den Schaden einzudämmen, sind ebenfalls wichtige Informationen. Letztlich sollten alle diese Werte anhand einer Zeitachse aufgezeichnet werden. Wenn kein eigenes Threat-Intelligence-Team in einem Unternehmen vorhanden ist, ist es das absolute Minimum, diese Daten mindestens einmal im Quartal auszuwerten. Besser ist es jedoch, sie wöchentlich zu erstellen, so dass bestimmte Trends mithilfe von wöchentlichen, monatlichen, vierteljährlichen oder jährlichen Berichten leichter erkannt werden können.

Fazit

Threat Intelligence ist ein komplexer Bereich und jedes Unternehmen muss für sich selbst entscheiden, wie viel es in Bedrohungsanalysen investieren will. In vielen Fällen hängt der Aufwand meist vom Wert der zu schützenden Besitztümer ab. Services zur Bedrohungsanalyse lassen sich nicht so stark individualisieren wie selbst gehostete Lösungen. Auf der anderen Seite können sie auf Ressourcen und Erfahrungen zurückgreifen, die vielen kleinen und mittleren Unternehmen nicht zur Verfügung stehen. Größere Unternehmen können und sollten ein eigenes Team zur Bedrohungsanalyse aufbauen, das eng mit Data Scientists zusammenarbeitet. So lassen sich nicht nur Gefahren analysieren, sondern auch andere Daten wie geopolitische Faktoren oder Informationen über ökonomische und umweltrelevante Ereignisse mit in die Auswertungen einbeziehen.

Bedrohungsanalysen konzentrieren sich auf konkrete Bereiche, die Risiken bergen. Dabei ist es gleichgültig, ob eine Organisation groß oder klein ist. Aus diesem Grund sollten sich die ersten Schritte vor allem mit einer umfassenden, detaillierten Analyse der spezifischen Risiken befassen, denen eine Organisation ausgesetzt ist. Nur dann können die gewonnenen Zahlen und Auswertungen ihre volle Wirkung entfalten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IT-Security: Die aktuellen Herausforderungen für Unternehmen.

Aktuellen Malware-Bedrohungen richtig begegnen.

IT-Security: Technologie alleine löst keine Sicherheitsprobleme.

Einführung in Threat Intelligence Services für Unternehmen.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close