Bedrohungen effektiv analysieren und abwehren

Interview mit Richard Werner, Business Consultant bei Trend Micro

 

 

 

 

 

Wer die aktuelle Entwicklung in der Cybersicherheit verfolgt, stößt regelmäßig auf zwei Begriffe: „Detection and Response“ und „Threat Intelligence“. Die beiden werden immer dann genannt, wenn nach aktuellen Trends gefragt wird. Doch was steckt eigentlich hinter diesen Bezeichnungen? Richard Werner, Business Consultant bei Trend Micro, klärt auf.

Frage: Threat Intelligence wird regelmäßig als aktueller IT-Security-Trend genannt. Was ist das eigentlich?

Richard Werner: Threat Intelligence oder auf Deutsch Bedrohungswissen bezeichnet im Rahmen der IT-Sicherheit die Gesamtheit aller Daten und Erkenntnisse zu Bedrohungen. Auf Grundlage von Threat Intelligence können bei einem Angriff fundierte Entscheidungen getroffen werden. Dabei geht es aber nicht allein um die Sammlung von Informationen. Ebenso wichtig ist ein tieferes Verständnis dafür, wie Daten dabei helfen können, Bedrohungen effektiver abzuwehren. Im Kern zielt Threat Intelligence darauf ab, den Gegner zu erkennen und besser zu verstehen.

Frage: Welchen Mehrwert bieten diese Informationen?

Richard Werner: Wissen zu Bedrohungen hilft Unternehmen dabei, Erkenntnisse über die Art eines Angriffs zu gewinnen. Damit können sie das eigene Sicherheitsprofil stärken und sich effizienter gegen potenzielle Angriffe verteidigen. Ein Beispiel: Bei einem gezielten Angriff können Indicators of Compromise (IoC) der IT Security dabei helfen, die Art des Angriffs besser zu verstehen. Zu den möglichen Erkenntnissen gehören unter anderem der Bedrohungsakteur sowie die von ihm eingesetzten Werkzeuge, Taktiken und Prozeduren. Beispielsweise lässt sich durch eine Fehler-Ursachen-Analyse der erste Eintrittspunkt ins System ermittelt werden. Unternehmen können auch die schwächsten Punkte in ihrer Verteidigungslinie identifizieren, wie zum Beispiel nicht gepatchte Schwachstellen oder kritische Systeme ohne ausreichenden Schutz. Diese Punkte können dann gezielt geschützt werden.

Frage: Woher stammen die Daten dafür?

Richard Werner: Üblicherweise werden Daten und Erkenntnisse aus internen und externen Quellen genutzt: Das sind einerseits Informationen und Daten, die innerhalb der Organisation gesammelt werden. Dazu gehören Informationen zu vergangenen und aktuellen Angriffen, Netzwerk-Indikatoren sowie Erkenntnisse zu spezifischen Schwachstellen und Exploits, die eine potenzielle Gefahr darstellen. Externe Threat Intelligence umfasst hingegen Informationen, die aus externen Quellen stammen, wie zum Beispiel aus den Datenbanken von Sicherheitsanbietern. Andere mögliche Quellen sind staatliche Organisationen wie Strafverfolgungsbehörden und Crowdsourcing.

Frage: Welche Rolle spielen dabei die bereits vorhandenen Sicherheitslösungen?

Richard Werner: Sicherheitswerkzeuge spielen eine wichtige Rolle in der Threat Intelligence. Sie ermöglichen die Erkennung von bösartigen Inhalten und verdächtigem Verhalten innerhalb des Unternehmensnetzwerks. Diese Lösungen integrieren Technologien wie Datenverkehrsanalysen, also Scans nach verdächtigen Aktivitäten im Netzwerk und Machine-Learning-Algorithmen, die auf Grundlage bereits vorhandener Bedrohungserfahrungen genaue Vorhersagen treffen können.

Frage: Wo liegen die Grenzen von Threat Intelligence?

Richard Werner: Cyberkriminelle arbeiten ständig daran, ihre Methoden und Taktiken zu verbessern und ihre Aktivitäten besser zu verschleiern, um einer Enttarnung zu entgehen. Deshalb ist es wichtig, schon kleine Anomalien zu erkennen, wenn Cyberangriffe rechtzeitig entdeckt und bekämpft werden sollen. Dafür werden gut ausgebildete und erfahrene Spezialisten benötigt, die jedoch durch den Fachkräftemangel in der IT-Sicherheit selten und teuer sind. Das kann dazu führen, dass Threat Intelligence von Unternehmen nicht priorisiert wird, weil den Mitarbeitern die nötige Expertise fehlt, um mit den Informationen sinnvoll umzugehen. Eine Lösung bieten Detection-and-Response-Dienste.

Frage: „Detection-and-Response“ – noch so ein Buzzword! Was hat es eigentlich damit auf sich?

Richard Werner: Detection-and-Response bezeichnet die Erkennungs- und Reaktionsfähigkeiten eines Unternehmens. Diese Tools werten die Informationen aus der Threat Intelligence aus. Damit können sie erfolgreich stattgefundene Angriffe auf das System erkennen und dann, wie es der Name bereits impliziert, dabei helfen, Gegenmaßnahmen ergreifen. Das kann beispielsweise die Entfernung von Malware oder auch das Wiederherstellen verschlüsselter Dateien sein. Viel Beachtung haben vor diesem Hintergrund Lösungen für Endpoint Detection and Response (EDR) erhalten. Diese Werkzeuge tendieren allerdings dazu, nicht eindeutige, „graue“ Alarme zu generieren, die von Mitarbeitern analysiert und interpretiert werden müssen. Damit sind wir wieder beim Problem des Fachkräftemangels. Dienste für Managed Detection and Response (MDR) können hier Abhilfe schaffen.

Frage: Wie sieht diese Hilfe aus?

Richard Werner: MDR-Dienste unterstützen Unternehmen dabei, über alle Endpunkte und Netzwerke hinweg korrekte Korrelationen herzustellen. Dies maximiert den Wert der Bedrohungsdaten, die von den EDR-Werkzeugen geliefert werden. MDR-Teams verfügen über langjährige Erfahrungen und können jederzeit auf das gesammelte Wissen des Sicherheitsanbieters zurückgreifen. Im Falle moderner, komplexer Bedrohungen bringt dies einen entscheidenden Vorteil: Durch die Korrelation verschiedener Indikatoren entsteht ein klares Gesamtbild der Bedrohung. Dies ermöglicht schnellere Reaktionen und die Adressierung potenzieller Bedrohungen, noch bevor diese Schäden im Unternehmen anrichten können. Durch die Bereitstellung der benötigten Expertise hilft Managed Detection and Response dabei, den Mangel an Sicherheitsfachkräften zu adressieren. Im Vergleich zum Aufbau eines eigenen, dedizierten Sicherheitsteams oder SOC können Unternehmen mit MDR schneller Ergebnisse erzielen und in der Regel Kosten einsparen.

Frage: Warum ist das überhaupt notwendig? Sollte Sicherheitssoftware nicht ohnehin alle Angriffe abwehren?

Richard Werner: Hundertprozentige Sicherheit kann es leider nicht geben. Schließlich haben wir es mit menschlichen Gegnern zu tun, die dazu lernen und immer besser werden. Das zeigt sich auch in einem Wandel der Bedrohungslandschaft: Statt wie früher mit einzelnen Attacken und Malware haben sie es immer öfter mit detailliert geplanten und ausgeführten Angriffen zu tun. Diese sind oftmals nur schwer zu erkennen und können einer Organisation verheerenden Schaden zufügen, wenn sie nicht rechtzeitig erkannt und geeignete Gegenmaßnahmen getroffen werden.

Frage: Wie kann der konkret aussehen?

Richard Werner: Ein gutes Beispiel ist die Emotet-Malware-Welle, die aktuell europäische Unternehmen ins Visier nimmt und dabei auch vor durchaus sicherheitsaffinen Firmen nicht Halt macht. Das bringt uns auch wieder zurück zum Thema MDR: Trend Micro entdeckte im Februar 2019 bei einem MDR-Kunden erstmals die Infektion über eine neue Angriffsmethode. Unsere Tools lieferten dabei genügend Analysedaten, um genau zu beschreiben, was passiert war und warum es unseren Schutzsensoren zunächst nicht gelang, dagegen vorzugehen. Auf Basis dieser Informationen konnte der Angriff rechtzeitig eingedämmt werden und führte nicht zum Ausfall der Kundensysteme. Wir veröffentlichten daraufhin unsere Erkenntnisse und passten unsere Schutzfunktionen an, um möglichst alle Kunden vor ähnlichen Vorfällen zu bewahren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.