Was ist Cyber Threat Intelligence?

Bedrohung im Cyberspace und deren Abwehr

Der Morgen beginnt gut: Im privaten Email-Postfach befindet sich eine Mail von einem Bekannten, der empört fragt, warum man ihm denn eine Mail mit Werbung für blaue Pillen geschickt habe. Kurz danach schlägt der Login im Online-Banking fehl, obwohl das sorgsam aufgeschriebene Passwort garantiert korrekt eingegeben wurde. Später auf Arbeit ist das Netzwerk abgeschaltet und die Kollegen der Office-IT laufen hektisch herum, um letzte PCs zu untersuchen. Ein Anhang an einer vermeintlichen Bewerbung hatte Schadsoftware im Gepäck…
All diese Dinge werden gerne als “Probleme mit neumodischer Technik” abgetan, aber de facto ist bei der Durchdringung unseres alltäglichen Lebens Cyber Threat Protection keine leere Worthülse, sondern eine stetige Herausforderung.

Was ist Cyber Threat Intelligence?

Lokale Lösungen wie Virenscanner oder Personal Firewalls, die nach klassischem Muster aufgesetzt sind, haben eine große Achillesferse: Die Zeit, die vergeht, bis Virendefinitionsupdates zur Verfügung stehen, nachdem ein neuer Schädling festgestellt wurde. Weiterhin werden im Zeitalter von Webservices und Cloudtechnologie andere Techniken benötigt, um wirkungsvoll gegen zukünftige Bedrohungen zu schützen.
Da bei der Anzahl an verschiedenen Schädlingen die Sicherheitssoftware nicht mehr mit simplen Signaturvergleichen arbeiten kann, muss diese das Verhalten von Software beobachten und analysieren (Heuristik).
Es wird an dieser Stelle somit anhand von Indizien und Zusammenführung von Meldungen ein Scoring erstellt. Die dabei angewendeten heuristischen Verfahren sind entfernt mit den Methoden von Wirtschaftsauskunfteien vergleichbar, die versuchen Bonitäten zu ermitteln. Cyber Threat Intelligence stellt somit grob vereinfacht eine Art Sicherheitsbonitätsauskunft für Software und Zugriffe dar.
Im Rahmen heutiger Sicherheitsanforderungen und der Bedeutung funktionierender Rechnernetzwerke kommt auch auf internationaler Ebene diesem Thema eine hohe Bedeutung zu. Beispiele wären Hackerattacken von Geheimdiensten auf Ziele im Ausland oder Einmischung in Wahlkämpfe mittels Manipulation in sozialen Medien.

Wie funktioniert Cyber Threat Intelligence?

Zum Erfassen möglichst vieler Meldungen ist es hilfreich, verschiedene Systeme zu koppeln. In einem Unternehmensnetzwerk existiert meist eine zentrale Firewall auf dem Weg ins Internet sowie Virenscanner (meist incl. lokaler Firewalls) auf dem Arbeitsplatz (Endpoint). Können diese Daten austauschen, wenn Auffälligkeiten beobachten werden, lassen sich dynamisch im Betrieb Filterregeln anpassen und erweitern. Meldet Beispielsweise ein Virenscanner auf einem Desktop verdächtige Verbindungsversuche einer heruntergeladenen Applikation, so kann die Firewall den Port und das Ziel in Echtzeit für alle anderen Rechner sperren und auf dem Webproxy den Downloadlink der Applikation ebenfalls sperren. In Verfeinerung dieser Technik kann Sicherheitssoftware derartige Daten mit dem Hersteller austauschen. Dieser betreibt in der Regel zusätzlich eigene Honeypots und eine eigene Abteilung zur Analyse und Verifizierung von Auffälligkeiten. Weiterhin werden proaktive Forschungstätigkeiten unternommen, um Konzepte zur Schädlingsabwehr und Schutz sensibler Strukturen zu entwickeln. Die letztendlich erhältlichen Produkte wie Virenscanner, Firewalls, Application Proxies, Cryptolösungen sind letztendlich nur Bausteine in einem solchen Schutzkonzept.

Eigenschaften und Besonderheiten von Cyber Threat Intelligence Lösungen

Cyber Threat Security erfordert immer einen ganzheitlichen Ansatz. Je nach Konzept lassen sich hier in kleineren Unternehmen mit gekoppelten Firewalls, Application Proxies und Endpunktlösungen (Virenscanner und lokale Firewall) gute Ergebnisse erzielen. Im Regelfall bekommen Abonnementkunden vom Hersteller der Lösung Definitionsupdates in regelmäßigen Abständen geliefert. Viele solche Lösungen übertragen in Echtzeit Telemetriedaten der gescannten Systeme, damit der Hersteller diese Daten mit Daten anderer Anlagen abgleichen und ggf. erste “Nadeln im Heuhaufen” erkennen kann, bevor diese zu einer massiven Bedrohung mutieren.

Bereits kleinere UTM (Unified Threat Management) Firewalls verfügen heutzutage oft über dieses meist aufpreispflichtige Feature, dass die Appliance zu scannende Inhalte zum Hersteller überträgt (bzw. deren Signaturwerte). Die größere Rechenleistung und Datenbasis der Hersteller-Security- Cloud hilft hier bei der zeitnahen Erkenntnis von potentiellen Bedrohungen.

Weitere Lösungen sind mit Systemen des Internetproviders koppelbar, damit brute-force-Angriffe wie dDOS-Attacken auf Ebene des Providers abgewehrt werden können, bevor diese die Leitungen blockieren oder eine lokale Firewall-Appliance an die Grenzen ihrer Verarbeitungsfähigkeit bringen.

Fazit

In der schnelllebigen heutigen Zeit lassen sich die aktuellen Bedrohungen nicht mehr vollständig mit lokalen Insellösungen abwehren. Hier sind vernetzte Sicherheitssysteme im Trend, die zeitnah, möglichst in Echtzeit, ihre Daten miteinander austauschen, um Trends zu erkennen. Diese werden durch Dienstleistungen diverser Hersteller ergänzt. Diese umfassen Cloudservices, die lokale Firewalls beim Scannen unterstützen bis hin zur Analyse gesammelter Telemetriedaten, um “im großen Bild” Bewegungen und Trends durch Analysten auswerten zu lassen. Letzteren fallen dann stellenweise auch die berühmten Nadeln im Heuhaufen auf.

Rückmeldungen