Begriffe wie "Security Intelligence" oder "Threat Intelligence" sind in aller Munde und Teil vieler Lösungskonzepte, jedenfalls in der IT-Security-Branche. Auf der Anwenderseite sieht es anders aus: Laut einer Studie von Symantec und Deloitte fehlen 54 Prozent der befragten Organisationen die notwendigen Sicherheitsinformationen und Bedrohungsanalysen, um sich gegen fortschrittliche Attacken schützen zu können.
Die IBM CISO-Studie zeigt ein ähnliches Bild: Über 70 Prozent der Befragten gaben an, dass die Nutzung von Security Intelligence in Echtzeit immer wichtiger wird. Trotz dieser hohen Zustimmungsrate sind entsprechende Maßnahmen wie Datenklassifizierung und Security- Intelligence- Analysen noch relativ wenig ausgreift (54 Prozent).
Die fehlende Sicherheitsintelligenz schwächt nicht nur die Abwehr. Mehr als ein Drittel der von Deloitte und Symantec befragten Unternehmen leidet unter Fehlalarmen in der IT-Security, wodurch es bei 84 Prozent zu Netzwerkstörungen und bei 74 Prozent zu Datenverlusten gekommen ist.
Der Bedarf an intelligenten Sicherheitskonzepten ist hoch: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel spricht von zunehmend professionellen und zielgerichteten Attacken, die die Unternehmen Tag für Tag bedrohen.
An Möglichkeiten, die eigene Security Intelligence zu steigern, mangelt es nicht, und laufend kommen neue hinzu: Ob BT Assure Threat Intelligence, Dell SecureWorks Threat Intelligence, FireEye Threat Analytics Platform, IBM QRadar Security Intelligence Platform, Palo Alto Networks WildFire Platform, Panda Advanced Protection Service (PAPS), Resolution1 Platform, Solutionary Targeted Threat Intelligence oder Trend Micro Deep Discovery - dies sind nur einige Beispiele für Lösungen, die dabei helfen, die Abwehrmaßnahmen auf die besonders wahrscheinlichen oder tatsächlich vorliegenden Bedrohungen abzustellen.
Doch es lohnt sich, Security oder Threat Intelligence noch genauer zu betrachten, denn mit Sicherheitsintelligenz ist mehr möglich als eine Optimierung der Angriffserkennung und -abwehr.
Security Intelligence hilft bei der Spurensuche
Unternehmen haben nicht nur Probleme damit, die zunehmend raffinierten Attacken abzuwehren, sie entdecken die erfolgreichen Angriffe oftmals sehr spät oder gar nicht. Nur 24 Prozent der befragten Unternehmen zeigten sich in einer Studie von Intel Security zuversichtlich, einen Angriff innerhalb von Minuten zu entdecken, fast die Hälfte braucht dazu Tage, Wochen oder sogar Monate.
Es steht außer Zweifel, dass die Aufdeckung von Attacken so schnell wie möglich gelingen muss, wenn die Abwehrmaßnahmen keinen Erfolg hatten. Security Intelligence kann die digitale Spurensuche, die IT-Forensik unterstützen und beschleunigen.
So hat IBM die QRadar-Security-Intelligence-Plattform weiterentwickelt, um Attacken früher entdecken zu können. Ebenfalls ergänzt wurde IBM Security Incident-QRadar Forensics. Damit können interne Sicherheitsteams die einzelnen Aktionen Cyber-Krimineller besser nachzuvollziehen.
Sicherheitsvorfälle lassen sich schneller untersuchen und die möglichen Auswirkungen verdächtiger Aktivitäten besser abschätzen. Dazu zeichnet QRadar Incident-Forensics-Aktivitäten im Netzwerk auf, eine Rückverfolgung verdächtiger Aktivitäten wird zeitnah möglich. Warnhinweise bei wachsenden Verdachtsmomenten und forensische Suchfunktionen runden die Security Intelligence in der IT-Forensik ab.
Weitere Beispiele für die Symbiose aus Sicherheitsintelligenz und forensischer Analyse kommen von FireEye mit der Network Forensics Plattform und dem LogRhythm Network Monitor in Verbindung mit der LogRhythm Security Intelligence Platform. Verdächtige Spuren im Netzwerk werden ermittelt und dank Sicherheitsintelligenz hinsichtlich ihrer möglichen Folgen bewertet. Dies hilft bei der Priorisierung der Notfallmaßnahmen nach einem IT-Sicherheitsvorfall.
Sicherheitsmanagement bekommt fundierte Basis
Auf Basis entsprechender Sicherheitsanalysen und Bedrohungsdaten können auch andere Bereiche der IT-Security intelligenter und effektiver werden. Immer dann, wenn Entscheidungen für oder gegen bestimmte Sicherheitsmaßnahmen getroffen oder Maßnahmen priorisiert werden müssen, kann Security Intelligence den Ausschlag geben.
Wie die SANS-Studie "Analytics and Intelligence Survey 2014" zeigt, fehlen Unternehmen insbesondere der Einblick in Applikationen und Schwachstellen, das Wissen um den "Normalzustand", Informationen über Netzwerke, Endpunkte und mobile Geräte sowie der Kontext für die Bewertung der IT-Sicherheitslage.
Genauso wie die geschäftlichen Entscheidungen ein besseres Fundament durch Business Intelligence erhalten können, liefert die Sicherheitsintelligenz eine wichtige Basis für das IT-Sicherheits-Management.
Dies beginnt mit der Unterstützung der Risikoanalyse, der Ermittlung des Schutzbedarfs und schließt präventive Schutzmaßnahmen wie Patch-Management und Zugangskontrolle mit ein. Wenn Security Intelligence erst in den Phasen Angriffserkennung, Abwehr und Spurensuche zum Einsatz kommt, wird viel Potenzial verschenkt.
Security Intelligence wirkt integrativ
Wie vielfältig die Möglichkeiten von Sicherheitsintelligenz sind, zeigen die Schnittstellen der Security-Intelligence-Plattformen. Diese gibt es nicht nur auf der Seite der Datenquellen, sondern auch hin zu den Empfängern der sicherheitsrelevanten Analysen, darunter Lösungen aus dem Bereich Risikomanagement, Network Access Control, Applikationskontrolle, Mobile Device Management oder Verschlüsselung.
Die Plattform ForeScout CounterACT beispielweise verfügt über Schnittstellen zur Security-Intelligence-Plattform ThreatStream, aber auch zu Mobile Device Manager und Schwachstellen-Scanner. Dank Open Integration Modulen können Anwenderunternehmen eigene Schnittstellen entwickeln und weitere IT-Sicherheitslösungen integrieren. Sicherheitsintelligenz kann so bei der Verwaltung von Endgeräten und bei der Schwachstellensuche und -behebung einfließen.
FireEye bietet ein Industry Alliances Program für die Integration von Lösungen unterschiedlicher Hersteller, um auf Basis der FireEye-Plattform eine Next-Generation-Threat-Protection-Infrastruktur zu realisieren. Anbinden lassen sich unter anderem Netzwerk-Gateways, um als riskant eingestufte Zugriffe auf sensitive Informationen in Datenbanken oder auf Dateiserver verhindern zu können.
Risikoanalysen mit Security Intelligence
Der in der SANS-Studie genannte Bedarf an Informationen über Applikationsrisiken kann durch Security-Intelligence-Lösungen gedeckt werden. So hilft die Bit9 Threat Intelligence Cloud bei der Bewertung von App-Risiken und damit beim Whitelisting von Applikationen, die im Unternehmen freigegeben werden. Die Risiken mobiler Applikationen zu bewerten und die Apps entsprechend zu blockieren - dies wird unterstützt durch die Sicherheitsintelligenz der FireEye-Lösung Mobile Threat Prevention. Die Lösung untersucht Apps vor abgeschlossener Installation und nutzt Security Intelligence, um das Risiko für den Nutzer zu ermitteln, Apps zu analysieren und schädliche Anwendungen zu erkennen und zu blockieren.
Das Identitätsmanagement, genauer die Risikobewertung digitaler Identitäten, gehört ebenfalls zu den Bereichen, die mit Security Intelligence deutlich gewinnen. So wurde kürzlich die Integration der ForgeRock Identity Platform mit der FireEye Threat Analytics Platform (TAP) bekannt gegeben. Anwenderunternehmen können das Risiko digitaler Identitäten auf Basis von aktuellen Daten wie Standort, IP-Adresse, Zeitpunkt und identifiziertem Gerät bewerten. Die Kombination von Identity Management und Security Intelligence versetzt Unternehmen zudem in die Lage, Angriffe auf Grundlage gestohlener Identitäten besser und schneller zu erkennen.
Die Lösung Privileged Threat Analytics von CyberArk sucht nach Anomalien im Verhalten privilegierter Nutzer wie Kontenzugriffen zu eher ungewöhnlichen Tageszeiten oder eine exzessive Häufung von Zugriffen. Auf Basis der Analyse des Nutzerverhaltens findet eine kontinuierliche Anpassung der Risikobewertung statt. Dabei werden Sicherheitsdaten aus SIEM-Systemen wie HP ArcSight ESM oder Splunk Enterprise genutzt.
Selbst Risiken für geistiges Eigentum lassen sich mit Security Intelligence fundierter bewerten. Perforce Helix Threat Detection ist eine Sicherheitslösung für die Perforce-Helix-Plattform für Source Code Management (SCM) und Content-Kollaboration. Die Lösung identifiziert interne und externe Sicherheitsrisiken für geistiges Eigentum, das mit Perforce Helix verwaltet wird. Ausgewertet werden unter anderem die Zugriffsversuche und Zugriffe auf Quellcode oder Produktdesigns. Auf Basis der Risikobewertung werden Warnungen für Aktivitäten, Anwender, Geräte, Projekte und Daten erzeugt.
Mehr Intelligenz in der Prävention
Eine der wichtigsten Maßnahmen der präventiven IT-Sicherheit, das Aufspüren und Beseitigen von Schwachstellen, kann ebenfalls von Security Intelligence profitieren. Der Anbieter Secunia spricht von einer Vulnerability Intelligence, ebenfalls ein intelligentes Schwachstellenmanagement bietet Retina CS von BeyondTrust.
Anwenderunternehmen erhalten mit entsprechenden Lösungen Kenntnis von Sicherheitslücken, deren Risikoeinstufung und Möglichkeiten zur Behebung. Die Suche und Beseitigung von Schwachstellen kann so auf Basis der ermittelten Bedrohungslage priorisiert werden. Der typische Fehler, zuerst häufige, aber weniger kritische Sicherheitslücken zu beheben, kann so vermieden werden.
Security Intelligence kann zudem Lösungen aus dem Bereich Web-Filter und Anti-Phishing mit Informationen füttern, um Entscheidungen über die Bedrohung durch Webseiten oder E-Mails treffsicherer zu machen, wie die entsprechenden Webroot-Dienste auf Basis des Webroot Intelligence Network zeigen. Nutzer werden im Vorfeld über Web- und Mail-Risiken gewarnt, noch bevor die Internetseiten oder E-Mails geöffnet werden.
Security Intelligence: Vorbeugen, Abwehren, Spuren lesen
Wie die Ponemon-Studie "2015 Global Megatrends in Cybersecurity Report" zeigt, gehört Security Intelligence zu den drei Sicherheitsentwicklungen, die aus Sicht der befragten IT-Sicherheitsverantwortlichen am stärksten an Bedeutung gewinnen werden. Dazu wird beitragen, dass sich die Security-Intelligence-Plattformen zunehmend untereinander vernetzen und Daten austauschen, wodurch die Aussagekraft der verfügbaren Sicherheitsintelligenz weiter steigen wird. Ein Beispiel hierfür ist die Cyber Threat Alliance.
Wichtig ist aber, dass die Sicherheitsintelligenz für den kompletten Zyklus des IT-Sicherheits-Managements genutzt wird und nicht erst bei der Erkennung und Abwehr von Angriffen. Der Bedeutung von Security Intelligence im Bereich der Prävention sollte mehr Beachtung geschenkt werden, insbesondere bei der Risikoanalyse, der Kontrolle von Applikation, der Zugangskontrolle und der Beseitigung von Schwachstellen. Dies entspricht dem eigentlichen Gedanken von Sicherheitsintelligenz, Bedrohungen so früh wie möglich zu begegnen. Intelligente Sicherheitskontrollen und vorbeugende Maßnahmen bedeuten dabei einen enormen Mehrwert für die IT-Security. (sh)