Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass heute jedes international aufgestellte Unternehmen in Deutschland ein potenzielles Ziel für fortgeschrittene Cyber-Attacken ("Advanced Persistent Threats", kurz APTs) ist. Kleine und mittlere Unternehmen gehören genauso zu den Angriffszielen wie große Konzerne.
Die Möglichkeiten, sich gegen komplexe Angriffe zu schützen, sind im Mittelstand allerdings oftmals gering ausgeprägt. Umso wichtiger ist es, mögliche Angriffe frühzeitig erkennen und bereits vor dem eigenen Netzwerk abwehren zu können.
Frühwarnsysteme fehlen gerade im Mittelstand
Viele Unternehmen in Deutschland sind sich der neuen Cyber-Bedrohungen aber nicht bewusst, wie eine Studie von Vanson Bourne im Auftrag von BT zeigt: Für nur 19 Prozent der deutschen Top-Manager genießt die IT-Sicherheit eine hohe Priorität. An Frühwarnsysteme, Threat-Monitoring- oder Threat-Intelligence-Lösungen gegen Cyber-Attacken denken viele deshalb noch nicht.
Threat-Monitoring- beziehungsweise Threat-Intelligence-Lösungen könnten dabei helfen, Cyber-Attacken früher zu erkennen, indem sicherheitsrelevante Daten aus verschiedenen, verteilten Quellen ausgewertet und für die Bedrohungsvorhersage genutzt werden, zum Beispiel Daten über erkannte Malware- und Spam-Attacken auf andere Unternehmen.
Eine Umfrage unter IT-Sicherheitsverantwortlichen durch das Ponemon-Institut ergab, dass 40 Prozent der Befragten in keiner ihrer Sicherheitslösungen Hinweise aus Threat-Intelligence-Lösungen als Frühwarnsystem importieren. 59 Prozent der Befragten sind nicht in der Lage, Threat-Intelligence-Analysen mit ihren existierenden Security-Produkten effektiv zu nutzen.
Es besteht somit ein hoher Bedarf an einfach zu integrierenden, leicht zu bedienenden Frühwarnsystemen, die die Sicherheitslösungen der Unternehmen mit konkreten Warnhinweisen versorgen. Hier kommen Threat-Monitoring-Lösungen aus der Cloud ins Spiel, die extern betrieben werden, vielfältige sicherheitsrelevante Informationsquellen nutzen und kein ausgeprägtes Fach-Know-how bei den Anwenderunternehmen voraussetzen.
Threat Monitoring gibt es aus der Cloud
Die Auswahl an Threat-Monitoring-Lösungen aus der Cloud ist inzwischen reichlich, darunter finden sich Arbor Networks Pravail Security Analytics, BT Assure Threat Monitoring-Service, Check Point ThreatCloud Managed Security Service, Cisco Cognitive Threat Analytics, Dell SecureWorks Advanced Endpoint Threat Detection, FireEye Managed Defense, RSA Web Threat Detection und Trustwave Threat Correlation Service.
Anwenderunternehmen sollten allerdings nicht nur auf die monatlichen Nutzungsgebühren achten, wenn eine Entscheidung für einen Cloud-Service als Cyber-Frühwarnsystem ansteht. Damit der Service der Wahl auch tatsächlich die Cyber-Sicherheit erhöht, müssen die jeweiligen Anforderungen an Schnittstellen, Berichte und Alarmierung erfüllt sein. Zudem gibt es Unterschiede bei der Zahl und Art der "Bedrohungssensoren".
Threat-Monitoring-Services: Zahl und Art der Sensoren hinterfragen
Ein Threat-Monitoring-Service erkennt mögliche Cyber-Gefahren durch die zeitnahe Analyse möglichst vieler, relevanter Sicherheitsinformationen, die von Gefahrensensoren bereitgestellt werden. Diese Sensoren sind in der Regel IT-Systeme wie Server, Endgeräte und Netzwerkkomponenten, die der jeweilige Cloud-Service-Provider überwacht.
Eine globale, zumindest aber breite Verteilung der Sensoren, viele verschiedene Typen überwachter Geräte und eine möglichst große Zahl an Sensoren spielen bei der Qualität der Bedrohungsanalysen ebenso eine Rolle wie ein schnelles, leistungsstarkes und intelligentes Analyseverfahren des Threat-Monitoring-Service.
Anwenderunternehmen sollten deshalb nach der Zahl und Art der überwachten IT-Systeme fragen - nicht nur als Referenz, welche Verbreitung der Service bereits genießt, sondern als wichtigen Hinweis auf die Basis für die Bedrohungsanalysen und -vorhersagen. BT zum Beispiel nennt für BT Counterpane mehr als 1.000 Kunden in aller Welt und eine Überwachung von 300.000 Kundengeräten in neun international verteilten Secure Operations Centres (SOC).
Name des Service | Schnittstellen |
Arbor Networks Pravail Security Analytics (Cloud-Version) | -ATLAS (Active Threat Level Analysis System) Intelligence Feed: Sicherheitsinformationen aus den Arbor-Network-Internetanalysen -weitere Threat Intelligence Feeds anderer Anbieter -Upload der Systemprotokolle des Anwenderunternehmens |
BT Assure Threat Monitoring-Service (BT Counterpane) | -Betriebssysteme und Anwendungen wie Datenbankanwendungen -Webserver und Host Intrusion Protection -Netzwerkgeräte wie Firewalls, Switches, Router -Network-Intrusion-Detection- und Intrusion-Protection-Systeme (IPS) |
Check Point ThreatCloud Managed Security Service | -IPS, Anti-Bot, Antivirus -ThreatCloud Real-time Security Intelligence Feeds von Check Point |
Cisco Cognitive Threat Analytics | -Cloud-Security-Netzwerke von Cisco und Sourcefire (Cisco-Unternehmen) -Sicherheitslösung Cisco Cloud-Web-Security -Cisco Advanced Malware Protection (AMP) als Netzwerk- und Endgeräteschutz |
Dell SecureWorks Advanced Endpoint Threat Detection | -Windows Server, Notebooks, Desktops -Sicherheitsinformationen aus dem Dell SecureWorks Targeted Threat Hunting Service, der für über Hundert Auftraggeber ausgeführt wird |
FireEye Managed Defense | -Sicherheitsinformationen der überwachten Geräte -FireEye-Cybercon-Berichte zum Beispiel über Advanced-Persistent-Threat (APT)-Kampagnen oder Zero-Day-Attacken |
RSA Web Threat Detection | -RSA Web Session Intelligence zur Analyse des Verhaltens von Webseiten-Besuchern -RSA Profile Analyzer zum Vergleich des Webseiten-Besucherverhaltens mit früheren Verhaltensmustern |
Trustwave Threat Correlation Service (TTCS) | -Datenbanken mit Botnet Domains, Malware Domains, Phishing Domains -Bedrohungsdaten von TTCS-Crowd-Source-Kunden, die die Trustwave SIEM Enterprise oder SIEM Operations Edition nutzen -Informationen über verseuchte Hosts und Malware-Quellen aus automatischen SpiderLabs-Untersuchungen -Sicherheitsinformationen von Trustwave-Security-Lösungen wie Secure Web Gateway |
Threat-Monitoring-Services: Schnittstellen prüfen
Wie hilfreich ein Threat-Monitoring-Service sein kann, hängt einerseits davon ab, von welchen IT-Systemen sicherheitsrelevante Informationen bezogen und analysiert werden können. Es kommt aber andererseits auch darauf an, an welche Sicherheitslösungen die Warnungen und konkreten Alarmierung übergeben werden können.
Informationsdienste wie Cyberthreat Real Map auf Basis des Kaspersky Security Network (KSN) zeigen eindrucksvoll die Gefahrenlage im Internet und liefern sehr wertvolle Informationen. Die Bedrohungsdaten lassen sich jedoch nicht ohne Weiteres automatisiert nutzen und in Sicherheitslösungen eines Anwenderunternehmens integrieren, sodass diese auf die Gefahrenlage automatisch besser reagieren könnten. Anders sieht dies bei Sicherheitstacho.eu aus. Hier gibt es eine definierte Schnittstelle und Anleitung zur Integration des Frühwarnsystems der Deutschen Telekom.
Nachstehende Tabelle gibt eine Übersicht zu den Schnittstellen, die die eingangs erwähnten Anbieter für ihre Threat-Monitoring-Services nennen.
Threat-Monitoring-Services: Reporting, Alarming und Dashboards müssen passen
Neben der Übertragung der Bedrohungsanalysen an interne oder ebenfalls als Service angebotene Sicherheitssysteme wie ein IPS (Intrusion Prevention System) bieten Threat-Monitoring-Services auch Berichtsfunktionen. Dies können E-Mails an den Administrator des Anwenderunternehmens sein mit dem regelmäßigen Bericht in PDF-Form, aber auch SMS-Nachrichten über akute Bedrohungen.
Je nach Service-Level werden zum Beispiel beim Check Point ThreatCloud Managed Security Service die Warnmeldungen direkt dem Nutzer automatisch zugestellt oder von Security-Analysten im Check Point Security Operation Center zuvor einer genauen Prüfung unterzogen. Je nach Kritikalität der Warnungen und je nach Service-Stufe sind zudem die garantierten Reaktionszeiten bei Sicherheitsvorfällen verschieden.
Zusätzlich bieten viele Threat-Monitoring-Services für den Nutzer ein Managementportal mit Dashboard an, das in einem bestimmten Rahmen individualisiert werden kann. Je nach internem Bedarf lassen sich so übersichtliche Management-Reports oder Nachweise über ergriffene Sicherheitsmaßnahmen entsprechend der jeweiligen Compliance-Vorgaben generieren.
Threat-Monitoring-Services: Datenschutz nicht vergessen
Wenn Daten an Dritte übertragen werden, sollte auch an den Datenschutz gedacht werden: Wer einen Threat-Monitoring-Service nutzt, wird oftmals auch selbst sicherheitsrelevante Daten zurückspielen. Die sicherheitsrelevanten Informationen, die an den Threat-Monitoring-Service übertragen werden, könnten personenbezogene Nutzerdaten enthalten. Diese unterliegen einer besonderen Zweckbindung (§ 31 BDSG) und müssen vor Missbrauch geschützt werden.
Bevor die Systemprotokolle der überwachten Anwendungen und Geräte an den Threat-Monitoring-Service-Provider geschickt werden, sollte deshalb sichergestellt werden, dass die Daten anonymisiert oder pseudonymisiert sind.
Andernfalls könnte die Steigerung der Cyber-Sicherheit durch einen Threat-Monitoring-Service ungewollt dazu führen, dass die Daten der Mitarbeiterinnen und Mitarbeiter des Unternehmens oder anderer Nutzer gefährdet oder zumindest unerlaubt an Dritte übermittelt werden.
Gute Threat-Monitoring-Services nehmen den Datenschutz ernst, machen auf die notwendige Anonymisierung oder Pseudonymisierung der Systemprotokolle in der Schnittstellenbeschreibung aufmerksam und verfügen über eine entsprechende Datenschutzerklärung (Privacy Policy). (sh/hal)