Frühwarnsystem für Cyber-Bedrohungen
Ratgeber: Threat-Monitoring-Services aus der Cloud
Threat-Monitoring-Services: Zahl und Art der Sensoren hinterfragen
Ein Threat-Monitoring-Service erkennt mögliche Cyber-Gefahren durch die zeitnahe Analyse möglichst vieler, relevanter Sicherheitsinformationen, die von Gefahrensensoren bereitgestellt werden. Diese Sensoren sind in der Regel IT-Systeme wie Server, Endgeräte und Netzwerkkomponenten, die der jeweilige Cloud-Service-Provider überwacht.
Eine globale, zumindest aber breite Verteilung der Sensoren, viele verschiedene Typen überwachter Geräte und eine möglichst große Zahl an Sensoren spielen bei der Qualität der Bedrohungsanalysen ebenso eine Rolle wie ein schnelles, leistungsstarkes und intelligentes Analyseverfahren des Threat-Monitoring-Service.
Anwenderunternehmen sollten deshalb nach der Zahl und Art der überwachten IT-Systeme fragen - nicht nur als Referenz, welche Verbreitung der Service bereits genießt, sondern als wichtigen Hinweis auf die Basis für die Bedrohungsanalysen und -vorhersagen. BT zum Beispiel nennt für BT Counterpane mehr als 1.000 Kunden in aller Welt und eine Überwachung von 300.000 Kundengeräten in neun international verteilten Secure Operations Centres (SOC).
Name des Service | Schnittstellen |
Arbor Networks Pravail Security Analytics (Cloud-Version) | -ATLAS (Active Threat Level Analysis System) Intelligence Feed: Sicherheitsinformationen aus den Arbor-Network-Internetanalysen -weitere Threat Intelligence Feeds anderer Anbieter -Upload der Systemprotokolle des Anwenderunternehmens |
BT Assure Threat Monitoring-Service (BT Counterpane) | -Betriebssysteme und Anwendungen wie Datenbankanwendungen -Webserver und Host Intrusion Protection -Netzwerkgeräte wie Firewalls, Switches, Router -Network-Intrusion-Detection- und Intrusion-Protection-Systeme (IPS) |
Check Point ThreatCloud Managed Security Service | -IPS, Anti-Bot, Antivirus -ThreatCloud Real-time Security Intelligence Feeds von Check Point |
Cisco Cognitive Threat Analytics | -Cloud-Security-Netzwerke von Cisco und Sourcefire (Cisco-Unternehmen) -Sicherheitslösung Cisco Cloud-Web-Security -Cisco Advanced Malware Protection (AMP) als Netzwerk- und Endgeräteschutz |
Dell SecureWorks Advanced Endpoint Threat Detection | -Windows Server, Notebooks, Desktops -Sicherheitsinformationen aus dem Dell SecureWorks Targeted Threat Hunting Service, der für über Hundert Auftraggeber ausgeführt wird |
FireEye Managed Defense | -Sicherheitsinformationen der überwachten Geräte -FireEye-Cybercon-Berichte zum Beispiel über Advanced-Persistent-Threat (APT)-Kampagnen oder Zero-Day-Attacken |
RSA Web Threat Detection | -RSA Web Session Intelligence zur Analyse des Verhaltens von Webseiten-Besuchern -RSA Profile Analyzer zum Vergleich des Webseiten-Besucherverhaltens mit früheren Verhaltensmustern |
Trustwave Threat Correlation Service (TTCS) | -Datenbanken mit Botnet Domains, Malware Domains, Phishing Domains -Bedrohungsdaten von TTCS-Crowd-Source-Kunden, die die Trustwave SIEM Enterprise oder SIEM Operations Edition nutzen -Informationen über verseuchte Hosts und Malware-Quellen aus automatischen SpiderLabs-Untersuchungen -Sicherheitsinformationen von Trustwave-Security-Lösungen wie Secure Web Gateway |
Threat-Monitoring-Services: Schnittstellen prüfen
Wie hilfreich ein Threat-Monitoring-Service sein kann, hängt einerseits davon ab, von welchen IT-Systemen sicherheitsrelevante Informationen bezogen und analysiert werden können. Es kommt aber andererseits auch darauf an, an welche Sicherheitslösungen die Warnungen und konkreten Alarmierung übergeben werden können.
Informationsdienste wie Cyberthreat Real Map auf Basis des Kaspersky Security Network (KSN) zeigen eindrucksvoll die Gefahrenlage im Internet und liefern sehr wertvolle Informationen. Die Bedrohungsdaten lassen sich jedoch nicht ohne Weiteres automatisiert nutzen und in Sicherheitslösungen eines Anwenderunternehmens integrieren, sodass diese auf die Gefahrenlage automatisch besser reagieren könnten. Anders sieht dies bei Sicherheitstacho.eu aus. Hier gibt es eine definierte Schnittstelle und Anleitung zur Integration des Frühwarnsystems der Deutschen Telekom.
Nachstehende Tabelle gibt eine Übersicht zu den Schnittstellen, die die eingangs erwähnten Anbieter für ihre Threat-Monitoring-Services nennen.