29.12.2015 (eh)
4.3 von 5, (4 Bewertungen)

Die Cyber Threat Alliance ist ein guter Bedrohungsanalyse-Ansatz

Die Bedrohungen durch Cyber-Gangster bzw. Cyber-Kriminelle und deren Fähigkeiten nehmen ganz klar zu. Viele Security-Unternehmen kümmern sich deshalb um die IT-Sicherheit bei Unternehmen. Der Security-Spezialist Palo Alto Networks fordert, dass Erkenntnisse zu Cyberbedrohungen geteilt werden, beispielsweise via der »Cyber Threat Alliance«.

Die Top-Cyberbedrohungstrends aus der Sicht von Palo Alto Networks (Bild: Palo Alto Networks)Die Top-Cyberbedrohungstrends aus der Sicht von Palo Alto Networks (Bild: Palo Alto Networks)Wenn Sicherheitsanbieter und Kunden Bedrohungsdaten für sich behalten wollen, begrenzen sie die Fähigkeit der gesamten Branche, neue Bedrohungen zu identifizieren und abzuwehren. Und diese Bedrohungen werden von den verborgenen Akteuren ständig weiterentwickelt und verändern sich. »Die Zeiten, in denen IPS-Signaturen und Host-basierte Anti-Malware-Produkte reichten, um ein Netzwerk zu schützen, sind lange vorbei«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. »Anspruchsvolle Gegner entwickeln ständig neue Methoden, um die Erkennung zu umgehen. Egal, ob dies in Form von neuen Exploits, sich schnell verändernden Malware oder neuen Angriffsvektoren erfolgt: Es ist klar, dass es immer wieder zu erfolgreichen Attacken kommt und kommen wird. Folglich dürfen Erkenntnisse über solche Attacken nicht unnötig geheim gehalten werden.«

Die Geschwindigkeit der Angriffe, sowohl was das Volumen als auch die Verfahren angeht, steigt weiterhin. Je schneller die Sicherheitslösungen Zugang zu relevanten Erkenntnissen bekommen, desto besser werden sie. Insbesondere müssen die Lösungen in der Lage sein, aus einem Satz von Indikatoren, die auf bestimmte Kampagnen und gegnerische Gruppen hindeuten, neue Präventionsmechanismen zu erstellen, um Angriffe zu stoppen.

Malware ist zu leicht veränderbar

Dies ist nach Meinung von Palo Alto Networks ein entscheidender Aspekt, da Malware sehr leicht verändert werden kann. Das einfache Hinzufügen neuer Signaturen, die nach einer bestimmten Datei suchen, reicht hier nicht einmal annähernd. Im Gegensatz dazu sind Kompromittierungsindikatoren (Indicators of Compromise, IOC), wie beispielsweise die IP-Adresse für die Command-and-Control-Kommunikation eines Angreifers, über gesamte Kampagnen oder Angriffsgruppen hin konsistent.

Beim Blick auf die gängige Sprache bei der Bedrohungsanalyse fallen Sicherheitsanbieter häufig in die »Großen Zahlen«-Falle, wenn sie sich damit hervortun versuchen, dass sie »Milliarden« oder sogar »Billionen« von Ereignissen verarbeiten. Diese abstrakten Zahlen liefern Kunden aber laut Palo Alto Networks keinen tatsächlichen Einblick dahingehend, wie relevant oder nützlich diese Ereignisse waren. Vieles davon sind gängige Indikatoren zu Angriffen, die bereits bekannt sind.

Was Sicherheitsanbieter überhaupt verarbeiten können

Obwohl die Breite der Analyse wichtig ist, ist auch das größte Sensornetzwerk der Welt von Natur aus begrenzt. Es hat nur Einblick in Ereignisse, dies es direkt beobachten kann, die also bei den Mitgliedern des Kollektivs, also den Kunden, stattfinden. Um dies zu verdeutlichen, verweist Palo Alto Networks auf einige einfache Rechenexempel:
► Mittelständische Anbieter von Sicherheitssoftware haben im Schnitt je 30.000 Kunden, so die Annahme. Nehmen wir weiter der Einfachheit halber an, es gibt weltweit zwanzig dieser Anbieter. Dies bedeutet, diese zwanzig Anbieter könnten theoretisch Bedrohungsdaten von 600.000 Kunden nutzen.
► Große Sicherheitsanbieter haben jeweils 100.000 Kunden. Nehmen wir an, es gibt fünf davon. Insgesamt könnten diese großen Anbieter Daten von 500.000 Kunden verarbeiten.

In diesem Szenario gäbe es 1,1 Millionen potenzielle Kunden, die durch ihre gemeinsame Bedrohungserfassung einen Beitrag zum Schutz anderer Unternehmen liefern könnten. Das Problem ist, dass kein Sicherheitsanbieter Einblick hat in mehr als elf Prozent der gesamten Bedrohungserkennung. In der realen Welt gibt es noch mehr Sicherheitsanbieter, somit sind diese Größenordnungen noch gewaltiger. Palo Alto Networks wirft deshalb die Frage auf: Wäre ein Kunde zufrieden, wenn ihm ein führender Sicherheitsanbieter sagt, dass er nur zehn Prozent aller möglichen Angriffe zu stoppen vermag?

Palo Alto Networks rät, nur einmal den Wert zu betrachten, den Sicherheitsanbieter der gesamten Community zur Verfügung stellen könnten, wenn sie Bedrohungsinformationen in einer freien, offenen Art und Weise teilen würden. Denn den Angreifern ist es egal, welches Produkt ein Unternehmen zum Schutz seines Netzwerks im Einsatz hat. Die Sicherheitslage sollte dadurch nicht eingeschränkt sein. Der Wettbewerb unter den Anbietern würde zudem weiter bestehen. Die Zusammenarbeit bedeute nicht, dass jeder Anbieter genauso innovativ sein werde, dieses gemeinsame Wissen zu nutzen, um Angriffe zu verhindern. Anbieter ließen sich aber anhand dieser Fähigkeiten beurteilen.

Das sollten Unternehmen bei ihrem Sicherheitsanbieter beachten

Um die bisherige Philosophie zu verändern, gilt es den Wandel voranzutreiben. Kunden, die sich einen neuen Sicherheitsanbieter ansehen, sollten laut Palo Alto Networks die folgenden Fragen stellen:
► Teilt der Anbieter Bedrohungsinformationen mit seinen Wettbewerbern?
► Kann er neue Schutzmaßnahmen aus geteiltem Wissen hervorbringen?
► Ist er Mitglied einer Branchengruppe zum Teilen von Bedrohungsdaten?
► Wie arbeitet er mit Regierungsstellen zusammen, um Daten zwischen öffentlichen und privaten Organisationen zu teilen?

»Es gibt einige Unternehmen, die versuchen, diesen neuen Weg zu beschreiten. So wurde etwa die ‚Cyber Threat Alliance’ von Fortinet, Intel Security, Symantec und Palo Alto Networks gegründet. Die Mitglieder arbeiten auf firmenübergreifender Interessengruppenebene zusammen«, erklärt Henning. »Weitere Unternehmen hätten ebenso Gelegenheit, ihre Bedrohungsdaten zu teilen und so zum großen Ganzen beizutragen: Ziel ist es, die Cybersicherheit für alle zu verbessern. Durch das Teilen von Erkenntnissen über Cyberattacken würden viele profitieren, aber durch das Geheimhalten lediglich die Kriminellen gewinnen.«

.