:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Threat Intelligence Abwehr gezielter Angriffe durch Wissen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Die rasante Zunahme gezielter Angriffe gibt Unternehmen vermehrt Anlass zur Sorge. Gezielte Attacken sind raffiniert, hartnäckig, spezifisch motiviert und in den meisten Fällen finanziell gut abgesichert. Die Gründe von Cyber-Kriminellen sind vielfältig und reichen von strategischen Geschäftsinteressen bis hin zu nationalen Interessen, Spionage oder finanziellen Gewinnen.
Viele Angriffe zielen aber auch darauf ab, die persönlichen Informationen von Einzelpersonen abzuschöpfen. So wurde beispielsweise das Mobiltelefon des CEO von Amazon, Jeff Bezos, gehackt, nachdem er eine WhatsApp-Nachricht erhalten hatte. Diese war laut des offiziellen Untersuchungsberichts offenbar vom saudi-arabischen Kronprinzen gesendet worden. Es ist auch offensichtlich, dass die Angriffe nicht nur Zero-Day-Schwachstellen ausnutzen, sondern auch gezielt nach falschen Security-Konfigurationen Ausschau halten. Es gibt zum Beispiel eine Reihe von Datenverletzungen, die die Fehlkonfiguration der Amazon S3-Buckets ausnutzt. Dadurch wurden bereits mehrere Millionen Datensätze mit sensiblen und vertraulichen Details offengelegt.
Unabhängig von der Motivation und der Art des Angriffs sind gezielte Attacken oft sehr schwer zu erkennen und zu beheben. Ein detailliert geplanter, gezielter Angriff kann auch zu den technisch versiertesten oder erfahrensten Anwendern durchdringen. Sie werden als Advanced Persistent Threats (APT) bezeichnet. Cyber-Kriminelle setzen hoch entwickelte Technologien ein, um wiederholt anzugreifen – und zwar so lange, bis der Angriff erfolgreich ist.
Ein erfolgreicher Angriff kann eine Organisation in die Knie zwingen. So lassen sich beispielsweise die Produktionslinien eines Automobilunternehmens unterbrechen oder vertrauliche Daten einer Bank oder im Gesundheitswesen kompromittieren. Das Ergebnis sind erhebliche betriebliche wie Reputationsschäden.
Cyber Security ist bei allen Unternehmen eines der wichtigsten strategischen Themen, wie eine aktuelle Studie von Infosys zeigt: 83 Prozent der Befragten betrachten Cyber Security als eine kritische Komponente ihres Unternehmens. Führungskräfte aller Branchen sind der festen Überzeugung, dass Cyber Security-Risiken eine der fünf größten Herausforderungen ist, die die Zukunft von Unternehmen verändern.
Um diese zu bewältigen, müssen Unternehmen eine skalierbare Cyber Security-Infrastruktur aufbauen, die sich nahtlos an die sich entwickelnde Bedrohungslandschaft anpassen und auf diese reagieren kann.
Threat Intelligence
Während Organisationen einen Defense-in-Depth-Ansatz verfolgen, um opportunistische Angriffe abzuwehren, müssen sie gezielte Angriffe erkennen und durch den Einsatz entsprechender Informationen über die Attacken eindämmen.
Threat Intelligence wird als evidenzbasiertes Wissen definiert, das kontextbezogen relevant ist. Es lässt sich in Plattformen und Tools integrieren, um Bedrohungen für Personen, Organisationen oder Vermögenswerte in einem standardisierten und einfach verständlichen Format schnell und genau zu erkennen. Es lässt sich in interne (innerhalb der Organisation gesammelte) und externe (von außerhalb der Organisation erworbene) Erkenntnisse wie Nachrichtenabonnements, Community-Feeds usw. unterteilen.
Es gibt drei Arten von Threat Intelligence:
- Strategische Informationen helfen Führungskräften, sich einen Überblick über die Bedrohungslage zu verschaffen und ihre Sicherheitsstrategie zu planen.
- Die taktischen Informationen werden vorwiegend von Analysten genutzt – und zwar für ihre täglichen Sicherheitseinschätzungen im laufenden Betrieb. Auch um Machine-to-Machine-Bedrohungen zu erkennen, sind sie nützlich. Sie können außerdem taktische Entscheidungen unmittelbar beeinflussen.
- Operative Aufklärung liefert Kontext für Sicherheitsereignisse und Zwischenfälle.
Der traditionelle Threat Intelligence-Zyklus besteht außerdem aus sechs verschiedenen Phasen:
- Ausrichtung: Definition der Ziele des Threat Intelligence-Programms
- Sammlung: Sammeln von Informationen, um die Anforderungen des Threat Intelligence-Programms zu erfüllen
- Verarbeitung: Umwandlung von Informationen in ein Format, dass sich breit verwenden lässt
- Analyse: Umwandlung von verarbeiteten Informationen mit menschlichem Input in Threat Intelligence-Informationen. So lassen sich bessere Entscheidungen treffen
- Verbreitung: Verteilen der Informationen an die richtigen Ziele
- Rückmeldung: Prioritäten und Bedürfnisse der Security-Teams verstehen
Threat Intelligence wird für den aktiven Schutz vor Bedrohungen verwendet. Sie reduziert Bedrohungen und erkennt historische bösartige Ereignisse besser. Diese unterstützen die Reaktion auf den jeweiligen Vorfall.
In den meisten Sicherheitsoperationszentren (Security Operations Center, SOCs) verursachen die falsch-positiven Alarme eine hohe Aufmerksamkeit und binden Ressourcen. Die Gründe dafür sind vielseitig, darunter die unzureichende Kenntnis der Angriffstechniken, -taktiken und -verfahren (TTPs) oder der Indikatoren für Gefährdungen (IOC) oder der vom Gegner benutzten Angriffsfläche. Dies ist auf die hohe Zahl der täglichen Alarme und Zwischenfällen zurückzuführen. Threat Intelligence liefert die benötigten Kontextinformationen zu den Indikatoren. Die Security-Analysten erhalten so ein situatives Bewusstsein, während sie den Vorfall untersuchen. Dies unterstützt auch andere damit verbundenen Indikatoren, Kampagnen, Betrieb usw. für eine umfassende Reaktion auf den Vorfall. Dies ist einer der größten Vorteile, den der Zugriff auf taktische und operative Informationen bietet.
Die Vorteile von Threat Intelligence sind im Überblick:
Strategische Intelligenz
Sie liefert ein hohes Niveau an Informationen über die sich verändernden Risiken in der Cyber-Landschaft. Sie liefert aber auch Informationen über neu aufkommende Bedrohungen, den Expositionsindikator der Organisation (Indicator of Exposure, IOE) und ihr Risiko für aktuelle und neu aufkommende Bedrohungen. Dies hilft Führungskräften bei der Entwicklung und Institutionalisierung ihrer Verteidigungsstrategie.
Erkenntnisse
Threat Intelligence erkennt die Sicherheitslage und bietet erweiterte Kenntnisse über feindliche TTPs. Organisationen sind dadurch in der Lage, Bedrohungen wirksam zu begegnen. Sie liefert Details zu bösartigen Domänen, von Gegnern kontrollierten IP-Adressen und allen Schwachstellen, die sich ausnutzen lassen. Auf Basis von Threat Intelligence lässt sich das Bewusstsein schärfen und Wissen über neue Arten von Malware sowie die Indikatoren eines Angriffs vertiefen – und darüber, wie Malware Unternehmen potenziell schaden könnte. So können Organisationen entsprechende Maßnahmen vorbereiten.
Dank des Einsatzes von Treat Intelligence Feeds ist eine moderne Threat Protection-Software in der Lage, Bedrohungen zu suchen und diese zu blockieren, bevor sie Schaden anrichtet. Dazu muss die Anwendung auf Systemen, Netzwerken, E-Mails und Servern für einen umfassenden Schutz implementiert sein.
Threat Intelligence-Informationen zu entwickeln und darauf zu reagieren, ist die Basis einer Cyber Security-Strategie sowie aller Gegenmaßnahmen. Organisationen können gezielte Angriffe effizient erkennen und mindern, indem sie Threat Intelligence nutzen. Diese wird durch kontextbezogene Datenschutz- und Sicherheitstools erweitert, die menschliche Analysten über einen bevorstehenden Cyberangriff informieren.
Da die Welt aus IoT- und physischen Cyber-Systemen besteht, müssen Unternehmen die perfekte Mischung aus Teams, Prozessen und Technologien entwickeln. Sie werden durch Threat Intelligence-Daten ergänzt, um die Cyber-Abwehr gegen gezielte Angriffe in den kommenden Jahren zu stärken und zu verbessern.
Threat Intelligence und Management von Schwachstellen
Threat Intelligence erstreckt sich nicht nur auf die Indikatoren der Bedrohung, sondern auch auf Schwachstellen und Exploits. Diese Informationen werden von den OEMs und auch aus dem Dark Web zusammengetragen. Sie werden dazu verwendet, die Daten über die Schwachstellen hinweg mit Kontextinformationen zu überlagern und helfen so dem Team, Gegenmaßnahmen zu priorisieren. Auf diese Weise erhält die Organisation auch eine Perspektive darüber, wie sie solchen ihrer Exposition gegenüber solchen Schwachstellen ausgesetzt sind – und den Bedrohungen, die diese ausnutzen.
Über den Autor: Vishal Salvi ist CISO und Head of Cybersecurity Practice bei Infosys.
(ID:47304871)
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937673/original.jpg "Smart Cities gehört die Zukunft, aber wird eines der kritischen Systeme kompromittiert, kann das gravierende Auswirkungen auf den Datenschutz und die Datensicherheit der Bürger haben. (SasinParaksa - stock.adobe.com)")