Threat Defense Lifecycle

Automatisierter Schutz vor Cyberkriminalität

| Autor / Redakteur: Hans-Peter Bauer / Peter Schmitz

Nach den drei Phasen des „Threat Defense Lifecycle“ von McAfee lassen sich Teile der IT-Sicherheit automatisieren um schnellere Reaktionszeiten zu ermöglichen.
Nach den drei Phasen des „Threat Defense Lifecycle“ von McAfee lassen sich Teile der IT-Sicherheit automatisieren um schnellere Reaktionszeiten zu ermöglichen. (© fotohansel - Fotolia)

IT-Bedrohungen werden immer komplexer. Um mit der wachsenden Bedrohung Schritt halten zu können, müssen Anbieter und Unternehmen neue Wege beschreiten, um sich vor Gefahren schützen zu können. Eine automatisierte Strategie kann dabei helfen, virtuelle Angriffe besser erkennen und bekämpfen zu können. Um eine Automatisierung der IT-Sicherheit zu erreichen, müssen Unternehmen allerdings zuerst wichtige Security-Systeme vernetzen.

Die virtuelle Bedrohungslage wächst. Immer mehr Cyberkriminelle nutzten im vergangenen Jahr Ransomware, um Firmen lahmzulegen und sie dazu zu bringen, Lösegeld zu zahlen. Längst stehen hinter einem solchen Angriff nicht mehr nur einzelne Personen, sondern große multinationale Banden.

So wie Kriminelle die wirtschaftlichen Möglichkeiten des Internet-Zeitalters für sich entdecken, stehen Unternehmen vor der großen Aufgabe, sich angemessen abzusichern. Dabei stehen sie jedoch vor großen Herausforderungen. Je mehr sich Hacker zusammenschließen, umso mehr Know-How haben sie auch und können bessere Schadsoftware entwickeln. Und während sich die Hacker-Gemeinschaft immer weiter vergrößert, mangelt es in den Unternehmen an Sicherheitsexperten: In einer Cybersecurity-Workforce-Umfrage von Intel Security und dem Center for Strategic and International Studies (CSIS) gaben 82 Prozent der Unternehmen an, dass sie nicht genügend kompetente Kräfte im Bereich der IT-Security haben. Bis 2020 werden sogar voraussichtlich 15 Prozent dieser Stellen unbesetzt sein. Zum Engpass an Sicherheitsexperten und den wachsenden Hackergruppen kommt noch hinzu, dass es immer schwieriger wird, Unternehmensnetzwerke zu schützen: Die Zahl der Sicherheitslücken und der potentiellen Einfallstore steigt rasant an, da durch die Cloud die Grenzen zwischen einzelnen Systemen verschwimmen. Zusätzlich tun sich im Internet der Dinge immer mehr Schnittstellen durch verschiedene Geräte auf, was wiederum neue Gefahren mit sich bringt.

Fahrplan gegen Bedrohungen

Durch die stetig steigende Bedrohung und die sich permanent verändernden Bedingungen, müssen Sicherheitsexperten auch ihre Strategie überdenken. Selbstlernende Lösungen sind ein effektiver Schritt, um neuen Bedrohungen begegnen zu können und die menschliche Komponente zu entlasten. Darum macht es besonders Sinn, Teile der IT-Sicherheit zu automatisieren. Reaktionszeiten werden dadurch stark verkürzt und Unternehmen sind deutlich besser gegen Bedrohungen wie Ransomware geschützt. Um solche Lösungen anwenden zu können, muss man die verschiedenen Komponenten des Systems miteinander vernetzen. Das funktioniert nach dem Prinzip des „Threat Defense Lifecycle“, der sich in drei Phasen unterteilen lässt:

1. Phase: Schutz

Grundlegendes Ziel der IT-Sicherheit ist es, sich verbreitende Angriffe zu stoppen, bisher unbekannte Techniken und Schaddaten zu zerstören und die Produktivität der Benutzer zu steigern. Durch die Vernetzung einzelner Systeme laufen Informationen von Endgeräten sowie der Cloud auf einer zentralen Plattform zusammen. Die Fragmentierung der einzelnen Sicherheitsmaßnahmen wird somit minimiert und eine Automatisierung ermöglicht.

2. Phase: Erkennen

Ausgefeilte Angriffstechniken können nicht von einzelnen Analyse-Tools erfasst werden. Es bedarf heutzutage mehrstufiger Analysen und integrierter Maßnahmen, um unauffällige und versteckte Muster aufdecken zu können. Eine starke Vernetzung ermöglicht einen grundlegenden Informationsaustausch einzelner Sicherheits-Tools und schafft dadurch einen globalen Fundus, der lokal abrufbar ist. Dadurch wird eine effizientere Bedrohungsabwehr ermöglicht. Je mehr Verhaltens- und Kontextanalysen gesammelt und integriert werden, desto größer ist der Überblick und die Erkennung von Bedrohungen. Nicht jeder ist ein Experte auf jedem Gebiet, aber wenn man die unterschiedliche Spezialisierung von Unternehmen vereint, begünstigt das einen weitreichenden Schutz, sofern die einzelnen Anbieter ausreichend miteinander vernetzt sind.

3. Phase: Korrektur

Mit einem umfassenden Schutz und einer verlässlichen Analyse ist es aber noch nicht getan. Im Falle einer konkreten Bedrohung müssen umgehend Maßnahmen ergriffen werden: Die IT muss die Angriffe abwehren, Schaddaten löschen und Sicherheitslücken schließen. Erfahrungswerte und eine breite Datenbasis helfen dabei, diese Aktionen mit möglichst großem Erfolg durchzuführen. Informationen aus tatsächlichen Sicherheitsvorfällen werden vom System gespeichert und in präventive Maßnahmen umgewandelt. Wenn es dann zu einem ähnlichen Angriff kommt, wird automatisch die richtige Gegenmaßnahme eingeleitet. Dadurch sparen Unternehmen im Ernstfall wichtige Zeit bis zur Korrektur, minimieren den Schaden und sind optimal geschützt.

Die drei beschriebenen Phasen sind die Grundlage für einen flächendeckenden Schutz weit verzweigter IT-Infrastrukturen. Der Zugriff verschiedener Endgeräte auf eine Vielzahl unterschiedlicher Lösungen kann allerdings nur gelingen, wenn Informationen so verlustfrei wie möglich transferiert werden.

Standards erleichtern das Zusammenspiel

Oft vertrauen Unternehmen bei ihren Sicherheitsprodukten nicht nur auf einen, sondern auf mehrere Anbieter. Dies kann zum Problem werden, wenn die eingesetzten Tools nicht miteinander kommunizieren können. Um alle Werkzeuge zur IT-Sicherheit miteinander zu vernetzen, müssen sich die Hersteller auf industrieweite Standards einigen. STIX (Structured Threat Integration eXpression) und TAXII (Trusted Automated eXchange of Indicator Information) sind zwei solcher Open-Source-Standards. Sie ermöglichen den Austausch von Informationen über Sicherheitslücken, Angriffsvektoren und geeignete Gegenmaßnahmen. Hinter der Entwicklung stand bis vor kurzem noch die non-profit MITRE Corporation, die auch das Webverzeichnis CVE (Common Vulnerabilities and Exposures) betreibt. Inzwischen werden STIX und TAXII vom OASIS Cyber Threat Intelligence (CTI) TC betreut. TAXII schafft eine Grundlage für den Austausch der gesammelten Informationen, während STIX eine Sprache ist, die Datenerfassung im XML-Format ermöglicht.

Diese beiden Standards wurden bereits jetzt von zahlreichen Herstellern in ihre Produkte integriert. Die McAfee Security Innovation Alliance hat es sich als Zusammenschluss mehrerer Sicherheitsanbieter und Partner zur Aufgabe gemacht, diese beiden Standards weiter auszubauen. Die Mitglieder bieten Sicherheitslösungen an, die eine Schnittstelle für STIX und TAXII integriert haben, wodurch ihre Nutzer mehr Bedrohungen in kürzerer Zeit und mit weniger Aufwand abwehren können. Mit der Hilfe von implementierten Standards könnten Sicherheitsanbieter eine Antwort auf Ransomware und vergleichbare Bedrohungen gefunden haben. Denn indem die einzelnen Produkte miteinander vernetzt werden, kann die Unternehmens-IT besser geschützt werden. Eine Automatisierung der Sicherheits-IT und das Vertrauen auf Standards sind ein wichtiger Schritt im Kampf gegen Cyberkriminelle.

Zusammenarbeit in der IT-Sicherheit

Data Exchange Layer (DXL)

Zusammenarbeit in der IT-Sicherheit

23.03.17 - Kaum ein Unternehmen setzt nur Lösungen von einem Sicherheitsanbieter ein, aber die wenigsten Sicherheitslösungen zur Malware- und Angriffserkennung kommunizieren mit den Lösungen anderer Hersteller. Damit Unternehmen auf das gebündelte Wissen verschiedener Hersteller zugreifen können, gibt es den Data Exchange Layer (DXL). DXL ist eine von Intel Security entworfene Plattform in der es die Open-Source-Standards STIX und TAXII den Austausch von Informationen über Sicherheitslücken, Angriffsvektoren und geeignete Gegenmaßnahmen ermöglichen. lesen

Über den Autor: Hans-Peter Bauer ist Vice President Central Europe bei McAfee und hat über 20 Jahre Erfahrung in der Computer- u. Informationstechnologie-Branche.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44681278 / Monitoring und KI)