Gegenseitige Unterstützung

IT-Security-Experten müssen mehr Informationen teilen

| Autor / Redakteur: Mav Turner* / Stephan Augsten

Wie Bedrohungen aktuell kommuniziert werden

Threat-Feeds sind eine viel gepriesene Technologie, um Informationen über Angriffe schnell auszutauschen, die es Infrastrukturen ermöglichen, neue Gefahren dynamisch zu erkennen und auf diese zu reagieren. Einige dieser Feeds sind schlichte Listen von IP-Adressen oder Netzwerkblöcken, die mit böswilligen Aktivitäten verbunden sind, während andere komplexere Verhaltensanalysen beinhalten.

Der Gedanke, Angriffsmuster oder -signaturen zu kommunizieren, ist nicht neu. In den vergangenen Jahren wurden diese Informationen durch Detektions- und Schutztechnologien aber zunehmend besser integriert. Threat-Feeds garantieren zwar keine Sicherheit, sind jedoch ein Schritt in die richtige Richtung zur Schaffung kollektiver Schutzmechanismen. Außerdem werden die meisten Daten in den heutigen Threat-Feeds anonym veröffentlicht, sodass sie keine namhafte Allianz bilden, aber es ist ein Anfang.

Einige Anbieter von Schutztechniken – wie diejenigen, die Antivirenprogramme und Firewalls anbieten – haben ihre eigenen Feeds erstellt und bieten diese ihren Kunden als Premium-Abonnementdienste an. Obwohl dies ein guter Anfang ist, funktionieren diese Feeds für gewöhnlich nur mit der Technik eines speziellen Anbieters. Außerdem sind sie eingeschränkt dahingehend, wie sie innerhalb einer IT-Struktur wirksam eingesetzt werden können.

Das Problem ist, dass diese Daten, um möglichst effektiv genutzt zu werden, andernorts in der Infrastruktur verankert werden müssten. Es gibt auch herstellerunabhängige Threat-Feed-Quellen, die einen Blick wert sind. Einige Lösungen für die Sicherheitsdaten- und Ereignisverwaltung (SIEM) enthalten beispielsweise solche Funktionen.

Ereignisse in Internet und Netzwerk in Beziehung setzen

Informationen über Bedrohungen zu erhalten und auszutauschen, ist jedoch auch anderweitig möglich. So ist das Internet Storm Center ebenfalls eine gute Informationsquelle zu aktiven Angriffen. Es veröffentlicht Informationen über die wichtigsten schadhaften Ports und IP-Adressen, die von Angreifern verwendet werden.

Wird also der eigene Server im Rechenzentrum bei der Kommunikation mit diesen IPs oder einem dieser Ports ertappt, ist das eine Untersuchung wert. Obwohl es sich als harmlos herausstellen kann, sind dies gute Anhaltspunkte für Ihre eigenen Untersuchungen.

Besser darin zu sein, Daten in internationalen Teams auszutauschen, ist eine weitere Möglichkeit, sich über aktuelle Cyber-Attacken zu informieren. So gaben im Rahmen einer aktuellen SolarWinds-Umfrage weniger als die Hälfte der IT-Experten an, dass ihre Organisationen Sicherheit und andere IT-Prozesse eng miteinander verknüpften.

Dies kann jedoch hilfreich sein, um Angriffe oder Verhaltensweisen zu identifizieren, die ansonsten übersehen werden würden. Ein guter Weg, um damit anzufangen, ist die Verwendung einheitlicher Tools oder Dashboards, die Informationen über den Zustand des eigenen Netzwerks und Systems bereitstellen.

Oftmals können Leistungsdaten genutzt werden, um Sicherheitsvorfälle zu lokalisieren – sei es ein plötzlicher Anstieg bei den ausgehenden Daten, der darauf hinweist, dass jemand Daten herausschleust, oder eine CPU-Spitzenauslastung auf einem Datenbankserver aufgrund eines Angriffs. Dies geschieht am effektivsten durch das Einbeziehen anderer IT-Mitarbeiter in die abschließenden Berichte über Vorfallsreaktionen.

Je besser sie verstehen, wie Bedrohungen entdeckt wurden, desto wachsamer können sie im Erkennen von Anomalien in ihren Systemen sein und die Flagge hissen. Letzten Endes ist es am wichtigsten, dass wir IT-Experten besser darin werden, Informationen über Bedrohungen und Angriffe offen auszutauschen und bestmöglich zu nutzen. Die Sicherheit unserer Daten hängt davon ab.

Mav Turner
Mav Turner (Bild: Solarwinds)

* Über den Autor

Mav Turner ist Director of Product Marketing and Business Strategy bei SolarWinds

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43626145 / Head Geeks Speech)