Data Exchange Layer (DXL)

Zusammenarbeit in der IT-Sicherheit

| Autor / Redakteur: Hans-Peter Bauer* / Peter Schmitz

Industriestandards sind für die IT-Sicherheitsbranche ein notwendiger Schritt, um die Zusammenarbeit gegen Angriffe zu verbessern und den Austausch von Informationen zu erleichtern.
Industriestandards sind für die IT-Sicherheitsbranche ein notwendiger Schritt, um die Zusammenarbeit gegen Angriffe zu verbessern und den Austausch von Informationen zu erleichtern. (Bild: Pixabay / CC0)

Kaum ein Unternehmen setzt nur Lösungen von einem Sicherheitsanbieter ein, aber die wenigsten Sicherheitslösungen zur Malware- und Angriffserkennung kommunizieren mit den Lösungen anderer Hersteller. Damit Unternehmen auf das gebündelte Wissen verschiedener Hersteller zugreifen können, gibt es den Data Exchange Layer (DXL). DXL ist eine von Intel Security entworfene Plattform in der es die Open-Source-Standards STIX und TAXII den Austausch von Informationen über Sicherheitslücken, Angriffsvektoren und geeignete Gegenmaßnahmen ermöglichen.

IT-Sicherheit wird immer komplexer. Cyber-Kriminelle arbeiten mit immer professionellerer Software sowie neuen Methoden und auch Amateure kommen über das Darknet immer leichter an „Malware-Baukästen“. Darüber hinaus bringt die Digitalisierung immer wieder neue Anforderungen an die Absicherung von Netzwerken mit sich, da sich die gewohnten Infrastrukturen durch zunehmende Schnittstellen und Anwendungen immer weiter verändern und ausbreiten.

Unternehmen müssen ihre Sicherheitslösungen neu organisieren, um mithalten zu können. Kern einer modernen Strategie ist der „Threat Defense Lifecycle“. Dieser Kreislauf der Bedrohungsabwehr deckt alle Schritte - vom umfassenden Systemschutz, über das Erkennen neuer Bedrohungen und ihrer Bereinigung - ab und kann so einen automatisierten und selbstlernenden Schutz vor Cyber-Bedrohungen bereitstellen.

Der Data Exchange Layer - automatisieren heißt standardisieren

Einzelne Sicherheitsanbieter sind nicht in der Lage, alle Sicherheits- sowie Compliance-Anforderungen abzudecken und können im Falle von IT-Sicherheitsvorfällen oft nur reagieren. Das bedeutet einen immensen administrativen und finanziellen Aufwand. Daher lohnt es sich für Unternehmen, präventiv auf das gebündelte Wissen verschiedener Hersteller zugreifen zu können. Der Data Exchange Layer ist eine Plattform, von der aus auf eine Vielzahl von Lösungen zugegriffen werden kann. Das bietet nicht nur eine erheblich größere Abdeckung potenzieller Lücken, sondern auch die Möglichkeit zum Informationsaustausch. Dadurch können leichter präventive Maßnahmen gegen neue Bedrohungen ergriffen werden.

Über die DXL-Architektur können DXL-Clients (Services) dank Nachrichten-Bus nahezu in Echtzeit miteinander kommunizieren. Anwendungen veröffentlichen beziehungsweise abonnieren lediglich Meldungsthemen oder kontaktieren DXL-Services per Anfrage/Antwort, so wie das auch bei RESTful-APIs der Fall ist. Die Struktur überträgt die Meldungen und Anfragen dann ohne Verzögerung.

Broker leiten die Meldungen zwischen den Clients weiter, die mit dem Nachrichten-Bus verbunden sind. Broker können miteinander verbunden ("überbrückt") sein, um Redundanz, Skalierbarkeit sowie Kommunikation zwischen unterschiedlichen geographischen Standorten zu ermöglichen. Clients sind zum Zweck des Meldungsaustauschs mit Brokern verbunden. Die Kommunikation mit den Brokern erfolgt über eine TLS-basierte Verbindung mit bidirektionaler Authentifizierung (PKI). McAfee-Produkte – einschließlich DXL – werden mithilfe von McAfee ePO verwaltet. McAfee ePO verwaltet nicht nur die Topologieinformationen der DXL-Struktur und die Autorisierungsregeln für die Struktur, sondern liefert auch Übersichten zur Darstellung des aktuellen Status der Struktur.

Die Open-Source-Standards STIX und TAXII ermöglichen in dieser Sicherheitsarchitektur den Austausch von Informationen über Sicherheitslücken, Angriffsvektoren und geeignete Gegenmaßnahmen. Hinter der Entwicklung stand bis vor kurzem noch die non-profit MITRE Corporation, die auch das Webverzeichnis CVE (Common Vulnerabilities and Exposures) betreibt. Inzwischen werden STIX und TAXII vom OASIS Cyber Threat Intelligence (CTI) TC betreut. Als einheitliche Schnittstelle für den Datenaustausch können STIX und TAXII von allen Security-Anbietern und Unternehmen frei genutzt werden.

STIX: Structured Threat Integration eXpression

STIX ist eine Sprache im XML-Format, in der Daten über Cyber-Bedrohungen spezifiziert, erfasst und weitergegeben werden. Die Strukturierung ermöglicht automatisierte Prozesse, Flexibilität und Zugänglichkeit mit zwei Kernzielen: Einerseits sollen stark domänenspezifische oder lokalisierte Anwendungen hindernisfrei umgesetzt werden können. Andererseits schafft dies eine Grundlage für nutzergetriebene Innovationen, denen starre Strukturen eher entgegenstehen.

Die datenzentrierten XML-Dokumente eignen sich für alle denkbaren Anwendungsfälle, weil sie nicht nur von Maschinen, sondern auch von Menschen lesbar sind. Sie können Indikatoren, Zwischenfälle sowie Angriffsvektoren, -techniken und -prozeduren erfassen und binden dabei auch Sicherheitslücken sowie mögliche Gegenmaßnahmen ein. Neben technischen Aspekten sollen auch Informationen über Cyber-Kriminelle und ihre Kampagnen gesammelt werden.

Das hat Auswirkungen auf eine Reihe von Anwendungsfällen: Die Analyse von Cyber-Gefahren, die Spezifikationen von Indikatoren und Mustern typischer Angriffe sind ein Fokus. Der zweite Kernfokus ist das Management der Gefahrenabwehr, Angriffsprävention und –Erkennung sowie die Schadensbegrenzung nach einem erfolgreichen Angriff. Das STIX-Datenmodell umfasst beispielsweise das Course-of-Action-Schema (COA). Dieses beschreibt Maßnahmen, mit denen auf ein spezifisches Risiko – etwa eine Sicherheitslücke oder einen neuen Angriffsvektor – reagiert werden kann. Dabei werden Urheber der Information, Art der Maßnahme, eine Kurz- und Langbeschreibung sowie Kosten und Ziel der Maßnahme weitergegeben.

Das COA-Schema kann mit weiteren Schemata angepasst werden, um zusätzliche Indikatoren oder Vorfälle einzuschließen und sich auf die individuellen Anforderungen anzupassen. Datensätze über Indikatoren beschreiben unter anderen typische Muster von Zwischenfällen, bewerten ihre Aussagekraft, nennen verknüpfte Angriffsszenarien und denkbare COAs. So helfen sie besonders dabei, Angriffe automatisch zu erkennen.

TAXII: Trusted Automated eXchange of Indicator Information

Während STIX die Daten strukturiert, ermöglicht TAXII den schnellen, vertrauenswürdigen und automatisierten Austausch der Informationen. Unternehmen können Datensätze abonnieren und sich in regelmäßigen Abständen über neue Bedrohungen informieren lassen. Ermöglicht wird dies durch den modularen Aufbau von TAXII und seiner Protokollunabhängigkeit.

Für einen solchen Prozess sind drei Formen wesentlich: Mit einem Hub-and-Spoke-Modell wertet eine Organisation (Hub) die Informationen zentral aus und koordiniert den Austausch zwischen Partnern (Spokes). Diese können Informationen empfangen und senden. Beim Source-Subscriber-Modell ist eine Organisation eine exklusive Informationsquelle und andere Beteiligte empfangen lediglich. Beim Peer-to-Peer-Modell entfällt die zentrale Verteilerrolle und alle Akteure stehen untereinander im Austausch.

Open Data Exchange Layer (OpenDXL)

OpenDXL nutzt den McAfee Data Exchange Layer (DXL), der bereits von vielen Anbietern und Unternehmen verwendet wird, und bietet damit eine einfache, offene sowie Anbieter-unabhängige Möglichkeit zur Integration von Sicherheitstechnologien.

Kooperation zwischen Institutionen und Produkten

Unabhängig vom gewählten Modell ist der Austausch grundlegend, um mit Kriminellen mithalten zu können. Diese kooperieren bereits vermehrt, um die Weitergabe von Know-how zu institutionalisieren. Angriffsvektoren werden gemeinsam entwickelt und umgesetzt, weil dahinter ein ökonomisches Interesse steht: Diese gezielten Advanced-Threat-Kampagnen versprechen eine größere Beute als Einzelaktionen.

Dem muss die Sicherheits-Industrie geschlossen gegenüberstehen. Private und staatliche Zusammenschlüsse entstehen bereits heute: Ein Beispiel ist die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) initiierte Allianz für Cybersicherheit. Institutionelle Kooperation ist aber nur der halbe Weg. In Unternehmen sind oft Sicherheitslösungen mehrerer Hersteller im Einsatz, die höchstens rudimentär interagieren können. Über den Data Exchange Layer können Informationen schnittstellenkompatibel aufgearbeitet und ein Austausch in Echtzeit gewährleistet werden. So entsteht ein umfassendes Schutzschild, in dessen Rahmen Cyber-Angriffe sich schneller und zuverlässiger erkennen und bekämpfen lassen.

Je mehr Partner die Standardisierung übernehmen, umso lückenloser wird der Austausch von Informationen. Mit gebündelter Kompetenz entsteht so eine neue Bedrohungsintelligenz.

* Hans-Peter Bauer ist Vice President Central Europe bei Intel Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44591645 / Protokolle und Standards)