Für mehr Datensicherheit: Erkenntnisse zu Cyberbedrohungen müssen geteilt werden

Die Bedrohungsanalyse wäre effektiver, wenn die Anbieter von Sicherheitslösungen Bedrohungsdaten teilen würde. Erste vielversprechende Ansätze, wie die Cyber Threat Alliance, gibt es bereits.

illu cc0 pfeile monitor

Wenn Sicherheitsanbieter und Kunden Bedrohungsdaten für sich behalten wollen, begrenzen sie die Fähigkeit der gesamten Branche, neue Bedrohungen zu identifizieren und abzuwehren. Und diese Bedrohungen werden von den verborgenen Akteuren ständig weiterentwickelt und verändern sich.

»Die Zeiten, in denen IPS-Signaturen und host-basierte Anti-Malware-Produkte reichten, um ein Netzwerk zu schützen, sind lange vorbei«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.

»Anspruchsvolle Gegner entwickeln ständig neue Methoden, um die Erkennung zu umgehen. Egal, ob dies in Form von neuen Exploits, sich schnell verändernden Malware oder neuen Angriffsvektoren erfolgt: Es ist klar, dass es immer wieder zu erfolgreichen Attacken kommt und kommen wird. Folglich dürfen Erkenntnisse über solche Attacken nicht unnötig geheim gehalten werden.«

Die Geschwindigkeit der Angriffe, sowohl was das Volumen als auch die Verfahren angeht, steigt weiterhin. Je schneller die Sicherheitslösungen Zugang zu relevanten Erkenntnissen bekommen, desto besser werden sie. Insbesondere müssen die Lösungen in der Lage sein, aus einem Satz von Indikatoren, die auf bestimmte Kampagnen und gegnerische Gruppen hindeuten, neue Präventionsmechanismen zu erstellen, um Angriffe zu stoppen. Dies ist ein entscheidender Aspekt, da Malware sehr leicht verändert werden kann.

Das einfache Hinzufügen neuer Signaturen, die nach einer bestimmten Datei suchen, reicht hier nicht einmal annähernd. Im Gegensatz dazu sind Kompromittierungsindikatoren (Indicators of Compromise, IOC), wie beispielsweise die IP-Adresse für die Command-and-Control-Kommunikation eines Angreifers, über gesamte Kampagnen oder Angriffsgruppen hin konsistent.

Beim Blick auf die gängige Sprache bei der Bedrohungsanalyse fallen Sicherheitsanbieter häufig in die »Großen Zahlen«-Falle, wenn sie sich damit hervortun versuchen, dass sie »Milliarden« oder sogar »Billionen« von Ereignissen verarbeiten. Diese abstrakten Zahlen liefern Kunden aber keinen tatsächlichen Einblick dahingehend, wie relevant oder nützlich diese Ereignisse waren. Vieles davon sind gängige Indikatoren zu Angriffen, die bereits bekannt sind.

Obwohl die Breite der Analyse wichtig ist, ist auch das größte Sensornetzwerk der Welt von Natur aus begrenzt. Es hat nur Einblick in Ereignisse, dies es direkt beobachten kann, die also bei den Mitgliedern des Kollektivs, also den Kunden, stattfinden. Um dies zu verdeutlichen, genügen einige einfache Rechenexempel:

  • Mittelständische Anbieter von Sicherheitssoftware haben im Schnitt je 30.000 Kunden, so die Annahme. Nehmen wir weiter an, der Einfachheit halber, es gibt weltweit zwanzig dieser Anbieter. Dies bedeutet, diese zwanzig Anbieter könnten theoretisch Bedrohungsdaten von 600.000 Kunden nutzen.
  • Große Sicherheitsanbieter haben jeweils 100.000 Kunden. Nehmen wir an, es gibt fünf davon. Insgesamt könnten diese großen Anbieter Daten von 500.000 Kunden verarbeiten.

In diesem Szenario gäbe es 1,1 Millionen potenzielle Kunden, die durch ihre gemeinsame Bedrohungserfassung einen Beitrag zum Schutz anderer Unternehmen liefern könnten. Das Problem ist, dass kein Sicherheitsanbieter Einblick hat in mehr als 11 Prozent der gesamten Bedrohungserkennung. In der realen Welt gibt es noch mehr Sicherheitsanbieter, somit sind diese Größenordnungen noch gewaltiger. Wäre ein Kunde zufrieden, wenn ihm ein führender Sicherheitsanbieter sagt, dass er nur 10 Prozent aller möglichen Angriffe zu stoppen vermag?

Betrachtet man nur einmal den Wert, den Sicherheitsanbietern der gesamten Community zur Verfügung stellen könnten, wenn sie Bedrohungsinformationen in einer freien, offenen Art und Weise teilen würden. Den Angreifern ist es egal, welches Produkt ein Unternehmen zum Schutz seines Netzwerks im Einsatz hat. Die Sicherheitslage sollte dadurch nicht eingeschränkt sein. Der Wettbewerb unter den Anbietern würde zudem weiterbestehen. Die Zusammenarbeit bedeutet nicht, dass jeder Anbieter genauso innovativ sein wird, dieses gemeinsame Wissen zu nutzen, um Angriffe zu verhindern. Anbieter ließen sich aber anhand dieser Fähigkeiten beurteilen.

Um die bisherige Philosophie zu verändern, gilt es den Wandel voranzutreiben. Kunden, die sich einen neuen Sicherheitsanbieter ansehen, sollten die folgenden Fragen stellen:

  • Teilt der Anbieter Bedrohungsinformationen mit seinen Wettbewerbern?
  • Kann er neue Schutzmaßnahmen aus geteiltem Wissen hervorbringen?
  • Ist er Mitglied einer Branchengruppe zum Teilen von Bedrohungsdaten?
  • Wie arbeitet er mit Regierungsstellen zusammen, um Daten zwischen öffentlichen und privaten Organisationen zu teilen?

»Es gibt einige Unternehmen, die versuchen, diesen neuen Weg zu beschreiten. So wurde etwa die Cyber Threat Alliance von Fortinet, Intel Security, Palo Alto Networks und Symantec gegründet. Die Mitglieder arbeiten auf firmenübergreifender Interessengruppenebene zusammen«, fasst Thorsten Henning zusammen. »Weitere Unternehmen hätten ebenso Gelegenheit, ihre Bedrohungsdaten zu teilen und so zum großen Ganzen beizutragen: Ziel ist es, die Cybersicherheit für alle zu verbessern. Durch das Teilen von Erkenntnissen über Cyberattacken würden viele profitieren, aber durch das Geheimhalten lediglich die Kriminellen gewinnen.«

Weitere Artikel zu