Vorteile des Informationsaustauschs zwischen Security-AnbieternEinzelkämpfer haben es schwer bei der Cyber-Sicherheit
26. Juli 2023Der Austausch von Bedrohungsdaten macht alle Beteiligten sicherer. Zu diesem Ergebnis kommt das Bedrohungs-Analyseteam Unit 42 von Palo Alto Networks.
Unit 42 teilt die gewonnenen Erkenntnisse über die Aktivitäten von Cyber-Angreifern seit vielen Jahren regelmäßig mit der Cyber Threat Alliance (CTA). Dabei handelt es sich um eine Organisation zum Austausch von Informationen, die 2014 von Palo Alto Networks und mehreren Wettbewerbern gegründet wurde. In den vergangenen fast zehn Jahren ist die CTA gewachsen und umfasst nun noch mehr Anbieter von Cyber-Sicherheitslösungen.
Diese Praxis mag ungewöhnlich erscheinen. In den Anfängen der Cyber-Sicherheit bestand ein Teil des Vorteils, der Sicherheitsanbieter auszeichnete, darin, dass sie Erkennungen vorweisen konnten, die andere nicht auf dem Radar hatten. Der Austausch von Bedrohungsdaten ist jedoch eine wichtige Praxis, die letztlich alle sicherer macht – und sie lässt den teilnehmenden Anbietern viel Raum, um dennoch einen Wettbewerbsvorteil aufrechtzuerhalten.
Die Cyber-Sicherheit unterscheidet sich von vielen anderen Branchen dadurch, dass die Anbieter nicht einfach miteinander konkurrieren. Sie versuchen tatsächlich, „das Böse“ zu stoppen. Angreifer schädigen die nationale Sicherheit, legen den Betrieb von Krankenhäusern lahm, bedrohen den Lebensunterhalt von Menschen und vieles mehr. Alle in der Cyber-Sicherheitsbranche haben die gemeinsame Aufgabe, Angreifer zu stoppen, und deshalb sind die Zeiten, in denen man generell nicht zusammenarbeitete, längst vorbei.
Zwar sind Änderungen von politischer Seite wichtig, aber die Regierung allein kann nicht alle Beziehungen aufbauen, die zur Abwehr von Bedrohungsakteuren erforderlich sind. Der private Sektor muss die Notwendigkeit erkennen und sich von der Idee verabschieden, allein gut oder schlecht dazustehen, und sich auf die allgemeine Erkennung in der gesamten Branche konzentrieren.
Kein Hersteller kann sein maximales Potenzial ausschöpfen, wenn er nicht gemeinsam daran arbeitet, die Häufigkeit und die Auswirkungen globaler Cyber-Angriffe zu verringern. Natürlich kann sich jeder Anbieter durch die Art und Weise, wie er die gemeinsam genutzten Bedrohungsdaten nutzt, von anderen abheben und seinen Kunden ausgefeilte Produktfunktionen und Dienstleistungen anbieten.
Erfolgsgeschichten zum Austausch von Bedrohungsdaten
In den letzten Jahren haben Ereignisse wie die Angriffe auf SolarWinds und Colonial Pipeline oder die Log4j-Schwachstelle dazu geführt, dass die Zusammenarbeit immer wichtiger wird. Angesichts der Tatsache, dass Angreifer heutzutage Infrastrukturen sehr schnell hoch- und herunterfahren können, haben sowohl öffentliche als auch private Organisationen die Notwendigkeit erkannt, zusammenzuarbeiten, um so schnell wie möglich Fortschritte bei der Bekämpfung von Cyber-Bedrohungen zu erzielen.
Die Reaktion auf den WannaCry-Ausbruch war ein erster Erfolg, als die CTA innerhalb weniger Stunden einen internen Kooperationsprozess einleitete. Diese gemeinsame Anstrengung beschleunigte die Analyse um 24 bis 48 Stunden pro Mitglied und ermöglichte es, die erforderlichen Schutzmaßnahmen innerhalb eines wichtigen Zeitrahmens zu ergreifen.
Derzeit ist in der Ukraine eine massive Nutzung des Informationsaustauschs zu verzeichnen. Es ist davon auszugehen, dass Organisationen noch nie in der Geschichte des Cyber-Space Informationen auf diesem Niveau ausgetauscht haben. Diese gemeinsame Koordination erklärt, warum es nicht noch mehr schädliche Auswirkungen von Cyber-Angriffen gab, die andere Formen des Schadens in der Region hätten verstärken können.
Die Vision und das Sharing-Modell der CTA
Die Arbeit der CTA begann als Handshake-Vereinbarung zwischen zwei CEOs im Bereich Cyber-Sicherheit bei einer Tasse Kaffee im Jahr 2014. Die CTA ist heute eine neutrale Organisation, die alle Unternehmen ermutigt, zusammenzuarbeiten, um die Menschen sicherer zu machen. Dies setzt die Verpflichtung voraus, sicherzustellen, dass sich alle Mitglieder an der gemeinsamen Nutzung beteiligen.
Jeder muss sich beteiligen und eine Mindestbeteiligung einhalten. Die Organisation erlaubt keine Trittbrettfahrer und kein Pay-to-Play – die Mitglieder teilen Informationen, um Informationen zu erhalten. Was sie teilen, muss umsetzbar sein, und der Austausch erfolgt in einem strukturierten Format, das kontextbezogene Informationen enthält. Dies erhöht den Wert dessen, was geteilt wird, und die Fähigkeit der Mitglieder, auf der Grundlage der Informationen reale Schutzmaßnahmen zu entwickeln.
Die CTA-Mitglieder nehmen sich auch gegenseitig in die Pflicht. Wenn sie eine Schwachstelle in der Sicherheitssoftware des jeweils anderen finden, bietet die Organisation eine gezielte Möglichkeit, sich untereinander abzustimmen. Die Austauschplattform hat sich in den letzten sieben Jahren weiterentwickelt und Branchenstandards wie STIX/TAXII, Kill Chain und MITRE ATT&CK integriert. Die CTA teilt in der Regel etwa elf Millionen Observables pro Monat mit durchschnittlich drei Kontextteilen pro Observable. (rhh)