Shared Threat Intelligence als Lösungsansatz Geteiltes Wissen führt zu mehr Cyber-Sicherheit
10. Juli 2019Genau dies ist der Trend in der Cyber-Sicherheit, insbesondere, da Angriffe immer ausgefeilter werden, die Technologie leichter zu erwerben ist und die Finanzierung durch Nationalstaaten und das organisierte Verbrechen die Bedrohungslandschaft komplexer und gefährlicher gemacht hat. Die Realität ist, dass Angreifer oft die gleichen Werkzeuge und Techniken in verschiedenen Unternehmen innerhalb derselben Branche einsetzen. Wenn Unternehmen im Voraus wissen, wie diese Techniken funktionieren, haben sie eine bessere Chance, die Angreifer aufzuhalten, bevor diese Schaden anrichten und den Geschäftsbetrieb stören können.
Die Frage ist, wie geht man beim Teilen von Bedrohungsdaten vor und wie stellt man das Vertrauen innerhalb einer Branche her? Eines der großen Bedenken der Führungskräfte ist, dass Wettbewerber Informationen über Angriffe als Waffe nutzen könnten, um Zweifel an den Fähigkeiten und dem Engagement eines Unternehmens für Datenschutz und Cyber-Sicherheit zu wecken. Die heutige neue Realität macht diese Denkweise jedoch zu einem Relikt der Vergangenheit.
Sicherheitsverantwortliche wissen, dass jeder verwundbar ist, und wenn es um den Schutz geht, gilt: Gemeinsam sind wir stärker. Sogar innerhalb der Cyber-Sicherheitsbranche selbst, in der Geschäftsgeheimnisse streng geschützt werden, tauschen viele der führenden Anbieter über die Cyber Threat Alliance (CTA) formell Informationen über Bedrohungen aus. Wenn ein Cyber-Sicherheitsanbieter Mitglied des CTA ist, profitiert ein Unternehmenskunde bereits von den Vorteilen der gemeinsamen Bedrohungsanalyse.
Palo Alto Networks gibt ein Beispiel: Im Mai hat eines der Mitglieder eine neue Malware-Bedrohung öffentlich bekannt gegeben, die mindestens eine halbe Million Geräte weltweit betraf. Der Anbieter konnte Bedrohungsindikatoren und Abwehrmaßnahmen mit den Mitgliedern austauschen und sie darüber informieren, wie die Verbreitung der Bedrohung verhindert werden kann. Infolgedessen wurde der Angriff nie ausgeführt. Cyber-Sicherheitsfirmen, die mit der Strafverfolgung zusammenarbeiten, waren bei der Suche nach Hinweisen, dass die Angreifer versuchen könnten, woanders wiederaufzutauchen, sehr wachsam.
Die Frühwarnung und koordinierte Reaktion sind ein starker Multiplikator. Da Unternehmen von den Vorteilen der gemeinsamen Nutzung von Bedrohungsinformationen profitieren, werden sie in Zukunft eher kooperieren. Die CTA berichtet hierzu: Die frühzeitige Warnung und koordinierte Reaktion seitens des CTA hat die Bereitschaft der CTA-Mitglieder erhöht, Informationen über bedeutende bösartige Cyber-Aktivitäten miteinander auszutauschen, bevor die Details veröffentlicht werden.
Diese Störungsaktivitäten zielen darauf ab, Akteure daran zu hindern, ihre Ziele zu erreichen, und erhöhen die Kosten für ihre bösartigen Cyber-Aktivitäten. Durch die Koordination vor der Veröffentlichung zu wichtigen Themen nutzen die CTA-Mitglieder ihre Datenanalyse- und Cyber-Sicherheitsprodukte, um die Aktivität offenzulegen, zusätzlichen Schaden zu verhindern und alle Auswirkungen so früh wie möglich zu mildern.
Teilen innerhalb der eigenen Community
Die Zusammenarbeit mit Cyber-Sicherheitsanbietern, die Bedrohungsinformationen austauschen, ist ein Schritt, den Unternehmen ergreifen können. Es ist aber genauso wichtig, Informationen innerhalb der eigenen Branche auszutauschen.
Dies hilft Unternehmen nicht nur, die Auswirkungen und das Potenzial von Angriffen abzuschwächen, sondern fördert auch das Vertrauen und den guten Willen in der gesamten Branche. Wenn zum Beispiel ein gravierender Sicherheitsvorfall bei einer führenden Bank publik würde, kann dies das Vertrauen in der gesamten Branche untergraben. Dies würde die Kunden von der Verwendung mobiler Apps, der Weitergabe persönlicher Daten oder der Nutzung anderer Online-Dienste abschrecken.
Die meisten Branchen verfügen heute über Information Sharing and Analysis Centers (ISACs). ISACs sind vertrauenswürdige Einrichtungen, die von Eigentümern und Betreibern kritischer Infrastrukturen gegründet wurden, um den Informationsaustausch und bewährte Verfahren für physische Bedrohungen und Cyber-Bedrohungen und deren Eindämmung zu fördern.
Der National Council of ISACs erklärt hierzu: ISACs helfen Eigentümern und Betreibern kritischer Infrastrukturen, ihre Anlagen, ihr Personal und ihre Kunden vor Cyber- und physischen Sicherheitsbedrohungen und anderen Gefahren zu schützen. ISACs sammeln, analysieren und verbreiten verwertbare Informationen über Bedrohungen an ihre Mitglieder und stellen ihnen Werkzeuge zur Verfügung, um Risiken zu minimieren und die Widerstandsfähigkeit zu erhöhen.
Die meisten ISACs verfügen rund um die Uhr über Warn- und Meldefunktionen für Bedrohungen und Vorfälle und können auch die Bedrohungsstufe für ihre Sektoren festlegen. Viele ISACs haben eine Erfolgsbilanz vorzuweisen, wenn es darum geht, schneller als Regierungspartner auf umsetzbare und relevante Informationen zu reagieren und diese weiterzugeben.
Geschäftsvorteile durch Shared Threat Intelligence
Der Geschäftsvorteil für die gemeinsame Nutzung von Bedrohungsinformationen ist überzeugend. Zu den wichtigsten Geschäftsvorteilen gehören:
- Reduzierung des Risikos: Durch die gemeinsame Nutzung von Bedrohungsinformationen und die Nutzung von gemeinsamen Bedrohungsinformationen innerhalb der Branche und/oder unter Cyber-Sicherheitsanbietern können Unternehmen das Risiko eines erfolgreichen Angriffs erheblich reduzieren.
- Geringere Kosten: Frühwarnungen geben Cyber-Sicherheitsteams die Möglichkeit, die richtigen Tools einzusetzen und viel Zeit bei der Suche nach den Ursachen von Angriffen zu sparen. Die Kosten für die Reaktion auf einen erfolgreichen Angriff können erheblich sein, sodass sich durch die Reduzierung des Risikos auch das Risiko für diese potenziellen Ausgaben deutlich reduzieren.
- Personal strategischer einsetzen: Die Cyber-Sicherheitsbranche steht vor einem Mangel an ausgebildetem Sicherheitspersonal, der bis 2022 voraussichtlich 1,8 Milliarden erreichen wird. Shared Threat Intelligence hilft Unternehmen, ihre Ressourcen strategischer zu nutzen und ermöglicht es ihren Teams, automatisierter und schneller zu reagieren.
- Unterstützung moderner Geschäftsinitiativen: Jedes Unternehmen in jeder Branche betrachtet Initiativen wie digitale Transformation und Big Data Analytics als entscheidend für ihren zukünftigen Erfolg und ihr Überleben. Die Cyber-Sicherheit hat sich zu einer Schlüsseltechnologie für diese Initiativen entwickelt. Durch die Reduzierung von Risiken im Unternehmen können sich Führungskräfte, Entwickler, Mitarbeiter und Partner sicherer fühlen. Und durch die Reduzierung des Risikos in einer bestimmten Branche können Kunden beim Datenaustausch und der Nutzung moderner mobiler Online-Anwendungen viel sicherer agieren.
Einige der führenden ISACs haben Tausende von Mitgliedern, die Bedrohungsinformationen austauschen und zusammenarbeiten, um den Ruf und das Ansehen ihrer Branchen und Mitgliedsunternehmen zu schützen. Jedes dieser Mitglieder musste diesen ersten Schritt tun und ihr Vertrauen in Unternehmen setzen, die möglicherweise Konkurrenten sind.
Die Tatsache, dass es ISACs seit Ende des letzten Jahrzehnts gibt und sie ständig und konsequent gewachsen sind, zeigt, dass das Vertrauen, das die Mitglieder in sie gesetzt haben, nicht enttäuscht wurde. Ebenso gibt es die CTA seit 2014, die ihren Einfluss deutlich ausgeweitet hat. (rhh)