Mit Künstlicher Intelligenz gegen Hacker kämpfen

Threat und Security Intelligence

von - 18.05.2017
Mirco Kloss, Security Evangelist bei Check Point, legt großen Wert auf die Unterscheidung der Begriffe: „Bei Threat Intelligence geht es darum, die Gefahren zu verstehen. Security Intelligence zielt darauf ab, die Bedrohungen abzuwehren. Allerdings hängen beide Begriffe eng zusammen: Wenn ich die Mittel und die Motive eines Angreifers nicht verstehe, wird es sehr schwer, seine Attacken abzuwehren. Daher braucht es Know-how über Schwachstellen und Schädlinge.“ Threat Intelligence beschreibt in diesem Kontext also das Sammeln und die Analyse von Informationen, die auf geplante Angriffe, Schwachstellen und andere unerwünschte Aktivitäten in der IT-Infrastruktur hindeuten.
Mirco Kloss
Security Evangelist bei Check Point
Foto: Check Point
„Bei Threat Intelligence handelt es sich darum, die Gefahren zu verstehen, Security Intelligence zielt darauf ab, die Bedrohungen abzuwehren.“
Deshalb reicht eine Threat-Intelligence-Lösung allein Kloss zufolge auch keinesfalls aus: Unternehmen müssten Threat Intelligence in eine umfassende Sicherheitsarchitektur umsetzen, die sowohl die Gefahrenlage als auch die individuelle Situation der Firma berücksichtige. „Die Kombina­tion der einzelnen Faktoren wäre dann die Security Intelligence: Die Aufstellung und Implementierung einer passenden Sicherheitsarchitektur.“
Martin Zeitler, Senior Systems Engineering Manager bei Palo Alto Networks, weist auf den militärischen Ursprung des Begriffs Intelligence hin: „So werden dort Informationen bezeichnet, die einer Organisation die Grundlagen für Entscheidungen oder auch strategische Vorteile im Konfronta­tionsfall liefern können.“ Threat Intelligence (TI) unterteilt er weiter in die Unterkategorien taktische TI und strategische TI. „Bei der taktischen TI ist die Information direkt technisch anwendbar und wird häufig in der Form von IOCs (Indicators of Compromise) bereitgestellt. Die strategische TI verstehe ich hingegen als High-Level-Information über den Angreifer, seine Motivation, Taktik, Technik und Vorgehensweise.“
Ralf Gehrke
Director Presales für Europa bei Akamai
Foto: Akamai
„Security Intelligence wird nur erfolgreich sein, wenn die Lösung in eine umfassende
Security-Strategie und entsprechende Sicherheitsrichtlinien eingebettet ist.“
Zur Erklärung: IOCs sind strukturierte Informationen über Merkmale schädlicher Aktivitäten. Damit lassen sich automatisiert Systeme aufspüren, die manipuliert wurden oder gegen die gerade eine Attacke läuft.
Security Intelligence wiede­rum fasst Martin Zeitler wesentlich weiter. „Bei SI geht es um den grundsätzlichen Schutz einer Organisation gegen externe und interne Bedrohungen praktisch jeder Art.“
Akamai schließlich, über dessen Content-Delivery-Network (CDN)-Services rund 30 Prozent des gesamten Internetverkehrs laufen, spricht schon gar nicht mehr von Threat Intelligence, sondern nur noch von Security Intelligence. „SI hat für uns eher einen proaktiven Charakter und ermöglicht es, einen Angreifer bereits im Vorfeld auf Basis von Big Data, heuristischen Methoden und selbstlernenden Algorithmen zu blocken“, erläutert Ralf Gehrke, Director Presales für die Region Europa bei Akamai.

Detect, Prevent, Response

Laut Gehrke überwacht und schützt eine SI-Lösung alle neuralgischen Schnittpunkte und Bereiche der IT-Infrastruktur: Endpunkte, IoT-Systeme, Netzwerke mit Routern, Switches und Gateways, Webserver sowie Mitarbeiter, die im Web browsen und eventuell auf einen Link mit Malware klicken. Sie bietet dazu drei grundlegende Funktionen: Detect, Prevent/Protect und Response. Detect steht für die Entdeckung von Schädlingen und Angriffsversuchen, Prevent/Protect für den Schutz vor und die Blockade von Angriffen und Response für Handlungsempfehlungen und konkrete Maßnahmen, mit denen Firmen auf einen entdeckten Angriff reagieren, der bereits das Netzwerk infiltriert hat.
„Wichtig sind etwa das kontinuierliche Sammeln und sofortige Bereitstellen von Rohdaten – und zwar rund um die Uhr – sowie die zentrale Analyse der Daten über die komplette In­frastruktur hinweg“, sagt Achim Kraus, Director of Sales Engineering bei Cybereason, einem Experten für Endpunktschutz.
Als weitere Funktionen einer SI-Lösung nennt Gehrke das automatische Erkennen verdächtiger Vorgänge bis hin zum Erkennen der Schritte, über die sich Malware im Unternehmensnetzwerk einnistet und der Aktionen, die sie dort ausführt, sowie die Einordnung in den Ablauf einer Angriffskette inklusive Visualisierung. „Sobald ein Angriff erkannt und validiert wurde, sollte eine SI-Lösung unverzüglich reagieren und innerhalb von 60 Sekunden Schutzmaßnahmen einleiten, die ein derartiges Ereignis auch künftig verhindern. Dazu gehört, dass alle Endgeräte im Unternehmen damit ausgestattet werden.“
Tipps zur SI-Implementierung
Wenn Unternehmen Security-Intelligence-Lösungen im­plementieren wollen, sollten sie folgende Experten-Tipps beachten.
  • Oberstes Ziel ist eine möglichst frühzeitig ansetzende Prävention mit maximaler Automatisierung und dem Einsatz von Threat-Informationen.
  • Hilfreich ist ein grundsätzlich neues Verständnis von Security. Es reicht nicht mehr, mit Hilfe von Firewalls Mauern hochzuziehen. Mehr Schutz bringen intelligente Systeme.
  • Ohne vorausgehende Risikoanalyse und ohne Security-Strategie wird SI nicht erfolgreich sein.
  • Ein ausgewogenes Security-Niveau über sämtliche Unternehmensbereiche ist besser als eine Mischung aus besonders gut und weniger gut geschützten Bereichen.
  • Unternehmen sollten ihre Security-Lösungen über Schnittstellen auf einer Plattform harmonisieren und aufeinander abstimmen statt Insellösungen nebeneinander zu betreiben.
  • Mehr Schutz bringt es auch, Datenquellen zu konsolidieren und zu verknüpfen. Zudem sollten architekturelle Sicherheitsmaßnahmen wie Zweifaktor-Authentifizierung oder Netzwerk-Segmentierung umgesetzt werden.
  • Wichtig ist es, Mitarbeiter, Betriebsrat und Datenschutzbeauftragte mit ins Boot zu holen.
Verwandte Themen