Mehr Schutz durch systematische Informationsanalyse

Die International Organization for Standardization (ISO) hat im Februar 2022 die lange erwartete Überarbeitung der ISO/IEC-27002-Norm veröffentlicht. Zusammen mit der ISO/IEC 27001 gehört die ISO/IEC 27002 zu den akzeptierten Standards, um ein Information Security Management System (ISMS) aufzubauen. Die ISO/IEC 27002:2022 beschreibt 93 Informationssicherheitskontrollen und erklärt, wie diese implementiert werden können. Eine der 11 neu eingeführten Kontrollen ist "Threat Intelligence". Doch was versteht man darunter?

Die Möglichkeiten, Computersysteme und Netzwerke anzugreifen, entwickeln sich ständig weiter, und Cyberkriminelle finden laufend neue Schwachstellen, die sie für ihre unlauteren Zwecke nutzen können. IT- und Sicherheitsverantwortliche in Unternehmen sind gefordert, sich über die Entwicklungen auf dem Laufenden zu halten und zeitnah die nötigen Schritte zur Vermeidung oder Minimierung der Risiken zu ergreifen. Ausserdem muss die Belegschaft regelmässig zu neuen Bedrohungsarten geschult werden, um Angriffe zuverlässig als solche zu entlarven.

Versucht man, sich online über das Ausmass der Bedrohung für Unternehmen oder Branchen zu informieren, stellt man fest, dass es eher zu viele als zu wenige Inhalte gibt. Aus­serdem sind die Informationen oft nicht zentral verfügbar, sodass Spezialistinnen und Spezialisten die relevanten Fakten erst finden, verifizieren, konsolidieren und nutzbar machen müssen. Da diese Informationsbeschaffung sehr zeit- und arbeitsintensiv ist, bieten vertrauenswürdige Anbieter wie IT-Dienstleister oder IT-Sicherheitsfirmen umfassende Threat-Intelligence-Services an.

Warum ist Threat Intelligence heute wichtig?

Mit Threat Intelligence kann ein Unternehmen Cyberangriffen präventiv begegnen. Eine wirksame Verteidigung gegen Cyberangriffe bedingt Wissen über neue und bestehende Sicherheitslücken, aktuelle Bedrohungsindikatoren und sich wandelnde Angriffsmuster. All diese Informationen befähigen die Security-Experten, Angriffe zu verhindern, oder solche zumindest schneller zu erkennen und einzudämmen. Damit schützen sie die Unternehmen vor Schaden.

Langfristig unterstützt Threat Intelligence das Management dabei, nötige und sinnvolle Anpassungen an der Security-Strategie des Unternehmens vorzunehmen und damit die limitierten Ressourcen optimal einzusetzen.

Die 4 Arten von Threat Intelligence

Unterteilt man Threat Intelligence nach kurz- und langfristiger Relevanz und nach detailliertem und allgemeinerem Informa­tionsgrad, dann erhält man vier Arten von Threat Intelligence, die für unterschiedliche Anspruchsgruppen und Zwecke interessant sind:

1. Strategisch: Strategische Threat Intelligence sind High-­Level-Informationen über Veränderungen in der Risikolandschaft. Sie richtet sich typischerweise an Verwaltungsrat oder Geschäftsführung und enthält daher kaum technische Details. Stattdessen geht sie auf finanzielle Auswirkungen von Cyberattacken ein und beschreibt erwartete Trends im Angriffsverhalten. Auch Informationen, die Einfluss auf strategische Entscheidungen haben könnten, werden hier aufgeführt.
   Beispiel: Bewertung der Cyberrisiken beim Eintritt in gewisse Märkte.
   

2. Taktisch: Taktische Threat Intelligence ist ebenfalls langfristig ausgerichtet, aber trägt technischen Aspekten mehr Rechnung. Architekten und Systemadministratoren finden hier "Tactics, techniques, and procedures" (TTPs), also spezifische Informationen, wie sich Angreifer verhalten, wen sie derzeit bevorzugt angreifen und welche Tools sie dabei einsetzen. Damit können Unternehmen wahrscheinliche Bedrohungen identifizieren und adäquate Sicherheitskontrollen etablieren.
   Beispiel: Das Wissen, dass Angreifer in Firmennetzwerken Passwörter von Administratoren abfangen und dann für Log­ins verwenden, könnte die Einführung von etwa Mehrfaktor-Authentisierung im Unternehmen auslösen.
   

3. Operativ: Operative Threat Intelligence beleuchtet bevorstehende Angriffe auf Unternehmen. Im Optimalfall sind sogar Angreifer, Vorgehen und Motiv bekannt. Incident Manager und Security Manager nutzen diese Angaben, um präventive Massnahmen zu ergreifen und mögliche Attacken zu verhindern oder abzuschwächen. Die Beschaffung solcher Hinweise ist schwierig und sehr ressourcenintensiv. Daher ist dies meist die Domäne von Regierungen und spezialisierten Security-Dienstleistern.
   Beispiel: Dedizierte Threat-Intelligence-Dienstleister überwachen gezielt einschlägige Darknet-Foren und warnen ihre Kunden, wenn aus der dortigen Kommunikation ein bevorstehender Angriff abgeleitet werden kann.
   

4. Technisch: Unter technischer Threat Intelligence versteht man meist elektronisch beschaffte und verarbeitete Informationen wie Listen von Websites, die Malware verteilen oder IP-Adressen von Servern, die Angreifer benutzen, um kompromittierte Computer fernzusteuern. Diese Angaben haben oft nur eine beschränkte Lebensdauer, da die Angreifer ihre Aktivitäten regelmässig zu anderen, noch unverdächtigen Orten verlagern. Technische Threat Intelligence muss daher aktuell und von sehr hoher Qualität sein, da sie oft verwendet wird, um verdächtige Services ohne menschliche Überwachung zu sperren. Zu Unrecht gesperrte Services ("false positives") führen zu Verlusten: entweder durch entgangene Geschäfte oder durch nicht verfügbare Dienste.
   Beispiel: Viele E-Mail-Systeme verwenden Listen von bekannten Spam-Versendern und leiten deren E-Mails nicht an die Empfänger weiter.

Implementierung: Herausforderungen und Tipps

ISO/IEC 27002:2022 fordert, dass Hinweise über Information-Security-Bedrohungen gesammelt und analysiert werden, um zu bestimmen, wie man sich gegen relevante Bedrohungen schützen will.

Die unterschiedlichen Arten von Threat Intelligence verlangen ein differenziertes Vorgehen bei der Beschaffung und der Analyse von Daten. Weitere Unterschiede sind die benötigten Fähigkeiten, der Aufwand für den Aufbau und Betrieb benötigter Tools sowie die anfallenden Kosten.

Die in den Kategorien "Strategisch" und "Operativ" benötigten High-Level-Informationen lassen sich nicht automatisiert sammeln und auswerten. Typische Quellen sind Whitepapers aus den Bereichen Information Security, Datenschutz und IT sowie Bewertungen und Hintergrundberichte über die jeweilige Branche, die Wirtschaft und die Politik. Nicht nur die Beschaffung all dieser Daten ist aufwändig. Es ist auch herausfordernd, die gesammelten Daten zu verarbeiten und in für die Unternehmung umsetzbare Massnahmen zu überführen.

Für viele Unternehmen kann es sinnvoll sein, dieses Wissen mit einem Threat-Intelligence-Service einzukaufen. Damit lagert man die Problematik der Datenbeschaffung, -beurteilung und -aufbereitung aus und erhält eine konsolidierte Sammlung von Fakten zur Entscheidungsfindung oder Umsetzung. Abhängig von den gewünschten Informationen können die Kosten signifikant unterschiedlich sein; ein selektives oder iteratives Vorgehen bei der Umsetzung ist ressourcenschonend.

Bei den Kategorien "Taktisch" und "Technisch" bieten sich automatisierte Lösungen zur Sammlung, Verwaltung und Bearbeitung der Daten an. Je nach Budget und Präferenz kann man dabei kommerzielle oder Open-Source-Quellen und -Tools verwenden.

Falls aufgrund der Threat-Intelligence-Daten automatisierte Aktionen, wie etwa Sperrungen von Websites, ausgelöst werden sollen, ist eine hohe Datenqualität der verwendeten Listen nötig, um Umtriebe durch "false positives" zu minimieren. Es gibt Open-Source-Quellen, die diesen Ansprüchen genügen. Kommerzielle Tools versprechen die professionelle Verwaltung der Listen und eine schnelle Reaktion bei Problemen.

Will ein Unternehmen ganz oder teilweise auf automatisierte Reaktionen verzichten, dann sollte es sicherstellen, dass kompetente interne Ressourcen die Informationen verifizieren und zeitnah nötige Reaktionen auslösen.

Ein kleiner, aber wertvoller Hinweis, falls der Impuls in Ihrem Unternehmen für den Aufbau von Threat Intelligence durch die frisch überarbeitete ISO/IEC 27002:2022 ausgelöst wird: Bestehende Zertifizierungen haben nun drei Jahre Zeit, die neuen Anforderungen umzusetzen. Eine gestaffelte Implementierung schont nicht nur die wertvollen Ressourcen Ihres Unternehmens, sondern erhöht auch die Chance, dass die Lösung besonders nachhaltig eingeführt wird.