IT-Sicherheit wird immer komplexer. Das ist zwar nicht neu, bereitet Unternehmen aber dennoch weiterhin Kopfschmerzen. Zugleich organisiert sich eine neue Generation von Cyberkriminellen in multinationalen Banden, arbeitet mit professionell entwickelter Software und verfügt über ausgeklügelte Strategien, um die Schutzschilde großer Systeme zu überwinden. Der strukturierte Informationsaustausch zwischen Security-Lösungen soll helfen, die Abwehrmöglichkeiten zu verbessern.

Die Gefahrenlage zwingt Unternehmen, ihre Sicherheitslösungen neu zu organisieren. Sie müssen den kompletten „Threat Defense Lifecycle“ abdecken: vom umfassenden Schutz der Systeme über das Erkennen von Sicherheitsbedrohungen bis zu deren Bereinigung. Unternehmen sollten also Mittel und Wege finden, um den Austausch zwischen Teilsystemen und Sicherheitslösungen entlang dieses Kreislaufs zu intensivieren. Denn es bedarf vielseitiger Analysen, mehrstufiger Verfahren und fortgesetzter Automation, um ausgefeilte Angriffe zuverlässig erkennen und abwehren zu können.

Intensivere Kooperation

Cyberkriminelle setzen immer häufiger auf Kooperation, um die Weitergabe von Know-how zu institutionalisieren. So können sie Angriffsvektoren kooperativ entwickeln und Angriffe in die Tat umsetzen. Dahinter steht ein konkretes ökonomisches Interesse: Diese gezielten Advanced-Threat-Kampagnen versprechen größere Beute als Aktionen von Einzelpersonen.

Doch auch auf der anderen Seite des Schutzwalls tut sich langsam etwas. Kooperationen zum Schutz der Systeme werden immer wichtiger. So gab es bereits verschiedene private und staatliche Initiativen zur Abwehr digitaler Angriffe: Die Allianz für Cyber-Sicherheit etwa, ins Leben gerufen vom Bundesamt für Sicherheit in der Informationstechnik (BSI), soll den Informations- und Erfahrungsaustausch zwischen Wirtschaft, Behörden und Forschung erleichtern. Die Initiative versorgt ihre Mitglieder mit monatlichen Lageberichten, Warnmeldungen und weitergehenden Hintergrundinformationen. Google verfolgt mit Virustotal einen anderen Ansatz. Der kostenlose Onlinedienst ermöglicht es, riskante Dateien durch 54 Antivirenprogramme analysieren zu lassen. Jedoch sollten nicht nur Institutionen hier zusammenarbeiten. Die meisten Unternehmen nutzen Sicherheitslösungen mehrerer Hersteller, die allenfalls rudimentär miteinander interagieren. Hier besteht Nachholbedarf. Industrieweite Standards für die schnittstellenkompatible Aufbereitung von Informationen und für deren Austausch in Echtzeit helfen bei der Arbeit an einem Schutzschild, mit dem man Angriffe schneller und zuverlässiger erkennen und bekämpfen kann.

Standards wie STIX und TAXII helfen dabei, dass der Austausch von Informationen über aktuelle Bedrohungen nicht auf die Lösungen einzelner Anbieter beschränkt bleibt. Bild: Intel Security

Standards wie STIX und TAXII helfen dabei, dass der Austausch von Informationen über aktuelle Bedrohungen nicht auf die Lösungen einzelner Anbieter beschränkt bleibt. Bild: Intel Security

Die beiden Open-Source-Standards STIX (Structured Threat Integration Expression) und TAXII (Trusted Automated Exchange of Indicator Information) bieten eine Möglichkeit, den Austausch von Informationen über Sicherheitslücken, Angriffsvektoren und Gegenmaßnahmen zu erleichtern. Beide wurden von der US-amerikanischen Forschungsorganisation Mitre entwickelt, die auch das Web-Verzeichnis CVE (Common Vulnerabilities and Exposures) betreibt. Zahlreiche Organisationen haben an diesen Industriestandards gearbeitet, um eine einheitliche Schnittstelle für den Datenaustausch zu schaffen. Heute können sie alle Security-Anbieter und Unternehmen frei nutzen.

STIX

Bei STIX handelt es sich um eine Sprache für die Erfassung, Spezifizierung und Weitergabe von Informationen über digitale Bedrohungen. Um automatisierte Prozesse im Bedrohungs-Management zu stützen, geschieht dies in strukturierter Form, die Zusammenstellung der Daten erfolgt im XML-Format. Bei der Ausarbeitung der Strukturen haben die Beteiligten in erster Linie auf Flexibilität und Zugänglichkeit geachtet. Dies soll einerseits sicherstellen, dass man stark domänenspezifische oder lokalisierte Anwendungen hindernisfrei umsetzen kann; andererseits geht es auch darum, eine Grundlage für nutzergetriebene Innovationen zu schaffen, was starre Strukturen eher verhindern würden.

Die datenzentrierten XML-Dokumente eignen sich für alle denkbaren Anwendungsfälle und sollen dabei nicht nur für Maschinen, sondern auch für Menschen lesbar sein. Dies ermöglicht den Austausch von Erkenntnissen über Indikatoren und Zwischenfälle sowie Angriffsvektoren, -techniken und -prozeduren, aber auch über Sicherheitslücken und mögliche Gegenmaßnahmen. Neben diesen technischen Aspekten geht es schließlich darum, Informationen über Kriminelle und ihre Kampagnen zu sammeln. Die breit angelegte Aggregation von Daten soll eine ganze Reihe von Anwendungsfällen unterstützen: die Analyse von Gefahren, die Spezifikation von Indikatoren und Mustern typischer Angriffe sowie das Management von Maßnahmen zur Gefahrenabwehr, also zur Angriffsprävention und -erkennung sowie Schadensbegrenzung bei erfolgten Angriffen.

Ein wichtiges STIX-Datenmodell ist das COA-Schema (Course of Action). Es beschreibt Maßnahmen, die man als Reaktion auf ein spezifisches Risiko – etwa eine Sicherheitslücke oder einen neuen Angriffsvektor – ergreifen kann. Entsprechende Datensätze umfassen unter anderem den Urheber der Information, die Art der Maßnahme, eine Kurz- und Langbeschreibung des Vorgehens sowie Kosten und Ziel der Maßnahme. STIX lässt sich mit anderen Schemata, die Indikatoren oder Vorfälle zum Thema enthalten, verknüpfen. Datensätze über Indikatoren helfen besonders dabei, Angriffe automatisiert zu erkennen, denn sie beschreiben typische Muster von Zwischenfällen, bewerten deren Aussagekraft, nennen verknüpfte Angriffsszenarien und denkbare COAs. In der Zusammenschau entsteht ein breiter Fundus an Informationen. Der Zugriff darauf lässt sich im Rahmen des TAXII-Standards auf unterschiedliche Weise regeln.

TAXII

Bei TAXII handelt es sich um einen Standard, der den schnellen, vertrauenswürdigen und automatisierten Austausch von STIX-Datensätzen ermöglicht. Unternehmen können auf den Verteilmechanismus von TAXII zurückgreifen, um Datensätze zu abonnieren und sich in regelmäßigen Abständen über neue Bedrohungen informieren zu lassen. TAXII ist modular erweiterbar und nicht an ein spezielles Protokoll gebunden.

Während STIX also die Daten strukturiert, erleichtert TAXII deren Weitergabe. Dieser Prozess kann drei Formen annehmen: Im Rahmen eines Hub-and-Spoke-Modells (Nabe und Speiche) wertet eine Organisation (Hub) die Informationen zentral aus und koordiniert den Austausch zwischen Partnern (Spokes). Spokes können Informationen sowohl empfangen als auch senden. Beim Source-Subscriber-Modell agiert eine Organisation als exklusive Quelle von Informationen, alle anderen Beteiligten treten lediglich als Empfänger auf. Beim Peer-to-Peer-Modell passiert das genaue Gegenteil: Die zentrale Verteilerrolle fällt weg, stattdessen treten alle Akteure untereinander in Austausch. Allen drei Modellen liegt die dringende Notwendigkeit des Datenaustauschs zugrunde, um der wachsenden Internetkriminalität entgegenzuwirken.

Zahlreiche Hersteller haben in den letzten Monaten eine Schnittstelle für STIX und TAXII in ihre Lösungen integriert. Die beiden Open-Source-Projekte laufen mittlerweile weitestgehend stabil. Mitre hat sie an das Non-Profit-Konsortium Oasis übergeben, das die Entwicklung offener Standards für die IT-Branche vorantreibt. Indem Anbieter Kompetenzen bündeln und ihre Lösungen integrieren, entsteht ein neues Maß an Threat Intelligence.

Rolf Haas ist Enterprise Technology Specialist EMEA bei Intel Security ().