Interview mit Jonathan Couch und Markus Auer, ThreatQuotient
Aktuelle Bedrohungsdaten zur Abwehr nutzen
Der US-amerikanische Security-Anbieter ThreatQuotient mit Hauptsitz in Reston, Virginia (nahe Washington, D.C.) und europäischer Dependance in London entwickelt Software zur Threat-Intelligence-basierten Angriffsabwehr: Die Plattform ThreatQ reichert die interne Sicherheitsinfrastruktur eines Anwenderunternehmens um externe Bedrohungsinformationen (Threat Intelligence) an, um die Angriffsabwehr effektiver zu machen. LANline sprach mit ThreatQuotients SVP Strategy Jonathan Couch und Markus Auer, Vertriebsleiter für DACH und Osteuropa, über die aktuelle Bedrohungslage und Wege, Security-Abläufe zu verbessern.
LANline: Herr Couch, Herr Auer, wie hat sich die Security-Lage durch das Coronavirus verändert, und wie gut sind die Unternehmen auf diese Veränderung vorbereitet?
Jonathan Couch: "Die Coronavirus-Pandemie hat Unternehmen angreifbarer gemacht. Denn viele Unternehmen sind es nicht gewohnt, mit einer verteilten Belegschaft zu arbeiten. Das Misstrauen, das viele Arbeitgeber ihren Mitarbeitern entgegenbringen, wenn es um das Thema Home-Office geht, fällt ihnen nun auf die Füße. Oft mangelt es den Unternehmen zudem an aktueller Software für die Endpunktsicherheit und den sicheren Zugriff auf Unternehmensressourcen. Anhand der Integrationen von Drittanbietern in unsere Lösung und aufgrund von Gesprächen mit Unternehmen glauben wir, dass nur ungefähr die Hälfte der Anwenderunternehmen eine moderne EDR-Lösung (Endpoint Detection and Response, d.Red.) installiert hat.
LANline: Welche Veränderungen im Angreiferverhalten haben Sie festgestellt, welche weiteren erwarten sie?
Jonathan Couch: "Natürlich gab es eine Spitze im Phishing und Spear-Phishing, die Angreiferseite macht sich den Hunger nach Corona-bezogenen Neuigkeiten zunutze. Gezielte Angriffe wie etwa Wirtschaftsspionage, die das Coronavirus als Vehikel nutzen, haben wir anfangs noch nicht gesehen. Wir erwarten allerdings eine Zunahme von Cyberspionage-Angriffen im Zuge des Aufstiegs von Videokonferenzen."
LANline: Was Ihre ThreatQ-Plattform auszeichnet, ist die Einbindung externer Bedrohungsdaten in die Abwehrinfrastruktur. Warum ist dieser Schritt von Bedeutung?
Jonathan Couch: "Threat Intelligence - die Aggregation und Aufbereitung von Informationen zur Bedrohungslage - bietet den großen Vorteil, den reinen Security-Daten einen Kontext zu geben: Welche Angriffe häufen sich? Welche sind gegen meine Umgebung gerichtet? Welche Ziele haben die Angreifer im Visier - und wie wertvoll sind diese Ziele? Zur Beantwortung solcher Fragen liefert Threat Intelligence eine wichtige Grundlage."
LANline: Wie muss man sich die Einbindung in bestehende Security-Tool-Umgebungen und -Abläufe vorstellen?
Jonathan Couch: "Wir holen Threat-Intelligence-Daten ein und leiten sie an ein SIEM-Werkzeug oder ein Ticketing-System weiter. Dort kann eine Incident-Response-Fachkraft die Angaben sichten, das Ausmaß der Bedrohung bewerten und Remediationsmaßnahmen ergreifen. Die Art der Maßnahmen und auch deren Dringlichkeit werden wesentlich bestimmt durch den Kontext der Bedrohungsinformationen. Wir automatisieren die Sammlung und Aufbereitung von Bedrohungsinformationen. So hat der CISO (Chief Information Security Officer, d.Red.) eine Grundlage, um eine Story für das Management zu entwickeln."
LANline: Eine "Story"? Wie ist das gemeint?
Jonathan Couch: "Der CISO erhält durch uns zum Beispiel die Informationen, um Fragen seitens des Managements zu beantworten. Wenn der Chef oder Vorstand fragt: "Ich habe von dieser oder jener Bedrohung gehört. Betrifft uns das, und falls ja, wie stark?", dann sollte der CISO möglichst schnell eine Antwort parat haben. Wir ermöglichen es den Security-Fachleuten hier, eine Story zu erzählen, die man auch außerhalb der IT-Abteilung nachvollziehen kann. Zugleich liefern wir die Basis dafür, schneller smartere Entscheidungen zur Reaktion auf Sicherheitsvorfälle zu treffen.
LANline: Die externen Bedrohungsinformationen wollen dabei aber auf die individuelle Unternehmensumgebung abgebildet sein. Woher aber weiß der Security-Analyst im SOC, dass ein Angriff auf wirklich wertvolle Daten oder Infrastruktur zielt? Sprich: Wie muss man sich die Risikozuordnung zu den kritischen Unternehmens-Assets vorstellen?
Jonathan Couch: "Wenn ein Angriff auf eine IP-Adresse gerichtet ist, dann ist für den SOC-Analysten oft nicht sofort ersichtlich, wie wertvoll dieses Asset für das Unternehmen ist. Er muss also in der Asset-Management-Datenbank recherchieren oder bei den Fachabteilungen nachfragen. Derzeit sind viele Organisationen noch damit befasst, den SOC-Analysten die benötigten Informationen für die Triage im Angriffsfall schnell und automatisiert verfügbar zu machen."
LANline: Herr Auer, wie weit ist Deutschland im Vergleich zu den USA bei der Nutzung externer Bedrohungsinformationen?
Markus Auer: "Deutschland hinkt bei der Nutzung von Threat Intelligence den USA und auch anderen EU-Staaten wie etwa Polen oder den Niederlanden hinterher. Entsprechend häufig haben deutsche Unternehmen Probleme, CTI-Projekte (Cyber Threat Intellligence, d.Red.) umzusetzen. Da kommen wir dann ins Spiel."
LANline: Woran liegt diese Nachzüglerposition Deutschlands?
Markus Auer: "In Deutschland legt man großen Wert auf Datenschutz und Datenhoheit. Das heißt auch: Man ist nicht bewandert darin, Daten mit anderen zu teilen, sei es mit anderen Unternehmen, Security-Anbietern - oder auch schon die Abteilungen einer Firma untereinander. Verschiedene Teams arbeiten mit verschiedenen Systemen - die Teams kommunizieren oft nicht gut miteinander, und ihre Tools ebenso wenig."
LANline: Wie schnell lässt sich eine bestehende SOC-Umgebung auf eine CTI-Basis umstellen?
Markus Auer: "Unsere Software ist in ein bis drei Monaten eingeführt, je nachdem, wieviele Drittsysteme zu integrieren sind. Aber es geht nicht nur um die Technik, sondern auch um die Prozesse und die Menschen. Das reicht von der Nutzung von Collaboration-Tools für die schnelle Incident Response bis hin zur Awareness bei der Mitarbeiterschaft, wie man auf Spear-Phishing-Versuche reagieren sollte. Wie nützlich Threat Intelligence für das Security-Team ist, hängt also vom Reifegrad des Unternehmens und seiner IT-Organisation ab."
LANline: Und wie lässt sich dieser Reifegrad ermitteln?
Jonathan Couch: "Kürzlich haben wir einen Assessment-Service vorgestellt, der dazu dient, den organisatorischen und funktionalen Reifegrad eines Unternehmens zu ermitteln. So lässt sich herausfinden, ob man die Tools, Prozesse und das Know-how hat, um die Vorteile von Threat Intelligence optimal nutzen zu können."
LANline: Kleine und mittelständische Unternehmen haben oft weder Tools noch Prozesse und Know-how für ein derart differenziertes Vorgehen. Was raten Sie dem KMU-Markt?
Markus Auer: "Kleine und mittelgroße Unternehmen haben diesen Reifegrad oft in der Tat nicht. Sie sollten dann die Prozesse rund um die Bedrohungserkennung und Angriffsabwehr an MSSPs (Managed Security Service Provider, d.Red.) auslagern. Wir arbeiten mit einigen der größten MSSPs zusammen. Zum Beispiel basieren die Threat-Intelligence-Services von NTT auf der Threat-Quotient-Software."
LANline: Und schließlich noch eine Frage, die gerade deutsche Unternehmen immer mit Skepsis stellen: Bleiben bei Ihrem Sicherheitsansatz die unternehmenseigenen Telemetriedaten im Unternehmensnetz oder werden sie in eine Cloud-Umgebung übermittelt?
Jonathan Couch: "Bei unserer Lösung bleiben die Daten immer lokal - im Unternehmensnetzwerk oder in einer Private Cloud. Manche Angebote basieren auf Public-Cloud-Services, aber wir gehen diesen Weg nicht. Schließlich handelt es sich hier um äußerst sensible Daten."
LANline: Herr Couch, Herr Auer, vielen Dank für das Gespräch.
Lesen Sie mehr zum Thema
