Abwehr neuartiger Bedrohungen

Intelligence-Driven Information Security

13. März 2012, 07:00 Uhr   |  Dr. Wilhelm Greiner

Intelligence-Driven Information Security

Angriffe auf IT-Ressourcen und Datenbestände, die man lange nur in der Halbwelt der Geheimdienste fand (oder besser: vermuten konnte), haben Einzug in die Unternehmenswelt gehalten. Gegen diese Angriffe - unter dem Namen APT (Advanced Persistent Threat, auf Deutsch etwa: ausgefeilte anhaltende Bedrohung) heiß diskutiert - sind herkömmliche Abwehrmechanismen meist machtlos. Eine Gruppe von Security-Verantwortlichen unter Federführung von RSA rät deshalb zur Einführung eines Risiko-Managements.

In einer jüngst vorgestellten Studie plädiert der Security for Business Innovation Council (SBIC), ein von der EMC-Tochter RSA gesponsortes Panel von CISOs (Chief Information Security Officers), vor dem Hintergrund heutiger APTs für ein grundlegendes Umdenken in Sachen Informationssicherheit: Jenseits der vertrauten Abwehrmechanismen am Netzwerk-Perimeter fordern die 17 Sicherheitsexperten die Einführung von „Intelligence-Driven Information Security“. Dieser etwas unhandliche Begriff wäre wohl am ehesten mit „aufklärungsgetriebener Informationssicherheit“ zu übersetzen, meint das Wort „Intelligence“ hier doch die systematische Datensammlung (wie etwa das „I“ in „Central Intelligence Agency“, kurz CIA).   Zur Bewertung der Bedrohungslage des eigenen Unternehmens sind eine Reihe von Faktoren zu ermitteln und zu korrelieren, so Dr. Michael Teschner, verantwortlich für das Business Development bei RSA, im LANline-Interview: Was sind die Angriffsvektoren? Wer sind die Angreifer, was treibt sie an? Welche Informationen liefern die Kontrollmechanismen im Unternehmen, welche externe Quellen zu neuen oder veränderten Angriffsmustern? All diese Informationen seien in einer Datenbasis zu erfassen, um durch Korrelation und Analyse erkenen zu können, wo es mögliche Angriffe gibt. Wichtig sei dabei, den Gedanken einer zu sichernden Grenze (Perimeter) aufzugeben: „Man muss davon ausgehen, dass der Angreifer bereits im eigenen Netz ist“, so Teschner.   In diesem Kontext sind schnell sehr umfangreiche Datenbestände zu bewältigen, kurz als „Big Data“ bezeichnet. Hier trifft es sich, dass RSA die Tochter des Speichergiganten EMC ist: Laut Teschner arbeitet man bei RSA derzeit daran, Techniken für Big Data Analytics, die im Hause EMC bereits vorhanden sind, für die Security-Lösungen nutzbar zu machen. „EMC hat eine performante Scale-out-Analytics-Engine, die Big Data echtzeitnah verarbeiten kann“, so RSA-Mann Teschner, „man muss dann aber auch in der Lage sein, diese Findings zu bewerten, in den Business-Kontext zu setzen und zu priorisieren.“ Für diese Aufgaben verweist er auf die hauseigene Lösung Archer EGRC, die für die GRC-Entscheidungsfindung (GRC: Governance, Risk, Compliance) ausgelegt ist. Technik allein reiche allerdings nicht aus, man müsse auch Geschäftsführung und Mitarbeiter von der Relevanz dieses Risiko-Managements überzeugen.   Das SBIC-Panel empfiehlt in seinem neuen Report (Link) eine sechsstufige Roadmap:   1. Beginnen Sie mit den Grundlagen: Inventarisieren Sie die strategischen Vermögenswerte, überprüfen Sie die Incident-Response-Prozesse und nehmen Sie eine umfassende Risikobewertung vor.   2. Informieren Sie über die Vorteile: Erklären Sie der Geschäftsleitung die Vorteile eines informationsbasierten Sicherheitsansatzes. Erzielen Sie schnell Erfolge – dies ist wesentlich für eine breite organisatorische Unterstützung und Finanzierung.   3. Identifizieren Sie die richtigen Mitarbeiter: Suchen Sie Fachleute, die technisches Sicherheitswissen mit analytischem Denken verbinden und die gute Beziehungen zu anderen aufbauen können.   4. Bauen Sie sich Quellen auf: Überprüfen Sie, welche Daten aus externen oder internen Quellen Ihnen helfen, gezielte Angriffe zu erkennen, vorherzusagen und abzuwenden; werten Sie diese Quellen regelmäßig aus.   5. Definieren Sie einen Prozess: Legen Sie standardisierte Methoden fest, mit denen Sie verwertbare Informationen erheben, schnell und angemessen reagieren und Gegenmaßnahmen zu einem Angriff entwickeln können.   6. Automatisieren Sie die Abläufe: Suchen Sie nach Wegen, um große Datenmengen aus verschiedenen Quellen weitgehend automatisiert zu analysieren und zu verwalten.   Der Autor auf LANline.de: wgreiner                 Im aktuellen Report plädieren die SBIC-Fachleute für eine "aufklärungsgetriebene" Informationssicherheit. LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Nachholbedarf bei Mobile Security

Verwandte Artikel

Anti-Malware

APT