Austausch von Threat Intelligence | Anomali

Austausch von Threat Intelligence

Die Geheimwaffe der Cybersicherheit

Wer tauscht Informationen aus?

Aus Threat Intelligence kann auf vielfältige Weise Nutzen gezogen werden, ganz gleich, ob dies über eine vollständige Threat Intelligence Plattform, durch Aufzeichnen von Threat Feeds oder ganz einfach durch Nutzung der Bedrohungsinformations-Funktionen gängiger Sicherheitstools erfolgt. Eine der weniger genutzten Möglichkeiten ist der Austausch dieser Informationen mit anderen Gruppen, wodurch sich die Reaktionszeit auf Vorfälle verringert und präventive Maßnahmen schnell eingeleitet werden können.

Industrienahe und von der Regierung geführte Initiativen haben dazu geführt, dass Threat Intelligence inzwischen sehr viel häufiger zwischen Behörden, privaten Unternehmen und ganzen Branchen ausgetauscht wird. Hierzu gehören u. a.:

Austauschunternehmen

Welche Arten von Austausch gibt es?

Es gibt zwei Arten von Austausch, die sich dadurch definieren, wer die Informationen austauscht.

Austausch von Threat Intelligence in einer Richtung – Eine Organisation produziert Threat Intelligence und gibt sie an andere weiter, die diese verarbeitet, jedoch keinerlei Informationen zurückbekommt. Beispiele für den Austausch von Threat Intelligence in einer Richtung:

  • Open Source Intelligence, wobei möglicherweise ein Open Source-Informationsfeed abonniert oder ein öffentlicher Bericht über einen kürzlich erfolgten Angriff heruntergeladen wird inklusive der Indikatoren und Methoden.
  • Closed Source-Berichte und Feeds

Austausch von Threat Intelligence in beide Richtungen - Informationen werden zum Gebrauch weitergegeben, können jedoch auch von Mitgliedsunternehmen ausgetauscht werden. Der Austausch ist in diesem Modell zwar erlaubt und wird gefördert, es besteht jedoch keine Garantie, dass alle Unternehmen etwas dazu beitragen.

Austausch mit Analytikern

Bedenken rund um den Austausch

Zwar ist Threat Intelligence zweifellos wertvoll, jedoch bestehen einige Bedenken, die Unternehmen davon abhalten, sie mit anderen auszutauschen.

  • Bedenken im Hinblick auf Datenschutz und Haftung – Derartige Bedenken können durch eine genauere Wahrnehmung des Austauschs von Informationen sowie Schutzklauseln in rechtlichen Vereinbarungen und die aktuelle Gesetzgebung beseitigt werden; darüber hinaus kann beim Austausch von Informationen vorsichtig vorgegangen werden.
    • So sollten Daten zu privaten Informationen oder vertrauliche Unternehmensinformationen unabhängig von der Art des Austauschs vor der Weitergabe stets unkenntlich gemacht werden.
    • Im Cybersecurity Information Sharing Act of 2015 (CISA) finden sich Bestimmungen für den Umgang mit Bedenken rund um Datenschutz und Haftung. Einige dieser Schutzmaßnahmen sind von bestimmten zu erfüllenden Vorschriften abhängig. Wie immer wird dringend empfohlen, kompetenten juristischen Rat einzuholen, um in Erfahrung zu bringen, wie der CISA in bestimmten Situationen gilt.
  • „Wir haben nichts wesentliches beizutragen“ – Kein Unternehmen erkennt alle Bedrohungen. Jedoch kann die Weitergabe selbst unbedeutender Details zur Sichtbarkeit beitragen und bei der Erstellung einer vollständigeren Informationsanalyse helfen.
  • Mangelnde Erfahrung – Selbst wenn Sie kein erfahrener Profi sind, können jeglicher Kontext, beobachtete Details zu Angriffen und, wenn möglich, von Mitarbeitern durchgeführte Analysen der Community nutzen.
  • Angst zuzugeben, dass ein Unternehmen gehackt wurde – Die Angst, Details zu Verstößen nicht nur an die unbedingt notwendigen Einheiten, sondern auf breiterer Ebene preiszugeben, ist weit verbreitet, kann jedoch entkräftet werden, indem beim Informationsaustausch auf bewährte Praktiken zurückgegriffen wird.

Wo sollte mit dem Austausch von Informationen begonnen bzw. wo sollte er erweitert werden

Ganz gleich, ob Ihr Unternehmen bereits aktiv Informationen austauscht oder noch nicht damit begonnen hat - nachstehend finden Sie einige Tipps für den Start bzw. wie Sie den Austausch noch besser gestalten:

  • Tools und Communities – Wählen Sie für den Austausch von Threat Intelligence angemessene Tools und Communities. Hierzu gehören beispielsweise:
    • E-Mail, der einfachste Ausgangspunkt
    • Tools wie Anomali STAXX, eine von Anomali angebotene Gratislösung, die den Austausch von Indikatoren über STIX und TAXII unterstützt
    • ISACs und andere Branchenunternehmen, die im Allgemeinen über Mechanismen für den Austausch verfügen
    • Ad hoc-Austausch mit lokalen Organisationen oder Partnern in anderen Branchen
    • Die Benutzer von Anomali ThreatStream verfügen bereits über eine sehr robuste Lösung für den Austausch von Indikatoren und anderen Informationen mit anderen Unternehmen oder die Gründung eigener Austausch-Communities
  • Weitergeben und Beitragen – Die Weitergabe von beobachteten Verhaltensweisen, zusätzlichem Kontext, erlebten Angriffen oder Details zu Reaktionen auf Vorfälle stellen einen guten Anfang dar. Wenn es kaum Analysen zu den anfangs weitergegebenen Informationen gibt, so ist dies nicht kritisch.
  • Weitergabe außerhalb Ihrer Branche – Suchen Sie nach Gelegenheiten für den Austausch mit Unternehmen außerhalb Ihrer Branche einschließlich eingegrenzter Einheiten wie Fusion Centers. Auch in diesem Fall ist eine enge Zusammenarbeit mit der Rechtsabteilung/Anwälten unabdingbar, um entsprechende Vereinbarungen zur Vereinfachung des Austauschs zwischen den Einheiten auszuarbeiten..
  • Geben Sie Techniken für das Auffinden von und die Verteidigung gegen Bedrohungen weiter – Je mehr wir uns untereinander austauschen, desto schwerer machen wir es den Angreifern. Folgende Elemente sollten Sie weitergeben:
    • Thread Hunting-Details wie Suchen, spezifische Protokolleinträge usw.
    • Erfolgreiche Verteidigungstechniken und -regeln wie beispielsweise YARA-Regeln, Snort-Signaturen, Bro-Regeln und Skripte
  • Geben Sie Details zu Verstößen bekannt – Indem Details zu Verstößen schnell weitergegeben werden, können andere, die von Verstößen betroffen sind, schnell reagieren und Schlimmeres vermeiden. Außerdem stellen zusätzliche Ressourcen anderer Unternehmen eine große Hilfe für die Sammlung weiterer Informationen dar und es kann schneller auf Vorfälle reagiert werden.

Austausch bedeutet Hilfe und Unterstützung

Der grundlegende Leitfaden für den Austausch von Threat Intelligence

Möchten Sie mehr erfahren?

Dann laden Sie das Whitepaper herunter. Hier erfahren Sie mehr über den Austausch außerhalb Ihrer Branche, die Weitergabe gezielter Informationen uvm.

Jetzt lesen