Austausch von Threat Intelligence

Austausch von Threat Intelligence

Die Geheimwaffe der Cybersicherheit

Wer tauscht Threat Intelligence aus?

Es gibt viele Möglichkeiten, Nutzen aus Threat Intelligence zu ziehen, sei es durch eine umfassende Threat Intelligence-Plattform, durch Einbindung von Bedrohungs-Feeds oder einfach durch die Nutzung von Threat Intelligence-Funktionen in gängigen Sicherheitstools. Eine der weniger verbreiteten Möglichkeiten, von Threat Intelligence zu profitieren, ist, diese Informationen mit anderen Gruppen zu teilen. Dies trägt dazu bei, die Reaktionszeiten bei Vorfällen zu verkürzen und Präventivmaßnahmen zu ergreifen.

Branchenspezifische und öffentlich geführte Initiativen haben zu einem drastischen Anstieg beim gegenseitigen Austausch von Threat Intelligence zwischen Behörden, privaten Organisationen und Unternehmen geführt. Hierzu zählen u. a.:

Welche Arten des Austauschs von Threat Intelligence gibt es?

Es gibt zwei Arten des Austauschs, die jeweils dadurch definiert sind, wer die Informationen teilt.

Austausch von Threat Intelligence in einer Richtung: Ein Unternehmen erzeugt Threat Intelligence und gibt sie an andere weiter, die zwar von den Informationen profitieren, aber im Gegenzug keinen Beitrag dazu leisten. Beispiele für die unidirektionale Weitergabe von Threat Intelligence:

  • Open Source Intelligence – Dies kann die Erfassung eines Open-Source-Threat-Intelligence-Feeds oder den Download eines öffentlich zugänglichen Reports über einen kürzlich erfolgten Angriff mit den verwendeten Indikatoren und Angriffsmethoden beinhalten.
  • Closed-Source-Berichte und -feeds

Austausch von Threat Intelligence in beide Richtungen: Informationen werden zum Gebrauch weitergegeben, können jedoch auch von Mitgliederorganisationen bereitgestellt werden. Der Austausch ist in diesen Programmen zwar erlaubt und wird gefördert, es gibt aber keine Garantie, dass jede Organisation ihren Beitrag zum Austausch von Threat Intelligence leistet.

Sharing with Analysts

Vorbehalte im Zusammenhang mit dem Austausch von Threat Intelligence

Obwohl Threat Intelligence zweifellos wertvoll ist, gibt es ein paar Vorbehalte, die Organisationen daran hindern, sich am Austausch zu beteiligen.
  • Bedenken hinsichtlich Datenschutz und Haftung: Derartige Bedenken können durch eine größere Sorgfalt bei dem Austausch von Intelligence, Schutzklauseln in vertraglichen Vereinbarungen, aktuellen Richtlinien und Obacht beim Austausch der Daten ausgeräumt werden.
    • Scrubbing data for private information or sensitive corporate information before sharing is a good idea regardless of the type of sharing involved.
    • Der Cybersecurity Information Sharing Act von 2015 (CISA) enthält Bestimmungen, die auf Vorbehalte bezüglich Datenschutz und Haftung eingehen. Einige dieser Schutzmaßnahmen sind an die Erfüllung bestimmter Bedingungen geknüpft. Wie immer wird eine angemessene Rechtsberatung dringend empfohlen, um zu verstehen, inwiefern der CISA auf bestimmte Situationen anwendbar ist.
  • „Wir haben nichts Wesentliches beizutragen“: Keine Organisation erkennt jeden Angriff. Doch auch die Weitergabe scheinbar unbedeutender Details kann die Transparenz erhöhen und zu einer umfassenderen Intelligence-Analyse beitragen.
  • Mangel an Fachwissen: Selbst wenn Sie kein ausgebildeter Experte sind, ist es für die Allgemeinheit dennoch von Vorteil, jeglichen Kontext, beobachtete Details zu Angriffen und, falls möglich, von betroffenen Mitarbeitern gewonnene Erkenntnisse hinzuzufügen.
  • Angst zuzugeben, dass eine Organisation gehackt wurde: Die Sorge, nähere Informationen zu Verstößen in größerem Umfang als unbedingt notwendig mit anderen Unternehmen zu teilen, ist weit verbreitet, kann aber durch die Befolgung bewährter Praktiken beim Austausch ausgeräumt werden.

Schritte zum Einstieg in den Austausch von Threat Intelligence

Ganz gleich, ob sich Ihre Organisation bereits aktiv am Austausch von Intelligence beteiligt oder noch nicht damit begonnen hat – hier finden Sie einige Tipps, wie Sie beginnen oder einen bereits stattfindenden Austausch verbessern können:
  • Tools und Communitys: Wählen Sie geeignete Tools und Communitys für den Austausch von Threat Intelligence aus. Mögliche Optionen sind:
    • E-Mail, der einfachste Ausgangspunkt
    • Tools wie Anomali STAXX – eine kostenlose Lösung von Anomali, die den Austausch von Indikatoren über STIX und TAXII unterstützt
    • ISACs und andere Branchenorganisationen, die bereits Informationsaustausch betreiben
    • Ad-hoc-Freigabe für lokale Einrichtungen oder Partner in anderen Branchen
    • Benutzer von Anomali ThreatStream verfügen bereits über eine äußerst robuste Lösung, um Indikatoren und weitere Informationen mit anderen Unternehmen zu teilen oder eigene Communities für den Austausch zu errichten.
  • Teilen und Beitragen: SDie Weitergabe von beobachteten schädlichen Aktivitäten, zusätzlichem Kontext, gesehenen Angriffen oder Details aus der Vorfallbehandlung sind gute Ansatzpunkte. Machen Sie sich keine Sorgen, wenn zu den anfangs ausgetauschten Daten nicht viel in die Analyse hinzukommt.
  • Branchenübergreifender Informationsaustausch: Halten Sie Ausschau nach Möglichkeiten, Informationen mit Organisationen außerhalb Ihrer Branche auszutauschen, z. B. mit dezentralen Einrichtungen wie Fusion Centern. Wie immer ist die enge Zusammenarbeit mit den Rechtsabteilungen bei der Ausarbeitung geeigneter Vereinbarungen zur Erleichterung des Informationsaustausches eine unbedingte Voraussetzung.
  • Austausch von Techniken für Suche und Verteidigung: Je mehr Informationen wir teilen, umso schwerer wird es für die Gegenspieler. Ziehen Sie in Erwägung, Folgendes zu teilen:
    • Details zu Threat Hunting, wie Suchausdrücke, bestimmte Logeinträge usw.
    • Erfolgreiche Verteidigungstechniken oder Regeln wie YARA-Regeln, Snort-Signaturen, Bro-Regeln und Skripten
  • Weitergabe von Details zu Vorfällen: Durch die schnelle Weitergabe von Details zu Vorfällen kann u. U. verhindert werden, dass weitere Personen davon beeinträchtigt werden und im weiteren Verlauf die Angriffskette unterbrochen werden kann. Dank der zusätzlichen Ressourcen anderer Organisationen sorgt die Lösung außerdem für zusätzliche Einsicht und damit schnellere Antworten im Rahmen der Vorfallbehandlung.

Wenn Sie Informationen teilen, leisten Sie einen wesentlichen Beitrag.

Whitepaper

Möchten Sie mehr über den Austausch von Threat Intelligence erfahren?

Laden Sie das Whitepaper herunter, um weitere Informationen über den sektorübergreifenden Informationsaustausch zu erhalten.