Austausch von Informationen über Bedrohungen

Die Geheimwaffe der Cybersecurity.

Wer teilt die Bedrohungsdaten?

Es gibt viele Möglichkeiten, aus Bedrohungsdaten einen Nutzen zu ziehen, sei es durch eine vollständige Bedrohungsdatenplattform, die Aufnahme von Bedrohungsdaten oder einfach durch die Nutzung von Bedrohungsdatenfunktionen, die in gängigen Sicherheitstools enthalten sind. Eine der weniger verbreiteten Möglichkeiten, von Bedrohungsdaten zu profitieren, besteht darin, diese Informationen mit anderen Gruppen auszutauschen, um die Reaktionszeit auf Ereignisse zu verkürzen und Präventivmaßnahmen zu ergreifen.

Industrie- und regierungsgeführte Initiativen haben zu einem dramatischen Anstieg des Austauschs von Bedrohungsdaten zwischen Regierungen, privaten Organisationen und Branchen geführt. Dazu gehören Zentren für den Informationsaustausch und die Analyse (Information Sharing and Analysis Centers, ISACs), Organisationen für den Informationsaustausch und die Analyse (Information Sharing and Analysis Organizations, ISAOs), Industriegruppen, Holdinggesellschaften und andere Gemeinschaften für den Austausch von Bedrohungsinformationen, die eine sichere Zusammenarbeit anstreben:

Welche Arten des Austauschs von Bedrohungsdaten gibt es?

Es gibt zwei Arten der Weitergabe, die sich danach richten, wer die Informationen weitergibt.

Unidirektionaler Austausch von Bedrohungsdaten

Eine Einrichtung produziert und gibt Bedrohungsdaten weiter, die von anderen genutzt werden, während die Nutzer der Daten keine Gegenleistung erbringen. Beispiele für den unidirektionalen Austausch von Bedrohungsdaten sind:

Open-Source-Informationen, z. B. die Aufnahme von Open-Source-Bedrohungsdaten oder das Herunterladen eines öffentlich zugänglichen Berichts über einen kürzlichen Angriff, der Indikatoren und verwendete Methoden enthält.
Closed-Source-Berichte und Feeds

Bidirektionaler Austausch von Bedrohungsdaten

Informationen werden nach unten gesandt, um konsumiert zu werden, können aber auch von den Mitgliedsorganisationen aufgenommen werden. Obwohl der Austausch von Informationen in diesen Programmen erlaubt ist und gefördert wird, gibt es keine Garantie, dass jede Organisation etwas mitteilt.

Bedenken hinsichtlich des Austauschs von Bedrohungsdaten

Obwohl Bedrohungsdaten zweifellos wertvoll sind, gibt es einige allgemeine Bedenken, die Unternehmen davon abhalten, sie weiterzugeben:

Datenschutz und Haftungsfragen

Diese können durch eine genauere Wahrnehmung des Informationsaustauschs, durch Schutzklauseln in rechtlichen Vereinbarungen, durch neuere Gesetze oder durch Sorgfalt bei der Weitergabe von Informationen überwunden werden.
  • Unabhängig von der Art der Weitergabe ist es ratsam, die Daten vor der Weitergabe auf private oder sensible Unternehmensdaten zu überprüfen.
  • Der Cybersecurity Information Sharing Act of 2015 (CISA) enthält Bestimmungen, um Bedenken hinsichtlich Datenschutz und Haftung auszuräumen. Einige dieser Schutzmaßnahmen sind an die Erfüllung bestimmter Bedingungen geknüpft. Wie immer wird eine angemessene Rechtsberatung dringend empfohlen, um zu verstehen, wie das CISA auf bestimmte Situationen angewendet werden kann.

"Es gibt nichts von Wert beizutragen"

Diese können durch eine genauere Wahrnehmung des Informationsaustauschs, durch Schutzklauseln in rechtlichen Vereinbarungen, durch neuere Gesetze oder durch Sorgfalt bei der Weitergabe von Informationen überwunden werden.

Mangel an Fachwissen

Auch wenn Sie keine ausgebildete Fachkraft sind, ist es für die Gemeinschaft von Vorteil, wenn Sie den Kontext, die beobachteten Details des Angriffs und, wenn möglich, die von den Mitarbeitern erstellten Analysen hinzufügen.

Angst vor der Enthüllung, dass eine Organisation gehackt worden ist

Die Befürchtung, Details über Sicherheitsverletzungen nicht nur an die unbedingt notwendigen Stellen weiterzugeben, ist weit verbreitet, kann aber durch die Einhaltung bewährter Verfahren bei der Weitergabe von Informationen ausgeräumt werden.

Schritte zum Beginn des Austauschs von Bedrohungsdaten

Unabhängig davon, ob Ihr Unternehmen bereits aktiv Informationen austauscht oder damit noch nicht begonnen hat, finden Sie hier einige Tipps, wie Sie damit beginnen können oder wie Sie den bereits stattfindenden Austausch verbessern können:

Werkzeuge und Gemeinschaften

Wählen Sie geeignete Tools und Communities für den Austausch von Bedrohungsdaten. Mögliche Optionen sind:
  • E-Mail, die der einfachste Ausgangspunkt ist
  • Tools wie Anomali STAXX, eine kostenlose Lösung, die von Anomali angeboten wird und den Austausch von Indikatoren über STIX und TAXII unterstützt
  • ISACs und andere Branchenorganisationen, die in der Regel über Mechanismen zum Austausch von Informationen verfügen
  • Ad-hoc-Austausch mit lokalen Einrichtungen oder Partnern in anderen Branchen
  • Anomali ThreatStream Die Nutzer verfügen bereits über eine sehr robuste Lösung, um Indikatoren und andere Informationen mit anderen Organisationen auszutauschen oder ihre eigenen Austauschgemeinschaften zu bilden.

Teilen und beitragen

Die Weitergabe von beobachteten Verhaltensweisen des Gegners, zusätzlichem Kontext, gesehenen Angriffen oder Details aus der Reaktion auf Vorfälle sind ein guter Anfang. Machen Sie sich keine Sorgen, wenn zu dem, was anfangs geteilt wird, nicht viel an Analyse hinzugefügt wird.

Teilen Sie außerhalb Ihrer vertikalen Ebene

Suchen Sie nach Möglichkeiten des Austauschs mit Organisationen außerhalb Ihrer Branche, einschließlich lokaler Einrichtungen wie Fusionszentren. Wie immer ist eine enge Zusammenarbeit mit Rechtsteams/Rechtsanwälten bei der Ausarbeitung geeigneter Vereinbarungen zur Erleichterung des Austauschs zwischen den Einrichtungen sehr zu empfehlen.

Jagd- und Verteidigungstechniken teilen

Je mehr wir teilen, desto schwieriger wird es für die Bösewichte. Erwägen Sie das Teilen:
  • Details zur Bedrohungsjagd wie Suchvorgänge, spezifische Protokolleinträge usw.
  • Erfolgreiche Abwehrtechniken oder Regeln wie YARA-Regeln, Snort-Signaturen, Bro-Regeln und Skripte.

Details zum Verstoß teilen

Die rasche Weitergabe von Informationen über Sicherheitsverletzungen könnte den Unterschied ausmachen, ob jemand anderes von einer Sicherheitsverletzung betroffen ist oder ob die Verletzung schnell gestoppt werden kann. Außerdem könnte es viel Unterstützung in Form von zusätzlichen Informationen und schnelleren Antworten auf Herausforderungen bei der Reaktion auf Vorfälle dank der zusätzlichen Ressourcen von anderen Organisationen bringen.

Möchten Sie mehr über den Austausch von Bedrohungsdaten erfahren?

Laden Sie das Whitepaper herunter, um mehr über die gemeinsame Nutzung von Informationen außerhalb der Branche, die gemeinsame Nutzung gezielter Informationen usw. zu erfahren.