Der Blick auf die Angriffe von morgen

Cyber Threat Intelligence - die Macht von Mensch und Maschine

Abhilfe verspricht Cyber Threat Intelligence. Diese umfassenden kontextuellen Einsichten entstehen aus einer Kombination aus hochentwickelter Technik mit menschlicher Intelligenz. Die grundlegenden Daten von Signatur- und Reputations-Feeds sowie der Threat Data Feeds werden von den Experten angereichert mit Informationen und Analysen.

Schnelle und genaue Threat Intelligence braucht eine große Datenbasis unter anderem aus Open-Source-Informationen, im Untergrund gesammelten Indikatoren und der Analyse verschiedener Werkzeugsammlungen. Die Technologie ermöglicht es, Derivate von Malware-Familien zu analysieren, DDoS-Technologien und ihre Entwicklung zu verfolgen oder die Command-and-Control-Infrastrukturen zu überwachen. Millionen Sensoren führen mehr als 50 Milliarden Analysen täglich im Netzwerk und an Endpunkten durch. Analysen auf Basis virtueller Maschinen verhindern die Umgehung von Sandboxes durch Malware - was eine ständige Aktualisierung der Tools voraussetzt. Dynamische Analysen müssen Files und Objekte im Kontext und über mehrere Threat Vektoren hinweg untersuchen. Und sie müssen Malware in einer Vielzahl von Umgebungen entdecken. Die Analyse auf Basis virtueller Maschinen ist noch effektiver, wenn sie mit dynamischer Echtzeit-Threat Intelligence und einem umfassenden Angebot an Services angereichert wird.

Menschliche Intelligence hilft dabei, vergangene, gegenwärtige und zukünftige Taktiken, Techniken und Verfahren von vielen Gegnern zu verstehen. Experten stellen eine Verbindung her, zwischen den technischen Indikatoren (wie IP-Adressen und Domains im Zusammenhang mit den Angriffen oder mit den Hashes als "Fingerabdruck" von Schadfiles) und den Gegnern beziehungsweise der Information, die sie haben wollen. Die Spezialisten müssen Sprachen und deren Slang sowie den kulturellen Hintergrund kennen, aber auch die Motive und Beziehungsgeflechte auf der gegnerischen Seite durchschauen. Dazu braucht es Recherche und intensiven Austausch, um die Analysen zusammenzuführen. Hunderte von Analysten verfolgen eine Vielzahl bekannter Threat-Gruppen. Die Erkenntnisse aus Incident Response Engagements werden genutzt um die Information zu komplementieren. Sie ergänzen die Detection-basierten Indikatoren mit strategischen Einsichten und Analysen.

Beides zusammen bedeutet kontinuierliche Überwachung von Hackergruppen - sei es eine nationalstaatliche Organisation oder organisierte Cyberkriminelle und Hacktivisten. Gescreent werden unter anderem Untergrund-Sites auf denen Ideen, Techniken und Tools ausgetauscht werden. Ziel ist es auch, Zero-Days zu registrieren, Common Vulnerabilities and Exposures (CVE) zu überwachen und aktive Exploits zu finden.

Schützen, was am wichtigsten ist

Bei Advanced Threats agieren intelligente Menschen. Wer sich ausschließlich auf Malware konzentriert, sieht nur die Hälfte des Problems. Natürlich ist Malware ein extrem wichtiges Tool der Angreifer, 46 Prozent aller gehackten Geräte wurden jedoch nicht ihr infiziert. Es gilt, das größere Bild zu sehen.

Der große Reiz von Cyber Threat Intelligence liegt zum einen darin, den Kontext zu ungewöhnlichen Bewegungen im Netz und potenziellen Hacker-Attacken zu erhalten, zum anderen in der Möglichkeit, Hackeraktivitäten vorhersagen zu können. Diese Echtzeit-Informationen machen Security-Teams effizienter, denn sie können aufpoppende Bedrohungen sofort blocken. Attacken können vorhergesehen und die wirklich bedrohlichen Sicherheitslücken gestopft werden, bevor sie zum Risiko werden. Der Wermutstropfen: Man braucht Experten in dedizierten Computersicherheitsteams (CERT) oder einem Security Operations Center (SOC), die daraus Aktionen ableiten. Diese Spezialisten zu finden, kann für Unternehmen und Behörden zur Herausforderung werden, denn sie sind gefragt, teuer und schwer zu bekommen. Nicht wenige Unternehmen kaufen deshalb nicht nur die Erkenntnisse der Cyber Threat Intelligence zu, sie lagern auch die Umsetzung an die Anbieter von Cyber Security aus.

Frank Kölmel ist Vice President Central Europe bei Fireeye

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Der Blick auf die Angriffe von morgen
2. Cyber Threat Intelligence - die Macht von Mensch und Maschine

Lesen Sie mehr zum Thema

Weitere Artikel zu FireEye

Highend-Security für Google Cloud

Google kauft Mandiant

Mit Fokus auf XDR

McAfee Enterprise und FireEye werden Trellix

Hacktivisten und hybride Kriegsführung

Schadsoftware auf Regierungs-PCs in der Ukraine

Unified Architecture

Fire Eye entwickelt XDR-Plattform

US-Sicherheitsanbieter

Fireeye wird filetiert

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus