RSA und SBIC: Empfehlungen, um sich vor neuartigen Gefahren zu schützen
"Intelligence-Driven Information Security" zur Abwehr von APTs
Gezielte, raffinierte und von langer Hand vorbereitete Angriffe auf IT-Ressourcen und Datenbestände, die man lange nur in der Halbwelt der Geheimdienste fand (oder besser: vermuten konnte), haben Einzug in die Unternehmenswelt gehalten. Gegen diese neuartigen Angriffe - unter dem Namen APT (Advanced Persistent Threat, auf Deutsch etwa: ausgefeilte anhaltende Bedrohung) heiß diskutiert - sind herkömmliche Perimeter-Abwehrmechanismen meist machtlos. Der Security for Business Innovation Council (SBIC), eine Gruppe von Security-Verantwortlichen unter Federführung von RSA, rät deshalb zur Einführung eines Risiko-Managements mit gründlicher Analyse aller interner und externer Risikoparameter.
Risiko-Management im Cloud-Zeitalter: Sourcing mit Bedacht
Trend Micro verspricht besseren Schutz vor gezielten Angriffen
RSA: Blacklist-Daten-Feeds plus Bedrohungsüberwachung
In einer jüngst vorgestellten Studie plädiert der Security for Business Innovation Council (SBIC), ein von der EMC-Tochter RSA gesponsortes Panel von CISOs (Chief Information Security Officers) vor dem Hintergrund heutiger APTs für ein grundlegendes Umdenken in Sachen Informationssicherheit: Jenseits der vertrauten Abwehrmechanismen am Netzwerk-Perimeter fordern die 17 Sicherheitsexperten die Einführung von „Intelligence-Driven Information Security“. Dieser etwas unhandliche Begriff wäre wohl am ehesten mit „aufklärungsgetriebener Informationssicherheit“ zu übersetzen, meint das Wort „Intelligence“ hier doch die systematische Datensammlung und -analyse (wie etwa das „I“ in „Central Intelligence Agency“, kurz CIA).
Zur Bewertung der Bedrohungslage des eigenen Unternehmens ist eine Reihe von Faktoren zu ermitteln und zu korrelieren, so Dr. Michael Teschner, verantwortlich für das Business Development bei RSA, im LANline-Interview: Was sind die Angriffsvektoren? Wer sind die Angreifer, was treibt sie an? Welche Informationen liefern die Kontrollmechanismen im Unternehmen, welche externe Quellen zu neuen oder veränderten Angriffsmustern? All diese Informationen gelte es, so Teschner, in einer Datenbasis zu erfassen, um durch Korrelation und Analyse erkenen zu können, wo es mögliche Angriffe gibt. Wichtig sei dabei, den Gedanken einer zu sichernden Grenze (Perimeter) aufzugeben: „Man muss davon ausgehen, dass der Angreifer bereits im eigenen Netz ist“, erläutert Teschner.
In diesem Kontext sind schnell sehr umfangreiche Datenbestände zu bewältigen – jenes Ausmaßes, das man derzeit gerne kurz als „Big Data“ bezeichnet. Hier trifft es sich, dass RSA die Tochter des Speichergiganten EMC ist: Laut Teschner arbeitet man bei RSA derzeit daran, Techniken für Big Data Analytics, die im Hause EMC bereits vorhanden sind, für die Security-Lösungen nutzbar zu machen. „EMC hat eine performante Scale-out-Analytics-Engine, die Big Data echtzeitnah verarbeiten kann“, so RSA-Mann Teschner, „man muss dann aber auch in der Lage sein, diese Findings zu bewerten, in den Business-Kontext zu setzen und zu priorisieren.“ Für diese Aufgaben verweist er auf die hauseigene Lösung Archer EGRC, die für die GRC-Entscheidungsfindung (GRC: Governance, Risk, Compliance) ausgelegt ist. Technik allein reiche allerdings nicht aus, man müsse vor allem die Geschäftsführung, aber auch die Unternehmensmitarbeiter generell von der Relevanz dieses Risiko-Managements überzeugen.
Das SBIC-Panel empfiehlt in seinem neuen Report „Getting Ahead of Advanced Threats: Achieving Intelligence-driven Information Security“ eine sechsstufige Roadmap zur Umsetzung dieses Sicherheitskonzepts:
1. Beginnen Sie mit den Grundlagen
Inventarisieren Sie die strategischen Vermögenswerte, überprüfen Sie die Incident-Response-Prozesse und nehmen Sie eine umfassende Risikobewertung vor.
2. Informieren Sie über die Vorteile
Erklären Sie der Geschäftsleitung die Vorteile eines informationsbasierten Sicherheitsansatzes. Erzielen Sie schnell Erfolge – dies ist wesentlich für eine breite organisatorische Unterstützung und Finanzierung.
3. Identifizieren Sie die richtigen Mitarbeiter
Suchen Sie Fachleute, die in der Lage sind, technisches Sicherheitswissen mit analytischem Denken zu verbinden, und die gute Beziehungen zu anderen aufbauen können.
4. Bauen Sie sich Quellen auf
Überprüfen Sie, welche Daten aus externen oder internen Quellen Ihnen helfen, gezielte Angriffe zu erkennen, vorherzusagen und abzuwenden; werten Sie diese Quellen regelmäßig aus.
5. Definieren Sie einen Prozess
Legen Sie standardisierte Methoden fest, mit denen Sie verwertbare Informationen erheben, schnell und angemessen reagieren und Gegenmaßnahmen zu einem Angriff entwickeln können.
6. Automatisieren Sie die Abläufe
Suchen Sie nach Wegen, um große Datenmengen aus verschiedenen Quellen weitgehend automatisiert zu analysieren und zu verwalten.
Der Report „Getting Ahead of Advanced Threats“ steht auf der SBIC-Webpage von RSA zum Download zur Verfügung: Link.
Lesen Sie mehr zum Thema
