Mit Künstlicher Intelligenz gegen Hacker kämpfen

Threat und Security Intelligence

Mirco Kloss, Security Evangelist bei Check Point, legt grossen Wert auf die Unterscheidung der Begriffe: „Bei Threat Intelligence geht es darum, die Gefahren zu verstehen. Security Intelligence zielt darauf ab, die Bedrohungen abzuwehren. Allerdings hängen beide Begriffe eng zusammen: Wenn ich die Mittel und die Motive eines Angreifers nicht verstehe, wird es sehr schwer, seine Attacken abzuwehren. Daher braucht es Know-how über Schwachstellen und Schädlinge.“ Threat Intelligence beschreibt in diesem Kontext also das Sammeln und die Analyse von Informationen, die auf geplante Angriffe, Schwachstellen und andere unerwünschte Aktivitäten in der IT-Infrastruktur hindeuten.
“„Bei Threat Intelligence handelt es sich darum, die Gefahren zu verstehen, Security Intelligence zielt darauf ab, die Bedrohungen abzuwehren.“„
Mirco Kloss
Security Evangelist bei Check Point
Deshalb reicht eine Threat-Intelligence-Lösung allein Kloss zufolge auch keinesfalls aus: Unternehmen müssten Threat Intelligence in eine umfassende Sicherheitsarchitektur umsetzen, die sowohl die Gefahrenlage als auch die individuelle Situation der Firma berücksichtige. „Die Kombina­tion der einzelnen Faktoren wäre dann die Security Intelligence: Die Aufstellung und Implementierung einer passenden Sicherheitsarchitektur.“
Martin Zeitler, Senior Systems Engineering Manager bei Palo Alto Networks, weist auf den militärischen Ursprung des Begriffs Intelligence hin: „So werden dort Informationen bezeichnet, die einer Organisation die Grundlagen für Entscheidungen oder auch strategische Vorteile im Konfronta­tionsfall liefern können.“ Threat Intelligence (TI) unterteilt er weiter in die Unterkategorien taktische TI und strategische TI. „Bei der taktischen TI ist die Information direkt technisch anwendbar und wird häufig in der Form von IOCs (Indicators of Compromise) bereitgestellt. Die strategische TI verstehe ich hingegen als High-Level-Information über den Angreifer, seine Motivation, Taktik, Technik und Vorgehensweise.“
“„Security Intelligence wird nur erfolgreich sein, wenn die Lösung in eine umfassende Security-Strategie und entsprechende Sicherheitsrichtlinien eingebettet ist.“„
Ralf Gehrke
Director Presales für Europa bei Akamai
Zur Erklärung: IOCs sind strukturierte Informationen über Merkmale schädlicher Aktivitäten. Damit lassen sich automatisiert Systeme aufspüren, die manipuliert wurden oder gegen die gerade eine Attacke läuft.
Security Intelligence wiede­rum fasst Martin Zeitler wesentlich weiter. „Bei SI geht es um den grundsätzlichen Schutz einer Organisation gegen externe und interne Bedrohungen praktisch jeder Art.“
Akamai schliesslich, über dessen Content-Delivery-Network (CDN)-Services rund 30 Prozent des gesamten Internetverkehrs laufen, spricht schon gar nicht mehr von Threat Intelligence, sondern nur noch von Security Intelligence. „SI hat für uns eher einen proaktiven Charakter und ermöglicht es, einen Angreifer bereits im Vorfeld auf Basis von Big Data, heuristischen Methoden und selbstlernenden Algorithmen zu blocken“, erläutert Ralf Gehrke, Director Presales für die Region Europa bei Akamai.

Detect, Prevent, Response

Laut Gehrke überwacht und schützt eine SI-Lösung alle neuralgischen Schnittpunkte und Bereiche der IT-Infrastruktur: Endpunkte, IoT-Systeme, Netzwerke mit Routern, Switches und Gateways, Webserver sowie Mitarbeiter, die im Web browsen und eventuell auf einen Link mit Malware klicken. Sie bietet dazu drei grundlegende Funktionen: Detect, Prevent/Protect und Response. Detect steht für die Entdeckung von Schädlingen und Angriffsversuchen, Prevent/Protect für den Schutz vor und die Blockade von Angriffen und Response für Handlungsempfehlungen und konkrete Massnahmen, mit denen Firmen auf einen entdeckten Angriff reagieren, der bereits das Netzwerk infiltriert hat.
„Wichtig sind etwa das kontinuierliche Sammeln und sofortige Bereitstellen von Rohdaten – und zwar rund um die Uhr – sowie die zentrale Analyse der Daten über die komplette In­frastruktur hinweg“, sagt Achim Kraus, Director of Sales Engineering bei Cybereason, einem Experten für Endpunktschutz.
Als weitere Funktionen einer SI-Lösung nennt Gehrke das automatische Erkennen verdächtiger Vorgänge bis hin zum Erkennen der Schritte, über die sich Malware im Unternehmensnetzwerk einnistet und der Aktionen, die sie dort ausführt, sowie die Einordnung in den Ablauf einer Angriffskette inklusive Visualisierung. „Sobald ein Angriff erkannt und validiert wurde, sollte eine SI-Lösung unverzüglich reagieren und innerhalb von 60 Sekunden Schutzmassnahmen einleiten, die ein derartiges Ereignis auch künftig verhindern. Dazu gehört, dass alle Endgeräte im Unternehmen damit ausgestattet werden.“




Das könnte Sie auch interessieren