Gemeinsame Nutzung von Bedrohungsdaten durch die besten Sicherheitstools

Sie haben eine leistungsstarke Palette an erstklassigen Cybersecurity-Tools von verschiedenen Anbietern zusammengestellt, darunter die beste Firewall, das beste E-Mail-Gateway und die besten Webkontrollen. Wenn diese jedoch keine Bedrohungsdaten austauschen, sind Sie möglicherweise immer noch verwundbar.

Das liegt daran, dass Angreifer koordinierte Angriffe über mehrere Kanäle durchführen. Wenn jedes Ihrer Abwehrtools isoliert agiert, weiß es möglicherweise nichts von den Bedrohungen, die bereits in einem anderen Kanal erkannt wurden.

Es ist, als hätten Sie einen Kader von mächtigen Kriegern, die das Hauptquartier Ihrer Firma bewachen, aber sie sprechen nicht miteinander. Während also ein Krieger tapfer Angreifer abwehrt, wissen seine ebenso tapferen Kameraden nichts von der Bedrohung, die auch sie angreifen wird.

Im Bereich der Cybersicherheit war das bisher oft der Fall. Aber jetzt gibt es einen wachsenden Trend, diese Best-of-Breed-Tools dazu zu bringen, miteinander zu kommunizieren, indem Application Programming Interfaces (APIs) genutzt werden, um Bedrohungsdaten auszutauschen. "Der Austausch von Bedrohungsdaten ermöglicht es Anwendern, sich durch eine integrierte Sicherheitsarchitektur besser zu schützen," sagt Jules Martin, VP Business Development bei Mimecast. "Und das ermöglicht eine tiefere Erkennung, indem mehrere Eintrittspunkte abgedeckt werden. So wird sichergestellt, dass das Unternehmen nicht gefährdet ist."

Die gemeinsame Nutzung von Bedrohungsdaten durch Sicherheitstools verbessert auch die mittlere Reaktionszeit (MTTR) bei Angriffen. "Sie können schneller und besser erkennen, schützen und reagieren. Das ist es, was eine integrierte Architektur leisten kann, sagt" Martin.

Angreifer müssen nur eine Schwachstelle finden

APIs ermöglichen den Austausch von Bedrohungsdaten und Kompromittierungsindikatoren (Indicators of Compromise, IoC) zwischen verschiedenen Sicherheitstools als einheitliche Suite. Das ist wichtig, weil Angreifer oft mehrere Taktiken anwenden, um sich Zugang zu einem Unternehmen zu verschaffen. Sie können mit einem "Man-in-the-Middle-Angriff beginnen." Ein Angreifer könnte beispielsweise eine gefälschte Internet-Storefront einrichten und einen Benutzer mit einer gezielten Phishing-E-Mail dazu verleiten, seine Anmeldedaten in diese Storefront einzugeben. Von dort aus verwendet der Angreifer die gestohlenen Anmeldedaten, um in Ihr Netzwerk einzudringen. Der Angreifer kann auch infizierte E-Mail-Anhänge oder E-Mail-Links versenden, über die ein Keylogger und Spyware heruntergeladen werden. Sie könnten sogar versuchen, Benutzer dazu zu verleiten, ein infiziertes USB-Speichergerät an ihren PC anzuschließen.

Ein Angreifer braucht nur eine dieser Methoden, um erfolgreich zu sein. " Es geht ihnen nicht darum, die Mauern der Festung einzureißen. Sie suchen einfach nur nach einem offenen Fenster," sagt Martin.

Der Schutz vor all diesen Angriffen erfordert, dass mehrere Sicherheitstools Bedrohungsdaten austauschen, um alle potenziellen Eintrittspunkte zu schützen, einschließlich E-Mail, Internet und USB-Speichergeräte. Sie müssen Bedrohungsdaten auf bilateraler Ebene austauschen, damit die Informationen von allen Sicherheitstools des Unternehmens gemeinsam genutzt werden können.

Der integrierte Ansatz macht einfach Sinn, sagt Martin. Die meisten Bedrohungen kommen über E-Mail oder das Internet, die beiden wichtigsten Kanäle für die Unternehmenskommunikation. "Wenn man eine Bedrohung am Gateway erkennt, warum sollte man dann nicht auch Informationen über diese Bedrohung in der gesamten Kette verbreiten?"

Im Idealfall sollten alle Sicherheitstools im Unternehmen benachrichtigt werden, wenn eine Bedrohung über einen beliebigen Kanal auftritt. Zu den wichtigsten Produkten, die integrierte Bedrohungsdaten über APIs benötigen, gehören der Security Incident Event Monitor (SIEM), der auf Sicherheitsvorfälle im Netzwerk achtet, das Security Orchestration and Response (SOAR)-System, das auf erkannte Sicherheitsvorfälle reagiert, und Endpunktsicherheitsdienste, die Laptops und andere Geräte am Rande des Netzwerks überwachen.

Darüber hinaus müssen sogar einige Dienste, die normalerweise nicht als Teil der Sicherheitssuite betrachtet werden, mit APIs für Bedrohungsdaten verbunden werden. Dazu gehören IT-Service-Management-Systeme (ITSM), die die Tickets für die Änderung der Netzwerk- und Systemkonfiguration öffnen, die oft zur Behebung des Angriffs erforderlich ist.

Gemeinsame Bedrohungsdaten machen schnelle Arbeit

Der integrierte Ansatz der Bedrohungsanalyse wird immer beliebter, vor allem in den USA. Auch andere Länder, darunter Großbritannien, Europa, Australien und Südafrika, erkennen die Notwendigkeit. "Der Rest der Welt wacht auf und nimmt diesen integrierten Ansatz an, sagt" Martin.

Die gemeinsame Nutzung von Bedrohungsdaten mithilfe von APIs verbessert nicht nur die Fähigkeit von Unternehmen, Angriffen vorzubeugen und auf sie zu reagieren, sondern kann auch die Verwaltungsarbeit von Cybersicherheitsteams rationalisieren. "Es gibt einen enormen Fachkräftemangel auf dem Markt, und die gemeinsame Nutzung von Bedrohungsdaten trägt dazu bei, den Mangel zu beheben, indem sie den Verwaltungsaufwand verringert," Martin. Einige Unternehmen jonglieren beispielsweise mit bis zu 75 verschiedenen Konsolen, um sich anzumelden und verschiedene Sicherheitsplattformen zu verwalten. Die Unternehmen betrachten die Lösungen isoliert und sagen: "Das ist wirklich zeitaufwändig. Das ist aus administrativer Sicht sehr schwer."

"Das Unternehmen ist durch einen integrierten Ansatz besser geschützt," sagt Martin. "Viele dieser sich wiederholenden Aufgaben können automatisiert werden. Und durch Automatisierung und gemeinsame Nutzung von Bedrohungen lässt sich der Verwaltungsaufwand reduzieren."

Um diese Art der Koordinierung von Bedrohungsdaten zu ermöglichen, müssen die Anbieter eine Reihe von APIs für die Verbindung mit verschiedenen Sicherheitstools bereitstellen. Die APIs sollten offen sein, damit Softwareentwickler ergänzende Sicherheitstools einfach durch die Implementierung öffentlicher, im Internet verfügbarer APIs erstellen können.

Unternehmen jeder Größe sollten ihre Anbieter nach ihrer API-Strategie fragen, um die Integration mit anderen Tools zu ermöglichen. Kleine Unternehmen, die in der Regel über kleinere Sicherheitsteams verfügen, werden für den Austausch von Bedrohungsdaten in der Regel auf Standardintegrationen zurückgreifen. Große Unternehmen, die über eigene Sicherheitsexperten im Haus verfügen, werden mit Standardlösungen beginnen und diese umfassend an ihre eigenen Bedürfnisse anpassen, so Martin.

Die Quintessenz

Cyber-Angreifer führen koordinierte, organisierte Angriffe über mehrere Kanäle durch. Um diese Angriffe zu verhindern, zu erkennen und darauf zu reagieren, müssen auch die Sicherheitstools zusammenarbeiten. Durch den Austausch von Bedrohungsdaten über offene APIs können Sicherheitsprodukte eine koordinierte Verteidigung aufbauen, automatisierte Prozesse ermöglichen und Unternehmen dabei helfen, den Mangel an Sicherheitskräften zu überwinden.