Tabletnutzung
Security

Mehr Security Visibility dank SIEM und Threat Intelligence

12.02.2019

Threat Intelligence – kaum ein modernes IT-Security-Produkt kommt ohne sie aus. So hilft sie dem AntiVirus-System bei der Erkennung von Malware-Infektionen, dem Web Security Gateway bei der Identifikation gekaperter Websites und dem Spamfilter, die Vertrauenswürdigkeit externer Absender einzuschätzen.
Doch auch – oder gerade weil – jedes IT-Security-Produkt in Ihrer Infrastruktur für sich isoliert mit herstellerspezifischer Threat Intelligence versorgt wird, bedarf es darüber hinaus einem ganzheitlichen Ansatz. Ein „Security Information And Event Management“-System (SIEM) unterstützt Sie dabei, Threat Intelligence auf Ihre gesamte Infrastruktur anzuwenden – so lassen sich schadhafte Aktivitäten effektiv bekämpfen, unabhängig vom Angriffsvektor.
Arten von Threat Intelligence
Threat Intelligence lässt sich grundsätzlich in zwei verschiedene Informationsarten unterteilen:
  • Indicators of Compromise (IoCs) sind singuläre Daten, welche auf einen erfolgten Angriff oder ein akutes Risiko hinweisen. Beispiele für IoCs:
    • IP-Adressen
    • Domains
    • URLs
    • File Hashes
    • File Names
    • E-Mail-Adressen
    • Muster in Daten
  • Contextual Information richtet sich in erste Linie an Security Analysten und versetzt diese in die Lage, durch das Auftreten von IoCs identifizierte Angriffe und Bedrohungsrisiken bewerten zu können. Hierbei handelt es sich somit um Informationen, welche die erkannten IoCs in Kontext setzen, wie z. B.:
    • Informationen über Malware-Kampagnen
    • Informationen über Threat Actors
    • Schwachstellenbeschreibungen
Zusammengefasst lässt sich somit sagen: die Erkennung von Angriffen erfolgt mittels IoCs, die Bewertung von Angriffen erfolgt anhand Contextual Information.
Erkennung von IoCs mittels SIEM
Um das Auftreten von IoCs effektiv erkennen zu können, lassen sich die Logdaten aller Security-Komponenten, wie Firewalls, Web Security Gateways, AntiVirus-Systemen etc. an ein SIEM weiterleiten.
Die zentrale Datenhaltung bietet diverse Pluspunkte gegenüber einem isolierten Ansatz, bei dem alle Daten in einem eigenen Management-System vorgehalten werden: so ist es möglich, zentral in den Daten sämtlicher angebundener Systeme zu suchen und globale Reports zu erstellen. Hinsichtlich der Identifikation von IoCs innerhalb Ihrer Infrastruktur bietet die zentrale Datenhaltung den Vorteil einer vereinheitlichten Korrelation aller verfügbaren Daten.
Die Verwendung von Threat Intelligence zur Angriffserkennung ist bei vielen SIEMs ein fester Bestandteil des Produkts. Hierzu liefert der Hersteller in der Regel bereits eigene IoCs mit, zusätzlich lassen sich externe Threat Feeds (IoC-Sammlungen) einbinden, die den Abdeckungsgrad erhöhen. Abhängig vom konfigurierten Regelwerk werden eingehende sicherheitsrelevante Daten gegen alle bekannten IoCs abgeglichen und Angriffe zuverlässig erkannt – unabhängig davon, von welchem System die Log-Information ursprünglich stammt und von dessen eigener Threat Intelligence Funktionalität.
Nehmen wir an, dass es einem Threat Actor gelungen ist, einen im Internet erreichbaren fremden Server zu kapern und dieser für schadhafte Aktivitäten, z.B. eine globale nicht zielgerichtete Malware Kampagne, missbraucht wird. Durch Analysen von Sicherheitsforschern wird die IP des Servers identifiziert und findet den Weg in die IoC-Sammlung Ihres SIEMs.
Fortan werden automatisch sämtliche Kommunikationen zwischen Ihrer Infrastruktur und dem Server identifiziert und entsprechende Alarmierungen ausgelöst, wie zum Beispiel bei folgenden Szenarien:
  • Ein Nutzer greift via Web Security Gateway auf eine Website des Servers zu
  • Vom Server werden Verbindungen in Ihre DMZ registriert
  • Sie erhalten Emails, die von besagtem Server verschickt wurden.
Darüber hinaus ist es natürlich auch möglich, im Falle des Bekanntwerdens eines neuen IoCs in den historischen Daten des SIEMs zu suchen, ob der IoC in der Vergangenheit aufgetreten ist. Im Positivfall ist somit eine zeitnahe Reaktion möglich, um eventuellen Schaden zu verhindern oder einzugrenzen. Auch wird dadurch die Identifikation des Angriffsvektors vereinfacht, was wiederum der Möglichkeit der zukünftigen Prävention derartiger Angriffe zugutekommen kann.
Fazit
Die zentrale Datenhaltung eines SIEMs und die damit verbundenen Möglichkeit, IoCs auf sämtliche in der Infrastruktur vorhandene Datenquellen anzuwenden, ermöglicht eine essenzielle Steigerung der Security-Visibility und erlaubt eine frühzeitige Erkennung von Angriffen und Einleitung von Gegenmaßnahmen.