Mehr Security Intelligence für die IT

Sicherheitsintelligenz hilft nicht nur bei der Angriffserkennung. App-Kontrolle, Patch-Management und Zugangsschutz profitieren ebenso. [...]

SICHERHEITSMANAGEMENT BEKOMMT FUNDIERTE BASIS
Auf Basis entsprechender Sicherheitsanalysen und Bedrohungsdaten können auch andere Bereiche der IT-Security intelligenter und effektiver werden. Immer dann, wenn Entscheidungen für oder gegen bestimmte Sicherheitsmaßnahmen getroffen werden müssen oder wenn Maßnahmen priorisiert werden müssen, kann Security Intelligence den Ausschlag geben.

Wie die SANS-Studie „Analytics and Intelligence Survey 2014“ zeigt, fehlt Unternehmen insbesondere der Einblick in Applikationen und Schwachstellen, das Wissen um den „Normalzustand“, Informationen über Netzwerke, Endpunkte und mobile Geräte sowie der Kontext für die Bewertung der IT-Sicherheitslage.

Genau wie die geschäftlichen Entscheidungen ein besseres Fundament durch Business Intelligence erhalten können, liefert die Sicherheitsintelligenz eine wichtige Basis für das IT-Sicherheitsmanagement.

Dies beginnt mit der Unterstützung der Risikoanalyse, der Ermittlung des Schutzbedarfs und schließt präventive Schutzmaßnahmen wie Patchmanagement und Zugangskontrolle mit ein. Wenn Security Intelligence erst in den Phasen Angriffserkennung, Abwehr und Spurensuche zum Einsatz kommt, wird viel Potenzial verschenkt.

SECURITY INTELLIGENCE WIRKT INTEGRATIV
Wie vielfältig die Möglichkeiten von Sicherheitsintelligenz sind, zeigen die Schnittstellen der Security-Intelligence-Plattformen. Diese gibt es nicht nur auf Seite der Datenquellen, sondern auch hin zu den Empfängern der sicherheitsrelevanten Analysen, darunter Lösungen aus dem Bereich Risikomanagement, Network Access Control, Applikationskontrolle, Mobile Device Management oder Verschlüsselung.

Die Plattform ForeScout CounterACT beispielweise verfügt über Schnittstellen zu der Security-Intelligence-Plattform ThreatStream, aber auch zu Mobile Device Manager und Schwachstellen-Scanner. Dank Open Integration Module können Anwenderunternehmen eigene Schnittstellen entwickeln und weitere IT-Sicherheitslösungen integrieren. Sicherheitsintelligenz kann so bei der Verwaltung von Endgeräten und bei der Schwachstellensuche und -behebung einfließen.

FireEye bietet ein Industry Alliances Program für die Integration von Lösungen unterschiedlicher Hersteller, um auf Basis der FireEye-Plattform eine Next-Generation-Threat-Protection-Infrastruktur zu realisieren. Anbinden lassen sich unter anderem Netzwerk-Gateways, um als riskant eingestufte Zugriffe auf sensitive Informationen in Datenbanken oder auf Dateiserver verhindern zu können.

RISIKOANALYSEN MIT SECURITY INTELLIGENCE
Der in der SANS-Studie genannte Bedarf an Informationen über Applikationsrisiken kann durch Security-Intelligence-Lösungen gedeckt werden. So hilft die Bit9 Threat Intelligence Cloud bei der Bewertung von App-Risiken und damit bei dem Whitelisting von Applikationen, die im Unternehmen freigegeben werden. Die Risiken mobiler Applikationen zu bewerten und die Apps entsprechend zu blockieren – dies wird unterstützt durch die Sicherheitsintelligenz der FireEye-Lösung Mobile Threat Prevention. Die Lösung untersucht Apps vor abgeschlossener Installation und nutzt Security Intelligence, um das Risiko für den Nutzer zu ermitteln, Apps zu analysieren und schädliche Anwendungen zu erkennen und zu blockieren.

Das Identitätsmanagement, genauer die Risikobewertung digitaler Identitäten, gehört ebenfalls zu den Bereichen, die mit Security Intelligence deutlich gewinnen. So wurde kürzlich die Integration der ForgeRock Identity Platform mit der FireEye Threat Analytics Platform (TAP) bekannt gegeben. Anwenderunternehmen können das Risiko digitaler Identitäten auf Basis von aktuellen Daten wie Standort, IP-Adresse, Zeitpunkt und identifiziertem Gerät bewerten. Die Kombination von Identity Management und Security Intelligence versetzt Unternehmen zudem in die Lage, Angriffe auf Grundlage gestohlener Identitäten besser und schneller zu erkennen.

Die Lösung Privileged Threat Analytics von CyberArk sucht nach Anomalien im Verhalten privilegierter Nutzer wie Kontenzugriffen zu eher ungewöhnlichen Tageszeiten oder eine exzessive Häufung von Zugriffen. Auf Basis der Analyse des Nutzerverhaltens findet eine kontinuierliche Anpassung der Risikobewertung statt. Dabei werden Sicherheitsdaten aus SIEM-Systemen wie HP ArcSight ESM oder Splunk Enterprise genutzt.

Selbst Risiken für geistiges Eigentum lassen sich mit Security Intelligence fundierter bewerten. Perforce Helix Threat Detection ist eine Sicherheitslösung für die Perforce-Helix-Plattform für Source Code Management (SCM) und Content-Kollaboration. Die Lösung identifiziert interne und externe Sicherheitsrisiken für geistiges Eigentum, das mit Perforce Helix verwaltet wird. Ausgewertet werden unter anderem die Zugriffsversuche und Zugriffe auf Quellcode oder Produktdesigns. Auf Basis der Risikobewertung werden Warnungen für Aktivitäten, Anwender, Geräte, Projekte und Daten erzeugt.