Aber welche Daten sind erforderlich, um Bedrohungen zu entdecken? Zu den Anfängen der Cybersicherheit haben Kunden Malware-Proben per Kurier an ihren Sicherheitsanbieter geschickt. Mit zunehmender Geschwindigkeit und Auswirkung der Angriffe wurde die Automatisierung dieses Prozesses vorangetrieben. Das Internet ermöglichte es, die Übermittlungszeiten zu beschleunigen und CPU-Skaleneffekte verkürzten die Zeit für die Analyse, wodurch das Verarbeitungsvolumen der Proben erhöht wurde.
Analyse einer einzigen Datei reicht heute nicht mehr
Da Angriffe zunehmend differenzierter und komplexer werden, ist für die Analyse eines Angriffs heute oft mehr nötig als nur eine einzelne Datei. Informationen über die Besonderheiten der betroffenen Umgebung sind ebenso erforderlich wie die Kommunikation mit der Angriffsquelle. Angriffe sind quasi externe Anbindungen zum Unternehmen, die direkt auf das Geschäft zielen. Gute Sicherheitsanbieter bieten Kunden heute die Wahl, ob Sie die Bedrohungsanalyse auf Geräten vor Ort durchführen oder die CPU-Leistung der Cloud nutzen wollen. So oder so, die über den Angriff gesammelten Erkenntnisse müssen an die Kunden zurück übermittelt werden. Je mehr Angriffsdaten geteilt werden, desto schneller und präziser lässt sich die nächste Variante dieses Angriffs erkennen, damit andere Kunden in der Lage sind, den nächsten Angriff dieser Art auch zu erkennen.
Nun stelle man sich die verfügbaren Erkenntnisse vor, wenn die wichtigsten Anbieter auf einer Technologieebene zusammenarbeiten würde. Das ist genau das, wie verantwortlich umgesetzter Informationsaustausch zwischen Kunden und Anbietern von Sicherheitslösungen und wiederum unter den Anbietern aussehen kann. Ein gutes Beispiel hierfür ist die Cyber Threat Alliance (CTA), etabliert zwischen den wichtigsten Anbietern von Sicherheitslösungen. Diese Gruppe wurde mit dem Ziel gegründet, Bedrohungsinformationen auszutauschen, um die Abwehrkräfte gegen fortschrittliche Cybergegner zu stärken. Ziel ist es, schneller einen breiteren Einblick zu den Angriffen zu gewinnen, so dass präventive Kontrollen schneller angewandt werden können. So lassen sich die Angreifer ausbremsen, indem deren Aufwand und damit auch die Kosten für den Erfolg wesentlich höher sind. Eine schnelle Neukompilierung der Angriffs-Binärdatei oder eine neue Phishing-Betreffzeile wären dann nicht mehr erfolgreich. Der gesamte Angriffslebenszyklus müsste wirklich einzigartige Attribute (Indicators of Compromise) aufweisen, um nicht erkennbar sein. Crowdsourcing auf einer gemeinsamen technologischen Ebene steigert die Fähigkeiten, Angriffe zu entdecken und damit auch zu verhindern.
In Europa ist Datenschutz ein umstrittenes Thema. Es besteht die Gefahr, dass skeptische Nationen es für besser halten, Informationen nicht zu teilen. Doch die EU-Richtlinie zur Netz- und Informationssicherheit enthält eine Verpflichtung für die nationale Zusammenarbeit bei der Nutzung von Bedrohungsdaten. Somit gibt es ein klares Bekenntnis zur Zusammenarbeit, um Cyberangriffe künftig besser verhindern zu können. Dies sind wichtige Themen für die Gesellschaft, aber es besteht die Gefahr, dass die emotionalen Aspekte der Datenschutzdebatte die Erfordernis, zusammenzuarbeiten, überschatten.
Greg Day, Vice President und Chief Security Officer EMEA bei Palo Alto Networks, bekommt in diesem Zusammenhang die folgenden drei Fragen am häufigsten gestellt – und liefert auch die Antworten darauf:
1) Wissen Sie, welche Bedrohungsinformationen Ihre Sicherheitslösungen erfassen, um zu verstehen und zu qualifizieren, ob die Privatsphäre betroffen ist?
Nehmen Sie als Beispiel die Angriffsbinärdatei, einen externen Code, hier sollte es keinerlei Datenschutzbedenken geben. Der Angreifer könnte diese jedoch in einem internen Dokument einbetten, um die Wahrscheinlichkeit, dass der Nutzer dieses öffnet, zu erhöhen. Wenn der Angreifer dies tun kann, sind die betreffenden Daten nicht mehr privat.
Session-Informationen sind ebenso für die Identifizierung und das Verständnis der Angriffe äußerst wertvoll. Da es sich meist um externe Angreifer handelt, werden diese Daten in der Regel über das Internet geleitet, da der Angreifer mit dem Opfer kommuniziert – und als solches sind das nicht private Daten. Der entscheidende Punkt ist hier, vom Anbieter zu erfahren, welche Daten zurück in die Cloud übermittelt werden. Die meisten Anbieter bieten eine sehr detaillierte Regelüberwachung über genau das, was die Kunden entscheiden zu teilen. Nach meiner Erfahrung zeigen sich alle Anbieter aufgeschlossen für eine Offenlegung dieser Daten und verfügen über eine technische Dokumentation, um dies zu überprüfen.
2) Wohin gelangen die Bedrohungsinformationen und -erkenntnisse?
Viele Anbieter wollen sicherstellen, dass Cloud-Daten in der EU vorgehalten werden, um regulatorische Komplikationen zu reduzieren. Sicherheitsunternehmen bauen jetzt lokale Filterpunkte, um die anfängliche lokale Analyse in der EU durchzuführen und betreiben hier Clouds, um diesen Anforderungen gerecht zu werden. Dennoch sollten wir bedenken, dass die meisten Angreifer nicht innerhalb von geografischen Grenzen agieren. Auch wenn Rohinformationen innerhalb der EU gesammelt werden, müssen die Erkenntnisse daraus (die Erkennungsfunktionen, die aus der Analyse generiert werden) global geteilt werden, um erfolgreich zu sein. Wie frustriert wären Sie, wenn die Antwort des Sicherheitsanbieters wäre, „Wir wussten von diesem Angriff, konnte aber die Daten nicht teilen, weil wir Ihrem Land nicht vertrauen“?
3) Wie kann ich meinem Sicherheitsunternehmen trauen?
Es scheint, dass die Menschen einfach skeptisch sein wollen gegenüber Sicherheitsanbietern. Früher war das Thema, ob die Anbieter selbst die Angriffe programmieren, jetzt geht es darum, ob sie ihre Kunden ausspionieren. Sie könnten das gleiche die Post oder Ihren Kurierdienst fragen. Wie wollen Sie wissen, dass diese nicht alle Ihre Pakete und Briefe öffnen? Die kurze Antwort ist, dass wir ein gewisses Maß an Vertrauen in die Dienstleistungen, die wir nutzen, setzen müssen. Das Gleiche gilt für die Sicherheitsbranche. Transparent zu sein bezüglich den Details, was an Bedrohungsdaten, wie und warum gesammelt wird und jedem Kunden die Flexibilität zu bieten, wie er dazu beitragen will, ist entscheidend, um dieses Vertrauen aufrechtzuerhalten.
In einer Welt, in der jede Sekunde neue Bedrohungen auftauchen, aber sich die rudimentären Techniken, die von den Angreifern genutzt werden, sehr langsam ändern, haben Angreifer Erfolg, indem sie ihre Angriffe wie ein Chamäleon tarnen. Wenn Sicherheitsanbieter nur auf die äußere Farbe schauen, versagen sie. Erst wenn sie einen Blick unter die äußere Hülle werfen, werden die Merkmale detaillierter und konsistenter. Durch Crowdsourcing-Cloud-Zusammenarbeit steht die CPU-Leistung zur Verfügung, um dies zu erreichen. Die britische Cyber Information Sharing Partnership (CISP.org), der auch Greg Day angehört, hat gezeigt, wie wertvoll der Austausch von Bedrohungsinformationen zwischen Unternehmen ist.
Um zusammenzuarbeiten, müssen die Beteiligten die spezifischen Anforderungen und den Wert verstehen, der aus dem Teilen von Erkenntnissen über Sicherheitsbedrohungen hervorgeht. Es gilt pragmatisch zu sein und nicht zuzulassen, dass die aktuellen emotionalen Reaktionen rund um Datenschutzbedenken dieses Vorgehen in Frage stellen. Die Mission der Sicherheitsbranche ist es, die Cybergegner zu schlagen und die Datensicherheit zu gewährleisten.