• IT-Karriere:
  • Services:

Anbieter konzentrieren sich auf verschiedene Regionen

Deutliche Unterschiede konnten die Sicherheitsforscher bei der regionalen Ausrichtung der jeweiligen Threat Intelligence Provider ausmachen.

Stellenmarkt
  1. Allianz Deutschland AG, München Unterföhring
  2. Stadtverwaltung Kaiserslautern, Kaiserslautern

Ein Anbieter hat beispielsweise einen klaren Fokus auf China und Russland und liefert dabei vor allem netzwerkbezogene und weniger dateibezogene Indikatoren für diese Länder aus. Ein anderer Provider liefert dagegen vor allem netzwerkbezogene Indikatoren zu Iran und hat deutliche Stärken bei dateibezogenen Indikatoren für Iran, China und Russland. Ein dritter Anbieter weist die umfangreichste Sammlung von Netzwerkindikatoren zu China auf, daneben spielt auch Russland eine Rolle.

Der als Apfel dargestellte, traditionelle Antivirenhersteller analysiert alltäglich umfangreiche Mengen an Dateien zur Abwehr von Viren und Trojanern und nutzt die dabei anfallenden Signaturen als Indikatoren für seine Threat-Intelligence-Sparte. "Diese Signaturen werden hier für eine Menge Geld als Threat Intelligence verkauft", erklärt Röcher. Relevante Kontextinformationen würden dazu nicht gegeben, vielmehr handle es sich um automatisch erzeugten Müll. Entsprechend konnten Sicherheitsforscher die meisten Indikatoren keinem Land zuordnen.

Verteidiger haben es schwer

Eine klare Kaufempfehlung können die Sicherheitsforscher nicht geben, vielmehr sei eine Entscheidung für einen Threat Intelligence Provider abhängig vom jeweiligen Einsatzzweck und den jeweiligen Zielen des Käufers. Hierfür müssten Kriterien entwickelt werden, anhand derer sich auch der Erfolg der Maßnahme messen lasse. Nicht zu unterschätzen sei es, die Dokumentation des Providers zu studieren. "Man muss verstehen, was man von seinem Provider bekommt", sagt Röcher.

Eine Analyse, wie sie die Sicherheitsforscher durchgeführt hätten, helfe. "Die Ergebnisse sind aus einer Management-Perspektive ziemlich nützlich", sagt Hickey. Je nachdem, aus welchen Regionen Unternehmen Angreifer befürchten, können sie den Threat Intelligence Provider mit dem entsprechenden Fokus auswählen. Viele Frage bleiben jedoch offen, beispielsweise wie die Qualität von Threat Intelligence gemessen werden könne. Hier sei noch viel Forschung nötig, meint Röcher.

Im Moment würden die Verteidiger nicht von der Situation profitieren. "Angreifer profitieren, weil wir uns nur schwer verteidigen können und Hersteller profitieren, weil es für sie leicht ist, Geld zu verdienen", kritisiert Röcher. Manchmal erinnere ihn die Threat Intelligence an die Antivirenindustrie. Diese wird immer wieder mit dem Verkauf von Schlangenöl assoziiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. Seagate Game Drive Xbox GamePass Edition JEDI externe USB-3.0-Festplatte 2TB für 69,99€, Seagate...
  2. Bei Kartenzahlung bis zu 3% auf Amazon-Käufe, bis zu 0,5% auf Käufe außerhalb von Amazon
  3. 1.311,11€ (Bestpreis!)
  4. vom 13. bis 14. Oktober (nur für Prime-Mitglieder)

pigzagzonie 29. Mär 2019

Hat der überhaupt EINE Frage beantwortet?!

Frostwind 28. Mär 2019

IoCs sind Schlangenöl. Thread Intel ist für mich eher Techniken, Taktiken, Prozeduren (TTP).


Folgen Sie uns
       


    •  /