Bedrohungsinformationen teilen mit MISP

Geteiltes Leid ist halbes Leid

Gewiefte Angreifer arbeiten oft mit anderen zusammen und teilen Informationen über Schwachstellen. Firmen hingegen treten Hackern als Einzelkämpfer entgegen, die sich nur allzu oft auf althergebrachte Sicherheitstechnologien verlassen. Doch können auch Unternehmen IT-Security-Wissen teilen und sich so einen Vorteil verschaffen. Eine Plattform hierfür ist MISP.
Kleine Unternehmen haben ähnliche Anforderungen an die IT wie Konzerne, jedoch weniger Budget und Personal. Wie sie trotzdem eine zuverlässige und ... (mehr)

Ein wichtiger Aspekt von IT-Security ist Schnelligkeit, um dem zielgerichteten Angreifer nicht mehr als einen Schritt hinterher zu sein. Signaturen für Virenscanner werden reaktiv, also nach dem Erscheinen einer Schadsoftware, ausgeliefert. Das Unglück des Einzelnen, den die Malware zuerst getroffen hat, nützt so immerhin noch den anderen Firmen, die dann mit den aktuellen Virensignaturen der Hersteller auch gegen den neuen Schadcode geschützt sind.

Das Prinzip des Teilens lässt sich grundsätzlich auf fast alle Bedrohungen der IT-Infrastuktur ausweiten. Der Schaden eines Einzelnen kann dann, bei zeitnaher Dokumentation und regelmäßigem Austausch notwendiger Informationen, andere Teilnehmer eines Netzwerks schützen. Dieser Security-Tipp zeigt Ihnen, wie Sie eine Instanz der Threat-Intelligence-Sharing-Platform MISP [1] aufsetzen, um diese mit den Instanzen Ihrer Administrator-Kollegen anderer Unternehmen zu vernetzen.

Die Malware-Information-Sharing-Platform, kurz MISP, ist eine in Europa entwickelte Arbeitsumgebung für den Austausch von Bedrohungsinformationen. Ein Vorteil der Umsetzung ist die Möglichkeit zum verteilten Einsatz. Das bedeutet, dass Sie in Ihrem Unternehmen eine eigene Instanz betreiben und dort grundsätzlich erst einmal alle Informationen zur internen Nutzung bereitstellen können. Ihre Kollegen können dann bei gleichen oder ähnlichen Vorfällen auf bereits erstellte Informationen zurückgreifen und damit die Bearbeitungszeit reduzieren.

Zusätzlich können Sie bei der Vorfallsdokumentation erlauben, dass die Informationen mit externen Tauschpartnern geteilt werden. Ihre Tauschpartner betreiben dann in ihren Netzen ebenfalls eine eigene Instanz und teilen mit Ihnen im Gegenzug die eigenen Erfahrungen. Um auf Nummer sicher zu gehen, können Sie später noch eine zweite Instanz aufsetzen und dort die Tauschpartner als Benutzer registrieren. So teilen Sie dann mit dieser weiteren internen Instanz nur die Berichte, die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019