Experten für Cybersecurity mögen sich über viele Dinge uneinig sein. Aber eine Sache, die nahezu unbestritten ist, ist die überbordende Zahl von Cyber-Bedrohungen, mit denen Organisationen heute konfrontiert sind.
Zwei Jahre voller Remote-Arbeit und Investitionen in die digitale Transformation haben die Angriffsfläche der meisten Organisationen vergrößert und den Bedrohungsakteur:innen deutlich mehr Möglichkeiten gegeben, ihr Unwesen zu treiben. Und genau das tun sie auch. Im Vereinigten Königreich meldeten rund zwei Drittel der mittleren und großen Unternehmen im Jahr 2020 einen Sicherheitsvorfall. In Deutschland verzeichneten die Behörden 2020 einen Anstieg der gemeldeten Cyberkriminalität um 8 % und einen Anstieg von neuen Malware-Varianten um 22 %.
Angesichts immer besser ausgestatteter und entschlossenerer Gegner haben CISOs mit Fachkräftemangel und zunehmender IT-Komplexität zu kämpfen. Threat Intelligence bietet die rare Möglichkeit, das Gleichgewicht wiederherzustellen. Allerdings nur dann, wenn sie auf die richtige Weise und mit den richtigen Tools eingesetzt wird.
Daten, Informationen und Erkenntnisse
Was genau ist Threat Intelligence? Es handelt sich um die Verwendung von Daten, die zu Informationen verarbeitet und weitergehend ausgewertet werden, um zu Erkenntnissen zu gelangen, welche eine verbesserte Entscheidungsfindung unterstützen. Statt simple Fragen direkt zu beantworten, kann Threat Intelligence dazu verwendet werden, sich ein Bild von der Situation zu verschaffen, mit dessen Hilfe Analyst:innen komplexere Fragen beantworten können.
Eine Sache, an der es Organisationen nicht mangelt, sind Daten. Logs für alles Mögliche überlasten bereits überforderte Analyst:innen. Typische Quellen reichen von klassischen Sicherheitsmaßnahmen (Firewall, Virenschutz, E-Mail- und Web-Gateways usw.) über technische Daten – wie etwa Bedrohungslisten, Spam und Malware – bis hin zu sozialen Medien, Branchenforen, Dark-Web-Websites und Medien – einschließlich Nachrichten, Forschung der Hersteller:innen, Blogs und Veröffentlichungen von Sicherheitslücken reichen.
Ohne Kontextinformationen werden diese Logs und Feeds die Sicherheitsteams jedoch überschwemmen, selbst wenn sie direkt in die Sicherheitstools und -abläufe eingespeist werden — sofern diese nicht bereits automatisiert sind. Das Ergebnis ist eine Alarmermüdung, welcher der schnellsten Weg zu einem Burnout der Analyst:innen ist und zu entsprechend schlechten Ergebnissen führt.
Die gute Nachricht ist, dass einige Threat-Intelligence-Plattformen in der Lage sind, große Mengen von Bedrohungsdaten aus verschiedenen Quellen und in unterschiedlichen Sprachen zu verarbeiten, um relevante und umsetzbare Informationen auszugeben, welche proaktive Sicherheitsentscheidungen vorantreiben.
Best Practices für Threat Intelligence
Auch wenn kein Unternehmen dem anderen gleicht, ist es sinnvoll, sich bei der Bereitstellung von Bedrohungsdaten auf drei Phasen zu konzentrieren: Monitoring, Integration und Analyse.
- In der Anfangsphase der Implementierung einer Threat-Intelligence-Strategie für ein Projekt ist es unwahrscheinlich, dass Sie bereits über das entsprechende Fachwissen, die Zeit oder die Ressourcen verfügen, welche für eine proaktive Intelligence-Analyse erforderlich sind. Durch das Sammeln von Informationen aus verschiedenen Quellen und deren Auswertung in Hinblick auf Bedrohungsindikatoren, die für Ihr Unternehmen relevant sind, lässt sich jedoch ein erheblicher Mehrwert erzielen. Dazu könnten Dinge wie geleakte Unternehmensdaten, Erwähnungen Ihres Produkts im Dark Web oder die Suche nach Typosquats Ihrer Unternehmensmarken in Domainnamensregistrierungen gehören, welche besonders in dieser ersten Phase wichtig sind.
Die auf diese Weise gewonnenen Erkenntnisse können die IT-Abteilung beim Zurücksetzen von Passwörtern, bei Phishing-E-Mail-Kampagnen, die auf Mitarbeiter:innen abzielen, und bei der schnellen Überprüfung potenzieller Sicherheitsvorfälle unterstützen.
- Als nächstes kommt die Integration. Das Ziel ist hier, durch die Integration von Bedrohungsdaten in bestehende Sicherheitskontrolltechnologien die Alarmermüdung zu verringern, Indikatoren automatisch zu verfeinern und auf Sicherheitsvorfälle möglichst schnell zu reagieren. Gute Informationen tragen dazu bei, die Priorisierung der sicherheitsrelevanten Warnungen zu verbessern, Indikatoren basierend auf internen Quellen durch externes Wissen anzureichern und durch mehr Hintergrundwissen für ein Verständnis der taktischen, operativen und strategischen Sichtweisen beizutragen. Damit all dies möglich ist, müssen die Informationen kontextbezogen, in Echtzeit über eine API bereitgestellt werden und maschinenlesbar sein, damit APIs damit arbeiten können.
- Kommen wir nun zur anspruchvollsten Praxis: Die Analyse. Hier geht es darum, aufkommende Bedrohungen proaktiv zu erkennen und die Risiken für Ihr Unternehmen, Ihre Branche und Ihre Lieferant:innen tiefergehender zu analysieren. Das heißt, es gilt über die Identifikation neuer Bedrohungen hinauszugehen und stattdessen einen strategischen Mehrwert zu schaffen. Dies versetzt CISOs in eine beneidenswerte Position, die eine Entwicklung von der reaktiven Bekämpfung akuter Sicherheitsvorfälle hin zur proaktiven Identifizierung, Jagd und Verhinderung von Bedrohungen sowie Investitionen in neue Technologien und Ansätze ermöglicht.
Es geht darum, Bedrohungen abzuwehren, bevor sie negative Auswirkungen auf Ihre Organisation haben.
Die letzte Hürde
Was ist also nötig, um dieses Ziel zu erreichen? Die Zustimmung des Vorstands zu neuen Investitionen erfordert einen wasserdichten Geschäftsplan und eine genaue Bestimmung des Return of Investments. Das mag in den frühen Phasen des Projekts einfacher sein, wenn es klare Argumente für den Einsatz von Bedrohungsdaten gibt, um die Erschöpfung der Mitarbeiter:innen zu reduzieren und die Produktivität der Analyst:innen zu steigern. In der Monitoring- und Analysephase könnte es jedoch schwieriger sein, den ROI nachzuweisen.
Je klarer Sie jedoch die Bereiche definieren und messen, für die Bedrohungsdaten relevant sein können, desto besser. So könnten Sie mit dem Führungsteam Fallbeispiele für Intelligence-gestützte Sicherheitsstrategien durchgehen, fertige Intelligence-Berichte mit dem Analystenteam teilen oder sogar eine Threat-Intelligence-Lösung ausprobieren, um deren Wert selbst zu entdecken.
Um effektiv zu sein, muss eine Threat-Intelligence-Lösung bestehenden Sicherheitsmaßnahmen integrieren und verbessern. Eine solche Lösung muss technische Quellen im öffentlich zugänglichen Internet und im Darknet sammeln und analysieren und dabei auch fremdsprachige Inhalte in ein brauchbares Format konvertieren. Und sie muss maßgeschneiderte Warnungen für die von Ihrem Unternehmen benötigten Einsatzzwecke in Echtzeit mit minimalem Fehlalarm liefern.
Suchen Sie sich besser einen Technologiepartner und keinen passiven Technologieanbieter – also einen Partner, der in Ihren Erfolg investiert und in der Lage ist, im Laufe der Zeit neue Einsatzzwecke zu evaluieren. Auf dem Markt für Threat Intelligence sollte es sich dabei um ein Unternehmen handeln, das mehr als nur ein Feed-Aggregator ist, sondern um eines, das verwertbare Daten für taktische und strategische Anforderungen sammelt, produziert und bereitstellt.
Das ist der Weg zum Erfolg. Die Reise beginnt hier.