Wenn Organisationen wissen, wie Angreifer genau vorgehen, können sie ihre Abwehrmaßnahmen entsprechend anpassen. Dieses Wissen über Cyberbedrohungen wird als Cyber Threat Intelligence (CTI) bezeichnet.
„Wissen ist Macht”. Als der englische Philosoph Francis Bacon diese Worte in seinem 1620 erschienen Hauptwerk „Novum Organum“ niederschrieb, dachte er mit Sicherheit nicht an Computer, IT-Netzwerke oder Malware. Dass der Spruch aber in der Welt der Cybersicherheit von entscheidender Bedeutung ist, steht außer Frage. Wenn Organisationen wissen, wie Angreifer genau vorgehen, können sie ihre Abwehrmaßnahmen entsprechend anpassen.
Was ist Cyber Threat Intelligence?
Dieses unerlässliche Wissen über Cyberbedrohungen wird als Cyber Threat Intelligence (CTI) bezeichnet. Mit CTI versuchen Organisationen, die Vorgehensweisen von Angreifern, seien es kriminelle Gruppen, Hacktivisten oder Nationalstaaten, besser zu verstehen, vorherzusagen und den Schutz ihrer IT-Systeme auf Basis dieser Informationen zu verbessern. Essenziell dabei ist die permanente Sammlung und Auswertung von Bedrohungsdaten schon deshalb, weil Cyberkriminelle ihre Fähigkeiten und ihr Arsenal an schädlicher Software kontinuierlich weiterentwickeln.
Zu den Informationen, die im Rahmen der CTI üblicherweise gesammelt und ausgewertet werden, gehören unter anderem technische Informationen wie IP-Adressen und Dateinamen, die bei der Identifizierung von Angreifern helfen können, sowie Einzelheiten über die Motivation oder die Fähigkeiten der Angreifer, einschließlich ihrer Werkzeuge, Techniken und Verfahren.
Um als relevant für die Cyberabwehr zu gelten, müssen Bedrohungsdaten evidenzbasiert sein, einen positiven Einfluss auf das Ergebnis eines Sicherheitsvorfalls haben und in konkret umsetzbare Maßnahmen münden.
Die Quellen solcher sicherheitsrelevanten Informationen sind vielfältig und reichen von Erfahrungswerten aus vergangenen Vorfällen über öffentliche Warnungen von Regierungsbehörden bis hin zu Daten aus dem Darknet. Hinzu kommen kommerzielle Threat Feeds, Informationen aus sozialen Medien, Aussagen von Menschen (z. B. von den Angreifern selbst) und Geräteprotokolle.
Was bietet professionelle CTI?
Mithilfe der durch CTI gewonnenen Daten werden Unternehmen, Behörden und andere Organisationen in die Lage versetzt, eine proaktive und robuste Cybersicherheitsstrategie zu entwickeln. Gleichzeitig können damit das allgemeine Risikomanagement sowie die Cybersicherheitsrichtlinien und die einzelnen Security-Maßnahmen gestärkt werden.
IT-Verantwortliche können dank CTI Risiken und Bedrohungen schneller und zuverlässiger erkennen, priorisieren und effektive Abwehrmaßnahmen einleiten. Mitglieder der Führungsebene erhalten einen Überblick der Bedrohungslage, verstehen die Gefahren für ihre Organisation und erfahren, welche Möglichkeiten es gibt, die Auswirkungen von Cyberangriffen und anderen Sicherheitsvorfällen zu minimieren.
Weil CTI und alles damit verbundene Wissen kontinuierlich ausgetauscht wird, profitieren sowohl Fachleute und Forscher auf dem Gebiet der Cybersicherheit als auch Wirtschaft und Gesellschaft als solche. Cyberkriminellen wird so eine breite Front an Verteidigern und Abwehrmaßnahmen entgegengestellt.
Die Bedeutung von CTI für 8com
Auch für die Arbeit der Sicherheitsprofis im Security Operations Center (SOC) von 8com sind Informationen zu aktuellen Bedrohungen und Entwicklungen im Bereich Cyber Security von großer Bedeutung. Sie helfen uns dabei, Angriffsszenarien zuverlässig vorherzusagen und rechtzeitig mit der Einleitung optimaler Schutzmaßnahmen zu reagieren. Beim Schwachstellenmanagement zum Beispiel verlassen wir uns nicht nur auf unsere professionellen Technologiepartner, sondern sammeln Daten aus einer Vielzahl von Quellen. Dazu zählen unter anderem aktuelle Behördenmeldungen, Webseiten für Branchennews und soziale Netzwerke. Die so gewonnenen Informationen werden von unseren erfahrenen SOC-Operatoren anschließend ausgewertet, um Schwachstellen zu identifizieren, die von Angreifern tatsächlich ausgenutzt werden können – zum Teil noch bevor eine offizielle Bewertung der Kritikalität stattfindet.
CTI öffentlich zugänglich zu machen ist eine wichtige Voraussetzung für den erfolgreichen Kampf gegen Cyberkriminalität, vor allem mit Blick auf Sicherheitslücken. Für die betroffenen Hersteller von Soft- und Hardware bedeutet es zwar erst einmal schlechte Publicity, wenn Schwachstellen in ihren Produkten bekannt werden. Aber je früher wir und andere Cybersicherheitsfirmen davon erfahren, desto schneller können wir reagieren und unsere Kunden vor Schäden schützen.
www.8com.de