Threat Intelligence

ThreatQuotient: Erfahrene Konzepte für Cyber Threat Intelligence zahlen sich aus

, München, ThreatQuotient | Autor: Markus Auer

ThreatQuotient: Erfahrene Konzepte für Cyber Threat Intelligence zahlen sich aus

Threat Intelligence-Teams und CTI-Programme

Von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

Beim Schutz von Unternehmen vor Infiltration, Datendiebstahl und der Störung der Geschäftsabläufe durch Cyberkriminelle bedeutet „Wissen“ Macht. In den letzten Jahren hat sich diese Aussage durch die steigende Einführung von Cyber Threat Intelligence (CTI) formalisiert. Mit dem Aufbau von Threat Intelligence-Teams und der Umsetzung von CTI-Programmen wollen Unternehmen von einer reaktiven in eine proaktive Verteidigungsposition wechseln. Die von ThreatQuotient gesponserte Umfrage 2020 SANS Cyber Threat Intelligence , die den Stand der weltweiten Aufklärung von Cyber-Bedrohungen analysiert, deutet eine gewisse Form von wachsender Erfahrung in den Unternehmen an. Die Studie zeigt deutliche Anzeichen, dass das Thema reift und ihren Platz im Arsenal der Cybersicherheit festigt. 82 Prozent der Umfrageteilnehmer gaben an, dass ihre CTI-Aktivitäten einen Nutzen bringen. Unternehmen gehen strategischer vor, wenn es darum geht, wie sie den Aufklärungsprozess umsetzen. Darüber hinaus erkennen sie auch, dass der Wert der Zusammenarbeit mit der breiteren Community zunehmend Anerkennung findet.

CTI wird erwachsen

An der diesjährigen Umfrage nahmen doppelt so viele Personen teil wie im Jahr 2019, und mehr Befragte als je zuvor gaben an, dass sie in ihrer Organisation ein CTI-Programm durchführen. 85 Prozent verfügen in irgendeiner Form über CTI-Ressourcen, davon hat fast die Hälfte (49,5%) ein formelles, engagiertes Team im Einsatz. Weitere 27 Prozent haben die Verantwortung mit Mitarbeitern aus anderen Teams geteilt, während 9 Prozent einen richtigen CTI-Analytiker an Bord haben. Dies ist ein willkommenes Zeichen dafür, dass die CTI als Bestandteil der Cybersicherheitsstrategien von Unternehmen immer mehr an Bedeutung gewinnt.

Ermutigend war auch die Tatsache, dass der Prozentsatz mit einem dedizierten Team in den letzten drei Jahren stetig gestiegen ist. Die Investitionen in den Personalbestand nehmen zu, was darauf hindeutet, dass sich die Unternehmen langfristig in der CTI engagieren. Interne Teams sind nicht auf sich allein gestellt. 61 Prozent der Befragten gaben an, dass CTI-Aufgaben von einer Kombination aus internen Teams und Teams von Dienstleistungsanbietern erledigt werden, was einem Anstieg von 54 Prozent im Jahr 2019 entspricht. Diese Kombination aus externen Ressourcen und internem Fachwissen bedeutet, dass Organisationen die Bedrohungen, denen sie ausgesetzt sind, besser verstehen und ihnen begegnen können.

Unternehmen gehen mit CTI strategischer um

Am Anfang und im Zentrum eines wirksamen CTI-Programms stehen klar definierte Threat Intelligence-Anforderungen. Diese legen die spezifischen Fragen und Anliegen fest, mit denen sich das Programm befassen muss, um sicherzustellen, dass die richtigen Daten erhoben werden und die Analysten den entsprechenden Schwerpunkt auf die relevanten Bedrohungsbereiche legen. Sie sind von entscheidender Bedeutung, wenn es darum geht, den geschäftsspezifischen Kontext für CTI-Programme bereitzustellen, damit sie die wertvollsten Ergebnisse für diese Organisation liefern.

Daher ist es ermutigend, dass in der diesjährigen Umfrage der Prozentsatz der Befragten, die angeben, dass sie klar definierte Threat Intelligence-Anforderungen haben, um 13,5 Prozent gestiegen ist (von 30% im Jahr 2019 auf 44% im Jahr 2020). Ein weiteres positives Zeichen ist die wachsende Zahl derer, die zu den CTI-Anforderungen beitragen. Deutlich mehr dieser Beiträge stammten von Security-Teams, Incident Response-Teams und Führungskräften, was zeigt, dass eine vielfältige Gruppe von Interessenvertretern dazu beiträgt, sowohl die taktische als auch die strategische Ausrichtung des CTI-Programms voranzutreiben. Der nächste Reifegrad wird darin bestehen, dass die Threat Intelligence-Anforderungen regelmäßiger und strukturierter überprüft werden. Die meisten Unternehmen überprüfen dies immer noch auf einer Ad-hoc- oder unbekannten Grundlage.

Threat Intelligence Quellen, Automatisierung und Managementfortschritte – aber es bleibt noch viel mehr zu tun

Wenn es darum geht, Daten zu sammeln, um den Threat Intelligence-Anforderungen gerecht zu werden, sind sowohl Open-Source-Feeds als CTI-spezifische Anbieter gefragt. Mehr und mehr Unternehmen sammeln und analysieren die Bedrohungsdaten auch intern, um extern beschaffte Daten zu ergänzen – mehr als 40 Prozent der Unternehmen gaben an, dass sie sowohl Bedrohungsdaten produzieren als auch konsumieren.

Angesichts dieser Fülle von Daten, stellt sich die Frage, wie diese Unternehmen die großen Mengen an Informationen verarbeiten, um verwertbare Erkenntnisse zu gewinnen. Interessant ist beispielweise, welcher Automatisierungsgrad verwendet wird, um die CTI-Teams zu entlasten. Die Umfrage zeigt, dass die Automatisierung noch in weiter Ferne liegt, da die Mehrzahl der Verarbeitungsaufgaben entweder manuell oder halbautomatisch erledigt wird. Während grundlegende Aufgaben wie das De-duping von Daten in der Regel automatisiert werden, sind komplexere Aktivitäten, wie das Reverse-Engineering von Stichproben, für 48 Prozent der Befragten ein manuelles Unterfangen.

Beim CTI-Management ergibt sich ein etwas besseres Bild, da mehr Organisationen über Automatisierung in SIEM-Plattformen und CTI-Management-Plattformen berichten. Die Automatisierung und die Abstimmung der Tools auf den Kontext, die Prioritäten und die spezifischen Bedrohungen, mit denen Unternehmen konfrontiert sind, werden zunehmen. Sie unterstützt Analysten dabei, ihre Bemühungen auf die Bereiche zu konzentrieren, in denen die menschliche Bewertung am effektivsten ist, um proaktiver auf Bedrohungen zu reagieren.

Erfolgsmessung erweist sich als Herausforderung

Ein weiteres Zeichen dafür, dass ein Ansatz reift, ist, wenn sich der Schwerpunkt von operativen Überlegungen darüber, was Tools und Teams leisten können, auf die Messung der Wirksamkeit ihrer Aktionen verlagert. Hier hat die Umfrage ergeben, dass noch einiges zu tun bleibt. Während 82 Prozent der Befragten die CTI für wertvoll halten, verfügten nur 4 Prozent über Prozesse zur Messung der Wirksamkeit. Die zunehmende Strenge bei der Ermittlung klarer Erkenntnisanforderungen kann hier jedoch einen guten Ausgangspunkt bieten. Sobald diese festgelegt sind, können Ziele auf der Grundlage der Beantwortung der IRs durch das CTI-Programm gesetzt werden.

Fazit: Zusammenarbeit ist entscheidend

Das vielleicht wichtigste Ergebnis der Umfrage ist die Bestätigung, dass Zusammenarbeit als eine Kernkomponente anerkannt wird. Als Hauptvorteile wurden zeitnahe und relevante Informationen über Bedrohungen und die Fähigkeit zur Vernetzung mit Kontakten bei anderen Mitgliedsorganisationen genannt. Die unsichere Cyber- und physische Umgebung und die neuen Bedrohungen, die sich aus der COVID-19-Pandemie ergeben, bedeuten heute mehr denn je, dass Threat Intelligence-Analysten Daten und Strategien zur Bewältigung von Bedrohungen austauschen müssen.

Letztlich bietet die 2020 SANS Cyber Threat Intelligence-Umfrage robuste Beweise dafür, dass die CTI immer mehr angenommen wird und sich für eine größere Anzahl von Organisationen als je zuvor bewährt. Wenn Bedrohungsinformationen effektiv gesammelt, integriert, automatisiert, nach Prioritäten geordnet und zwischen Analysten und breiteren Interessengruppen ausgetauscht werden, werden Organisationen agiler und effektiver bei der Bewältigung der Bedrohungen, mit denen sie konfrontiert sind.