Die Leistungsfähigkeit von Predictive Threat Intelligence
Die Neuausrichtung der Bedrohungsanalyse von der Identifizierung der Hintermänner eines Angriffs auf die Vorhersage der Art des Angriffs ist ein besserer Weg, um Cyberbedrohungen zu bekämpfen.
Wichtige Punkte
- Der herkömmliche Ansatz der Bedrohungsanalyse, der sich auf die Attribution konzentriert, trägt kaum dazu bei, die Sicherheit eines Unternehmens zu erhöhen.
- Ein vorausschauender Ansatz, der Informationen aus verschiedenen Quellen analysiert, ermöglicht es Unternehmen, Cyberangriffe zu erkennen und zu verhindern, bevor sie stattfinden.
- Predictive Threat Intelligence-Tools liefern Erkenntnisse, so dass Sicherheitsverantwortliche mehr Ressourcen für den Schutz der am stärksten gefährdeten Ziele ihres Unternehmens bereitstellen können.
Die Zuordnung - die Identifizierung der Hintermänner eines Cyberangriffs - stand lange Zeit im Mittelpunkt der traditionellen Bedrohungsanalyse. Aber eine solche rückwärtsgerichtete Analyse trägt wenig dazu bei, eine eindeutige und aktuelle Cyber-Bedrohung zu vereiteln. Zu wissen, wer ein Unternehmen angegriffen hat, ist weit weniger wichtig als zu verstehen, wie derartige Angriffe von vornherein verhindert werden können. Aus diesem Grund müssen echte Bedrohungsdaten vorausschauend sein.
"Wenn Unternehmen über Bedrohungsdaten sprechen, geht es oft um Informationen nach einem Einbruch - wer hat mich angegriffen, womit hat er mich angegriffen", sagt Josh Douglas, Vice President of Threat Intelligence bei Mimecast. "Aber wir nutzen diese Informationen nicht gemeinsam zum Guten. Wir müssen diese Dynamik ändern."
Ein vorausschauender Ansatz, der sich auf das Sammeln und Analysieren von Informationen aus verschiedenen Quellen konzentriert, kann einem Unternehmen helfen, Bedrohungen zu erkennen und abzuwehren - auch solche, die noch nicht entdeckt wurden. Stellen Sie sich vor, Sie wären für den Schutz des Luftraums von Südkalifornien und die Sicherheit aller Menschen am Boden zuständig. Ein nicht identifiziertes Flugzeug startet von Russland aus mit Kurs auf die Westküste. Sie gehen vielleicht davon aus, dass das Flugzeug eine Bedrohung darstellt, aber das allein hilft Ihnen nicht, herauszufinden, wie Sie es davon abhalten können, in Ihren Luftraum einzudringen. Sollten Sie herausfinden, dass der Pilot kein Russe ist und dass ein anderes Land das Flugzeug bezahlt hat, ist auch das von geringem unmittelbaren Wert. In diesem Moment kommt es darauf an, die Flugbahn des Flugzeugs zu kennen und zu entscheiden, ob Sie es abschießen oder zur Landung zwingen sollen.
Viele CISOs befinden sich in einem ähnlichen Dilemma, wenn es um den Schutz ihrer Unternehmen, Kunden und Partner geht.
"Am wichtigsten ist es, zu verstehen, wo und wie Ihre Gegner eindringen", so Douglas. "Und das kann man nur, wenn man einen vorausschauenden Ansatz verfolgt.
Identifizierung von Schwachstellen
Erschwerend kommt hinzu, dass die Sicherheitsteams mit dem konfrontiert sind, was Deloitte als "perfekten Sturm" von Cyberrisiken bezeichnet hat. Die Cyber-Bedrohungslandschaft wächst exponentiell, während Cyber-Security-Talente immer teurer und schwerer zu finden sind, so dass es immer wichtiger wird, den Bedrohungen zuvorzukommen.[i]
Knapp die Hälfte der Unternehmen, die für den 2020 SANS Cyber Threat Intelligence Survey befragt wurden, verfügen über ein spezielles Cyber Threat Intelligence-Team.[ii] Der Bericht stellte jedoch auch fest, dass es vielen dieser Teams an Anforderungsrahmen fehlt, die den Threat Intelligence-Prozess untermauern.
Infolgedessen fällt es vielen Fachleuten für Cybersicherheit schwer zu entscheiden, wo sie ihre Ressourcen einsetzen sollen, und sie wählen schließlich einen pauschalen Ansatz. Die Angriffsfläche ist einfach zu groß, und "man muss Vermutungen darüber anstellen, was geschützt werden muss", sagt Douglas. "Wenn man weiß, wer oder was die häufigsten Ziele sind, weiß man auch, worauf man seine Bemühungen konzentrieren muss.
Wie Prognosetools helfen können
Prognoseinstrumente und -verfahren, die ermitteln, wo ein Unternehmen am anfälligsten ist, können den Unterschied ausmachen. Ein CISO kann nicht viel tun, um die Bemühungen von Möchtegern-Hackern zu beeinflussen. Was er oder sie jedoch tun kann, ist, Schwachstellen und die wahrscheinlichsten Ziele eines Angreifers zu identifizieren.
"Intelligence-gestützte Initiativen liefern Informationen über die Identitäten, Motivationen, Eigenschaften und Methoden von Bedrohungsakteuren", erklärt Gartner, "und geben Ihnen dann, was wichtig ist, Optionen, um diese in Ihren Cybersicherheitsprogrammen zu operationalisieren." [iii]
Wenn es beispielsweise einen besonders klickfreudigen Mitarbeiter gibt, kann das Cybersicherheitsteam auf ihn zugehen und ihm erklären, warum ein solches Verhalten eine Gefahr darstellt. Wenn ein E-Mail-Server wiederholt kompromittiert wird, kann das Sicherheitsteam die notwendigen Anpassungen vornehmen. Wenn ein Anstieg von Überweisungsbetrug und eine Flut von Angriffen auf Mitarbeiter der Finanzabteilung zu verzeichnen ist, gibt dies dem CISO einen klaren Hinweis darauf, wo er mehr Ressourcen einsetzen sollte. "Hier", so Douglas, "kann es einen großen Unterschied machen, wenn man intelligent ist.
Deloitte hat eine Reihe von Bereichen skizziert, in denen prädiktive Bedrohungsdaten einem Unternehmen helfen können, darunter:
- Risikoerkennung, insbesondere die Identifizierung oder Vorhersage von Risiken, die für Menschen und regelbasierte Systeme nur schwer zu erkennen sind, z. B. neue Kategorien von Bedrohungen oder potenzielle Quellen künftiger Bedrohungen.
- Aktivitäten zur Überwachung und Verfolgung von Bedrohungen und Einrichtungen, um eine Ausgangsbasis zu schaffen und Anomalien zu erkennen, die auf potenzielle Risiken hinweisen könnten.
- Automatisierung arbeitsintensiver, komplexer und fehleranfälliger Prozesse, die große Mengen an strukturierten und unstrukturierten Daten verarbeiten. Beispiele hierfür sind die Due-Diligence-Prüfung von Dritten sowie die Identitäts- und Zugangsverwaltung.[iv]
Wie Kämpfer in jeder Art von Konflikt können sich auch Cyberkrieger im Nebel des Krieges verlieren. Predictive Threat Intelligence durchbricht die Dunkelheit.
Mit diesem Ansatz "können Sie sich auf die Werte und Personen konzentrieren, die Sie schützen müssen", sagt Douglas. "Wenn ich sehe, dass meine Domäne in unzulässiger Weise im E-Mail-Verkehr verwendet wird, kann ich Warnungen an meine Kunden und Partner senden, um sie zu informieren, was passiert. Wenn ich ein Tool habe, das mir meine zehn größten Risiken zusammen mit Empfehlungen für deren Behebung anzeigt, bin ich in einer viel besseren Position, um das Cyberrisiko meines Unternehmens zu mindern."
Die Quintessenz
Die Konzentration auf die Attribution - wer bedroht Ihr Unternehmen - hilft wenig, einen Angriff abzuwehren. Ein prädiktiver Ansatz bei der Bedrohungsanalyse, bei dem Informationen aus verschiedenen Quellen analysiert werden, um wahrscheinliche Ziele zu identifizieren und zu schützen, kann CISOs und ihren Sicherheitsteams helfen, einen Angriff zu vereiteln, bevor er stattfindet.
[i] "Smart Cyber," Deloitte
[ii] "2020 SANS Cyber Threat Intelligence (CTI) Survey," SANS Institute
[iii] "Market Guide for Security Threat Intelligence Products and Services," Gartner
[iv] "Management von Cyber-Risiken mit Smart Cyber," Deloitte
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!