Bedrohungsanalyse

    Bewährte Threat Intelligence-Verfahren für schlanke IT-Organisationen - Teil 1

    Hier ist der Grund, warum es nicht ausreicht, auf Indikatoren für Kompromisse zu achten.

    by Joshua Douglas
    josh-threat-intel-blog-image.jpg

    Anmerkung des Herausgebers: Für Cybersicherheitsexperten bedeutet Threat Intelligence nicht nur, dass sie auf Kompromissindikatoren reagieren müssen, nachdem sie sich bereits auf ein Unternehmen ausgewirkt haben.

    In einem kürzlichen Gespräch mit Terry Sweeney, Redakteur bei Black Hat, im Rahmen der Executive Interview Series, erläuterte Josh Douglas, VP of Threat Intelligence bei Mimecast, dass echte Bedrohungsdaten einen ganzheitlichen, integrierten Ansatz erfordern, der neben technologischen Verbesserungen auch kulturelle Veränderungen im Unternehmen umfasst.

    Im Folgenden finden Sie eine bearbeitete Abschrift eines Teils der Diskussion. Die gesamte Diskussion können Sie hier einsehen .

    F: Sicherheitsexperten verlassen sich in hohem Maße auf Bedrohungsdaten und traditionelle Indikatoren für eine Gefährdung, um Benutzer und Daten zu schützen. Lassen Sie uns über einige der Einschränkungen und Herausforderungen sprechen, insbesondere für schlanke IT-Organisationen.

    A: Ich denke, wenn wir über threat intelligence sprechen, sprechen wir über Indikatoren für eine Gefährdung. Das ist eigentlich eine Bedrohungsanalyse nach einem Einbruch. Entweder muss man kompromittiert sein oder man ist gerade dabei, kompromittiert zu werden. Das bringt die Lean-IT nicht wirklich weiter, erstens. Zweitens gibt es mehr Rauschen, was meiner Meinung nach das größere Problem für eine schlanke IT ist, weil sie Zeit damit verbringen muss, diese Daten zu analysieren und darauf zu reagieren. Meistens stellt man fest, dass die meisten dieser Daten für das Unternehmen nicht relevant sind, oder man hält sie für unbedeutend, um darauf reagieren zu können.

    F: Das klingt so, als ob die Ressourcen eine Herausforderung darstellen, was für die meisten Organisationen zutrifft, sei es durch zusätzliches Personal, den Kauf von Technologie oder größere Kapitalbudgets, die alle der Verteidigung und dem Schutz dienen. Sollte dieses Problem nicht durch mehr Geld und größere Kapitalbudgets gelöst werden?

    A: Schön wär's, aber wenn man sich die Gemeinschaft heute anschaut, dann reden die Leute über Ressourcenknappheit, und das geht über die Aspekte der Einstellung hinaus. Denn selbst wenn ich alles Geld der Welt hätte, könnte es sein, dass ich nicht in der Lage wäre, das Problem im weiteren Sinne zu lösen, was bedeutet, dass ich es aus einer anderen Perspektive betrachten muss. Wenn ich morgen Zehntausende von Leuten auf dieses Problem ansetzen könnte, könnten wir es vielleicht lösen. Aber letztendlich hat die schlanke IT-Abteilung diese Art von Mitteln gar nicht zur Verfügung, sonst hätte sie ein großes Team.

    F: Der Trend geht jedoch dahin, dass das Malware-Volumen und die Zahl der täglichen Angriffe unaufhörlich zunehmen. Was tun intelligente Unternehmen, um dem entgegenzuwirken?

    A: In der Regel suchen sie sich einen Dienstleister, der bereits all diese Indikatoren für eine Gefährdung berücksichtigt, so dass sie das nicht tun müssen. Der zweite Teil ist, dass sie eine ganzheitliche Strategie entwickeln, um den Gürtel enger zu schnallen und einige der taktischen Dinge zu tun, die sie zuerst tun müssen. Aber auch Unternehmen, die eher strategisch orientiert sind, beginnen zu verstehen, wie hoch ihr Risiko im Vergleich zu anderen Unternehmen ist und worin der Unterschied zwischen internen und externen Bedrohungsdaten besteht.

    F: Aber die Konzentration auf Eindringlinge und potenzielle Malware hat ihre eigenen Grenzen. Wenn Kunden versuchen, eine Meta-Ansicht zu erhalten, welche Dinge sollten sie dann in den Mix einbeziehen?

    A: In meinem früheren Leben, als ich CISO war, habe ich dem Vorstand über vier Dinge berichtet: die Einhaltung von Vorschriften oder Dinge, die ich tun muss; das Engagement, das ich vom Unternehmen benötige; die Komplexität oder die Dinge, die ich nicht kontrollieren kann, wie Sicherheitsverletzungen, Angriffe usw.; und der vierte Punkt war die Kultur. Kluge Unternehmen fangen an, darüber nachzudenken, dass die Kultur dabei eine große Rolle spielt, was bedeutet, dass sie ihre gesamte Gemeinschaft in den Blick nehmen müssen.

    F: Sie haben von einer Strategie gesprochen, die Kunden dazu ermutigt, ihre IT-Investitionen zu operationalisieren. Wie sieht das in praktischer und strategischer Hinsicht aus?

    A: Praktisch bedeutet das, dass Sie die üblichen Dinge tun, die Sie erwarten würden, wie z. B. gute Hygiene. Habe ich Flickzeug an Ort und Stelle? Habe ich meine Tools auf die richtige Weise aktiviert? Nutze ich die Sicherheitsfunktionen? Habe ich mit meinen Kunden kommuniziert? Das sind die Dinge, die sie zum Thema Sicherheit wissen müssen.

    Strategisch bedeutet jedoch, die Probleme an der Wurzel zu packen. Wenn ich also an einen Malware-Angriff denke, liegt die Ursache des Problems nicht unbedingt darin, dass ich nicht über die besten Erkennungsmechanismen verfüge, denn das kann schon sein. Selbst wenn wir uns heute Phishing-Angriffe ansehen, kommen einige ohne jegliche Art von Malware durch die Tür und nutzen ausschließlich soziale Aspekte der menschlichen Anatomie, was bedeutet, dass ich die breiteren Aspekte der Sicherheit auf die gesamte Gemeinschaft ausweiten muss.

    Ich muss dafür sorgen, dass sie eine Sensibilisierungsschulung erhalten usw. Ich muss vielleicht sogar dafür sorgen, dass sie diese komplexen Zusammenhänge verstehen, z. B. wenn sie ihren Benutzernamen oder ihr Passwort von der Arbeit in ein privates Konto eingeben, sei es Facebook, LinkedIn usw., das könnte direkt zurückkommen und dem Unternehmen schaden.

    blog_banner_threatintel.png
    E-Book herunterladen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang