Bedrohungsanalyse

    Bedrohungsdaten für die 99%: Die Problematik erläutern

    Cyber-Bedrohungsdaten sind nicht nur etwas für die 1 %.

    by Marc French
    mime_blog_threat.jpg

    Wenn Sie im Bereich der Cybersicherheit tätig sind, haben Sie in den letzten Jahren wahrscheinlich schon viel über threat intelligence gehört. Aber wenn Sie nicht zu einem Unternehmen mit einem riesigen Budget für Cybersicherheit gehören, hatten Sie wahrscheinlich noch nicht die Gelegenheit, Threat Intelligence zu praktizieren oder vielleicht sogar vollständig zu erforschen, was es ist (und was nicht).

    Die Wahrheit ist, dass Bedrohungsdaten nicht nur für die 1 % der Bevölkerung wichtig sind. Sie ist für alle da, und wir sind hier, um Sie auf Ihrem Weg zum Erfolg zu unterstützen.

    Wir freuen uns, eine neue achtteilige Blogserie mit dem Titel Threat Intelligence for the 99% vorstellen zu können. In dieser Serie befassen wir uns eingehend mit allen Themen rund um Bedrohungsdaten, was sie bedeuten und wie man sie je nach den Bedürfnissen und Ressourcen Ihres Unternehmens angehen kann.

    In diesem ersten Beitrag, Explaining the Issue, werden wir eine Reihe von Definitionen durchgehen, um die Grundlage dafür zu schaffen, wie jede Organisation - unabhängig von Personal, Budget oder technischem Sicherheits-Know-how - Cyber-Bedrohungsanalysen durchführen kann. Fangen wir mit den Grundlagen an.

    Was ist eine Cyber-Bedrohung?

    Das U.S. National Institute of Standards and Technology (NIST) definiert eine Cyber-Bedrohung als: "jeder Umstand oder jedes Ereignis, das das Potenzial hat, den Betrieb einer Organisation (einschließlich ihrer Mission, ihrer Funktionen, ihres Images oder ihres Rufs), das Vermögen der Organisation, Einzelpersonen, andere Organisationen oder die Nation über ein Informationssystem durch unbefugten Zugriff, Zerstörung, Offenlegung oder Veränderung von Informationen und/oder durch die Verweigerung von Diensten zu beeinträchtigen."

    Was sind Informationen über Cyber-Bedrohungen?

    NIST definiert Cyber-Bedrohungsinformationen auch als "alle Informationen, die einer Organisation helfen können, Cyber-Bedrohungen zu identifizieren, zu bewerten, zu überwachen und auf sie zu reagieren. Beispiele für Cyber-Bedrohungsinformationen sind Indikatoren (Systemartefakte oder Beobachtungen, die mit einem Angriff in Verbindung stehen), Taktiken, Techniken und Verfahren, Sicherheitswarnungen, Berichte über Bedrohungsdaten und empfohlene Konfigurationen von Sicherheitstools."

    Was ist Intelligenz?

    Das Oxford English Dictionary definiert Intelligence als "die Fähigkeit, Wissen und Fertigkeiten zu erwerben und anzuwenden" und "die Sammlung von Informationen von militärischem oder politischem Wert".

    Was sind Cyber-Bedrohungsdaten?

    Das SANS Institute nennt Cyber Threat Intelligence (oder CTI): "Die Analyse der Absichten, Möglichkeiten und Fähigkeiten eines Gegners, Schaden anzurichten, ist bekannt." Und weiter heißt es: "Intelligenz ist weder ein Datenfeed noch etwas, das von einem Tool kommt. Intelligenz ist umsetzbare Information , die eine Antwort auf eine wichtige Wissenslücke, einen Schmerzpunkt oder eine Anforderung einer Organisation gibt. Das Sammeln, Klassifizieren und Auswerten von Wissen über den Gegner verschafft den Verteidigern einen Vorsprung gegenüber dem Gegner und zwingt sie, mit jedem weiteren Eindringen, dem sie ausgesetzt sind, zu lernen und sich weiterzuentwickeln."

    Eine historische Lektion über Intelligenz

    Spionage aus militärischer und strategischer Sicht gibt es schon seit Jahrtausenden. Laut der New World Encyclopedia (NWE) wird Spionage in Homers Ilias und in der Bibel erwähnt. Das Römische Reich setzte überall auf der Welt Spione ein, um Informationen über benachbarte Nationen und deren Bevölkerung zu sammeln. Im alten China wurden um 500 v. Chr. theoretische Werke über das Sammeln von Informationen verfasst.

    Die NWE führt weiter aus:

    "Mit der zunehmenden Organisation der Regierungen entwickelten sich auch ihre Streitkräfte und militärischen Nachrichtendienste zu den komplexen und vielschichtigen Organisationen von heute. Technologische Fortschritte wie das Radio führten zu Fortschritten in Bereichen wie der Kryptografie sowie zu fortschrittlicheren Systemen zum Abfangen und Entschlüsseln von Nachrichten. Der [militärische Geheimdienst] hat viele technologische Fortschritte vorangetrieben; das erste weltweite Computernetzwerk war zum Beispiel nicht das Internet, sondern das internationale Netzwerk, das Überwachungsstationen miteinander verband."

    Als sich das Schlachtfeld in den 1980er und 1990er Jahren von den Feldern und Ozeanen auf den Cyberbereich verlagerte, entwickelte das Militär seine nachrichtendienstlichen Fähigkeiten weiter, um auch im Cyberbereich nachrichtendienstliche Erkenntnisse zu gewinnen. Dies führte schließlich zur Gründung militärischer Cyberkommandos in den 2000er Jahren.

    Bald darauf erkannte man, dass die aus diesen militärischen Anwendungen gewonnenen Erkenntnisse auch für den privaten Sektor von Nutzen sind. An diesem Punkt wurde die KTI geboren. In den 2010er Jahren wurde sie zu einem grundlegenden Element der Verteidigungs- und Reaktionsstrategien vieler großer Organisationen.

    Mit Blick auf die 2020er Jahre wird das Wachstum des maschinellen Lernens und der künstlichen Intelligenz die Kosten und den Ressourcenbedarf kleinerer Organisationen senken, so dass diese alle Vorteile von CTI nutzen können.

    Intelligenz = Aktion

    Was bedeutet das alles für Sie?

    Sie können dies auf drei Hauptthemen reduzieren:

    1. Alle Unternehmen, unabhängig von ihrer Größe, Branche oder geografischen Lage, sind Bedrohungen für ihre Infrastruktur, Vermögenswerte und Mitarbeiter ausgesetzt. Diesem Umstand kann man nicht entkommen.
    2. Daten zu diesen Bedrohungen sind aus einer Vielzahl von Quellen verfügbar, und die Mechanismen zur Auswertung und Triage werden mit der Zeit immer einfacher.
    3. Das Sammeln und Interpretieren dieser Daten, um eine Maßnahme zu ergreifen, ist die Essenz der Intelligenz. Ohne eine Maßnahme haben Sie zwar eine tolle Geschichte zu erzählen, aber Sie haben keinen wirklichen Einfluss auf die Verteidigungsposition Ihrer Organisation.

    Kommen Sie zu dem nächsten Teil der Serie und sehen Sie sich an, warum KTI heute und in Zukunft so wichtig ist.

    Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand 935 vom 4. bis 8. März.

    Hier finden Sie die restlichen Beiträge dieser Serie:

    Teil 2: Warum ist KTI wichtig?

    Teil 3: Wann wird die KTI benötigt?

    Teil 4: Welchen KTI-Ansatz verfolgen Sie?

    Teil 5: Bauen Sie Ihr eigenes - CTI Feeds

    Teil 6: Bauen Sie Ihre eigenen CTI-Tools

    Teil 7: Bauen Sie Ihr eigenes - Zusammennähen

    Teil 8: Abschließende Überlegungen & Mitbringsel

     

    blog_banner_threatintel.png
    E-Book herunterladen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang