Threat Intelligence für die 99 Prozent - Teil 2: Warum ist es wichtig?

Willkommen zum zweiten Teil unserer Blogserie Threat Intelligence für die 99 %. In dieser Serie werden wir uns eingehend mit allen Themen rund um Threat Intelligence befassen, was es bedeutet und wie man es je nach den Bedürfnissen und Ressourcen Ihres Unternehmens angehen kann.

In diesem ersten Beitrag, Explaining the Issue , haben wir Ihnen eine Reihe von Definitionen vorgestellt, die zeigen, wie jede Organisation - unabhängig von Personal, Budget oder technischem Sicherheits-Know-how - an die Aufklärung von Cyber-Bedrohungen herangehen kann.

Diese Woche gehen wir einer einfachen Frage nach: Warum ist Cyber Threat Intelligence (CTI) in der heutigen Cybersicherheitslandschaft so wichtig? Es gibt zwei Hauptbereiche, unter denen wir diese Frage untersuchen werden: den Bereich der Verteidigung und den Bereich des Vertrauens. Beginnen wir mit der Verteidigung.

Verteidigung als Motor für Bedrohungsinformationen

Bei der Bedrohungsanalyse geht es vor allem ums Handeln. Welche Maßnahmen werden Sie ergreifen, um auf die Bedrohungen zu reagieren, die Sie in Ihrer Umgebung feststellen? Wenn Sie einen Hinweis auf eine Gefährdung erhalten, z. B. über eine verdächtige oder bedrohliche IP-Adresse, müssen Sie Maßnahmen ergreifen, um eine echte Bedrohungsanalyse durchzuführen.

Arten von Sicherheitskontrollen

Im Allgemeinen gibt es drei Arten von Primärkontrollen, die Sie verwenden können, um Daten zu Bedrohungserkennungszwecken in die Tat umzusetzen.

Vorbeugende Kontrolle. Diese Kontrolle könnte beinhalten, dass die bekannte schlechte IP-Adresse in Ihr Sicherheitsgerät geladen wird, um jede schlechte Aktion zu stoppen, bevor sie passiert. Das bedeutet, dass niemand in Ihrer Umgebung in der Lage wäre, auf diese IP-Adresse zuzugreifen, solange sie sich in Ihrer Sicherheitseinrichtung befindet.

Detektivkontrolle. Bei dieser Kontrolle lassen Sie z. B. die schlechte IP-Adresse durch, weil Sie sich der Qualität der Intelligenz Ihrer Systeme nicht sicher sind oder weil Sie wissen, dass die IP-Adresse nur für eine kurze Zeit schlecht sein wird.

Wenn Unternehmen diese Art der Kontrolle einführen, überwachen sie die bösen IP-Adressen und verwalten die Ergebnisse dieser Informationen. Es geht um die Fähigkeit des Unternehmens, zu reagieren - ob gut, schlecht oder gleichgültig.

Administrative Kontrolle. Es handelt sich dabei um eher strategische und betriebliche Kontrollen, die oft nicht direkt technischer Natur sind. Es kann so einfach sein, wie zum Beispiel zu hören, dass eine gegnerische ausländische Regierungseinheit überall auf dem Parkplatz Ihres Unternehmens USB-Sticks verteilt und eine Anweisung herausgibt, dass die Mitarbeiter diese nicht in ihre Laptops stecken sollen.

Bedrohungsdaten sind Teil der Vorarbeit für die Kontrollimplementierungen, die Sie für den tatsächlichen Schutz Ihrer Umgebung benötigen, und deshalb sind sie eine Schlüsselkomponente jeder Verteidigungsstrategie.

Vertrauen als Triebkraft für Bedrohungsinformationen

Als Chief Information Security Officer (CISO) werden Sie viele sicherheitsrelevante Fragen von Ihrem CEO erhalten, die auf etwas zurückzuführen sind, das er in den Nachrichten gesehen hat. Vielleicht gibt es eine viel beachtete Sicherheitslücke, einen neuen Stamm von Malware , der in den Netzwerken der Welt Verwüstung anrichtet, oder eine andere Cyber-Katastrophe. Und das führt unweigerlich zu der Frage:

"Wird das ein Problem für uns sein?"

Und wenn Sie keine gute Antwort haben, könnte die nächste Frage lauten:

"Wozu habe ich Sie eingestellt?"

Diese Führungskräfte wollen Vertrauen in das Sicherheitsprogramm, für das sie bezahlen, und sie wollen sicher sein, dass Sie das Risiko für das Unternehmen angemessen einschätzen. Sie wollen, dass Sie den Finger am Puls der Cyber-Bedrohungen haben, die sich auf ihr Geschäftsergebnis auswirken könnten. Sie vertrauen Ihnen diese Aufgabe an, und wenn Sie das nicht tun, überlegt man sich vielleicht, ob Sie die richtige Person für diese Aufgabe sind.

In einigen Fällen benötigen Sie vielleicht das, was ich executive eye candy nenne, um zu zeigen, was vor sich geht. Diese Daten können in verschiedenen Berichten auftauchen, die entweder von Ihnen oder von Dritten erstellt werden und verschiedene Bedrohungen aufzeigen, aber ehrlich gesagt haben diese Daten keinen Wert für präventive oder detektive Kontrollen. Sie könnten einen Platz in den Verwaltungskontrollen haben, aber das ist weit hergeholt.

Vielmehr geht es darum, das Vertrauen in Ihr Programm und in die Fähigkeiten von Ihnen und Ihren Mitarbeitern zu stärken, mit der adaptiven Bedrohung Schritt zu halten.

Verteidigung und Vertrauen gemeinsam für Bedrohungsinformationen

Was ist also die richtige Mischung für Ihr Unternehmen?

Wenn Sie keinen Mechanismus haben, um Ihre Sicherheitsausrüstung mit Bedrohungsdaten zu füttern, dann wird das meiste, was Sie tun, auf Vertrauen basieren, weil Sie eine Antwort brauchen, wenn Ihr CEO das nächste Mal etwas in den Nachrichten über den neuesten Ransomware-Stamm sieht.

Ausgereifte Programme verfügen über eine Mischung aus Verteidigungs- und Vertrauenstaktiken, weil sie diese Sicherheitspraktiken in ihrer Organisation verankert haben. Das ist der Ort, an dem Sie sein wollen, und deshalb ist es wichtig, ein Bedrohungsdatenprogramm aufzubauen. Man darf sich weder von den Angriffen, die man sehen könnte, noch von den Fragen, die von höherer Stelle gestellt werden könnten, überrumpeln lassen.

Nachdem wir nun erforscht haben, warum ein Programm wichtig ist, stellt sich natürlich die Frage: Wann ist der richtige Zeitpunkt für die Einführung eines CTI-Programms? Dieser Frage werden wir nächste Woche nachgehen.

Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand S 935 vom 4. bis 8. März.