Bedrohungsanalyse

    Threat Intelligence für die 99 % - Teil 4: Welchen Ansatz verfolgen Sie?

    Sie haben verschiedene Möglichkeiten der Bedrohungsanalyse. Aber wie entscheiden Sie sich?

    by Marc French
    mime_blog_threat.jpg

    Willkommen zur neuesten Ausgabe unserer Blogserie Threat Intelligence für die 99 % . Wir haben uns bereits mit verschiedenen Aspekten von Cyber Threat Intelligence (CTI)-Programmen befasst, darunter auch mit Indikatoren, wann ein Unternehmen bereit ist, ein solches Programm zu implementieren .

    Diese Woche befassen wir uns mit der richtigen Vorgehensweise bei der Erstellung eines KTI-Programms.

    Wir haben letzte Woche darüber gesprochen, dass jedes Unternehmen, das bereit ist, echte Bedrohungsanalyse zu betreiben, bereits festgestellt hat, dass es "groß genug ist, um mitfahren zu können". Was tun Sie also jetzt?

    Für die Einführung eines KTI-Programms gibt es im Allgemeinen drei Ansätze:

    1. Sie lagern es aus.
    2. Sie bauen es.
    3. Sie machen eine Mischung aus diesen beiden Ansätzen.

    Auslagerung von Bedrohungsdatenfunktionen

    Der erste Ansatzpunkt für die meisten Unternehmen ist die Auslagerung. Ihr primärer Outsourcing-Mechanismus, wenn es um CTI geht, sind Ihre bestehenden Sicherheitsanbieter. Recherchieren Sie ein wenig, was diese anbieten. Wenn einer von ihnen eine Firewall mit einem Intelligenz-Feed anbietet, den Sie abonnieren können, sollten Sie in Erwägung ziehen, diesen zuerst zu kaufen. Das ist ein guter Anfang und Sie erhalten ein besseres Preis-Leistungs-Verhältnis.

    In der Branche wird über die Wirksamkeit dieser Feeds diskutiert. Tatsache ist jedoch, dass Sie, wenn Sie einfach etwas tun müssen, weil Sie einen Bedarf haben oder ein Ereignis ansteht, am besten mit einem ausgelagerten Feed von einem Anbieter beginnen, den Sie bereits nutzen. Das ist besser als nichts zu tun.

    Der nächste Schritt wäre der Aufbau einer Beziehung zu einem Managed Security Service Provider (MSSP), der die Funktion threat intelligence übernimmt. Der MSSP sollte eine Due-Diligence-Prüfung in Bezug auf Ihre Risiken und Bedürfnisse durchführen und dann alle Daten zusammenstellen und an Sie weiterleiten, damit Sie sie nutzen können.

    Da Sie dies zusätzlich zu Ihrer bestehenden Lieferantenbeziehung tun und dafür bezahlen, sollten Sie das Team, das diese kritischen Funktionen für Sie ausführen wird, selbst ein wenig prüfen. Es ist wichtig, dass Sie die Fähigkeiten der Forscher verstehen, die die Informationen auf der anderen Seite entwickeln.

    Jeder gute MSSP, der dies tut, wird mehr als bereit sein, Ihnen geschwärzte Lebensläufe der Forscher zur Verfügung zu stellen, die zum Personal gehören. Sie wollen, dass Sie sich wohlfühlen, und das wollen sie zeigen und hervorheben. Wenn sie dazu nicht bereit sind, laufen Sie weg.

    Wenn Sie sich mit den Fähigkeiten eines Outsourcing-Mitarbeiters wohlfühlen, müssen Sie auch sicherstellen, dass Sie wissen, wie sie ihre Informationen ableiten und was sie Ihnen liefern. Wenn sie nur Open-Source-Informationen nehmen und sie in das verpacken, was sie Ihnen verkaufen, können Sie das auch selbst tun. Sie wollen einen Service, der zusätzliche Anreicherung für die Daten bietet, die einzigartig für Sie und Ihr Risikoprofil sind.

    Und schließlich -- wollen Sie wissen, wie oft und wie schnell Sie Informationen von dieser Drittquelle erhalten können. Wenn es eine Bedrohung gibt und Ihr CEO am Montagmorgen einen Bericht auf seinem Schreibtisch haben möchte, müssen Sie wissen, wie schnell der MSSP Ihnen diese Informationen liefern kann. Ihrem CEO wird es egal sein, woher die Informationen kommen, er will den Bericht.

    Aufbau eigener Bedrohungsdatenfunktionen

    Das ist nichts für schwache Nerven. Der "Build-it-yourself"-Ansatz erfordert eine Menge Aufwand und Investitionen, wenn man bei Null anfängt. Es gibt zwei Hauptkomponenten dieses Ansatzes: die Intelligenzfabrik und die Produktionsseite.

    Die Fabrik ist die Maschine, die die Daten aufbaut, mit verbrauchten Feeds, Cross-Reference-Feeds und angereicherten Feeds. Darüber hinaus muss die Intelligenz erzeugt werden, damit die von der Fabrik gesammelten Daten auch einen Sinn ergeben.

    Die Schwerstarbeit ist hier sicherlich der Fabrikteil, wenn man bedenkt, wie viel Codierungs- und Ressourcenarbeit damit verbunden sein muss. Ich würde sagen, das macht etwa 80 % der Arbeit aus. Aber man darf die Produktionsseite, die die anderen 20 % ausmacht, nicht unterschätzen. Hier kommt es darauf an, die richtigen Leute zu haben.

    Man braucht Leute mit einem nachrichtendienstlichen Hintergrund. Man kann einem durchschnittlichen Netzwerkingenieur nicht die Aufgabe geben, eine "Intelligence Factory" zu produzieren und diese dann in die Tat umzusetzen. Das ist nicht dasselbe. Eine intelligente Denkweise ist keine technologische Denkweise; unterschätzen Sie den Unterschied nicht.

    Geheimdienstexperten sind schwer zu finden und noch schwerer zu halten:

    • Viele haben einen militärischen oder polizeilichen Hintergrund.
    • Sie sind sehr gefragt, vor allem in Bereichen wie dem Finanzsektor, wo sie Teil von Geheimdienstteams mit bis zu 300 Personen sein können.
    • Sie sind teuer in der Einstellung.
    • Sie wollen interessante Probleme lösen und interessante Dinge tun.
    • Und wenn sie das, was Sie tun, nicht interessant genug finden, werden sie sich langweilen und weiterziehen.

    Ich rate Ihnen daher, lange und gründlich nachzudenken, bevor Sie sich entschließen, Ihr eigenes Bedrohungsanalyseprogramm von Grund auf neu aufzubauen.

    Der Ansatz der hybriden Bedrohungsanalyse

    Zum Schluss wollen wir uns noch ansehen, wie man den hybriden Ansatz umsetzen kann. Die Kombination aus "Outsourcing" und "Eigenentwicklung" von CTI besteht darin, dass Sie ausgelagerte Feeds verwenden, aber den operativen Teil in Ihrer Umgebung belassen.

    Bei diesem Ansatz sammelt der Anbieter, den Sie mit dem Outsourcing beauftragen, alle Daten und Informationen, die er aus seinen Feeds bezieht, und erstellt einen Bericht für Sie. Es liegt dann an den Mitarbeitern in Ihrem Unternehmen, diese in verwertbare Informationen umzuwandeln.

    Wenn Sie nicht über die entsprechenden Ressourcen verfügen, ist der hybride Ansatz nur schwer zu verwirklichen. Wenn beispielsweise ein Sicherheitsvorfall eintritt, können Sie nicht mehr glaubhaft abstreiten, dass Sie die Daten, die den Vorfall hätten verhindern können, zur Hand hatten, aber nichts unternommen haben. In diesem Fall wäre es besser gewesen, diese Dienste vollständig auszulagern.

    Nächstes Mal werden wir einen detaillierten Blick auf werfen, wie Sie Ihr eigenes Threat Intelligence-Programm aufbauen können.

    Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand S 935 vom 4. bis 8. März.

    blog_banner_threatintel.png
    E-Book herunterladen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang