Bedrohungsdaten für die 99 % - Teil 5: Erstellen Sie Ihre eigenen - Feeds

Willkommen zur neuesten Ausgabe unserer Blogserie Threat Intelligence für die 99 % . Wir haben uns bereits eingehend damit befasst, was Cyber Threat Intelligence (CTI) ist, warum sie wichtig ist, wann man sie braucht und wie man sie implementiert.

An diesem Punkt ist es an der Zeit, sich mit den eigentlichen Elementen zu befassen, die zum Aufbau Ihres eigenen Bedrohungsdatenprogramms gehören. Im weiteren Verlauf dieser Serie werden wir uns mit diesen verschiedenen Programmaspekten befassen und herausfinden, welche davon für Ihr Unternehmen geeignet sind und wie Sie Ihren Erfolg messen können.

Wir beginnen diese Woche mit einem Blick auf die verschiedenen CTI-Feeds, die beim Aufbau Ihres Programms nützlich sein können.

Während dieser Serie bin ich immer wieder auf diesen zentralen Punkt zurückgekommen: Bei CTI geht es darum, Daten zu nutzen und sie in Maßnahmen umzusetzen. Woher bekommen Sie also die Daten, um CTI für Ihr Unternehmen durchzuführen? Im Allgemeinen kommen sie in zwei Formen: Berichte und Feeds.

Bei Berichten besteht die Herausforderung darin, die von Ihnen vorgelegten Daten selbst in verwertbare Informationen umzuwandeln. Aus diesem Grund verlassen sich die meisten CTI-Anwender auf Feeds als Teil des Datenerhebungsprozesses im Zusammenhang mit Informationen. Es gibt zwei Arten von Feeds, die Unternehmen kennen sollten: kostenlose und kostenpflichtige.

Kostenlose Threat Intelligence Feeds: Behörden und gemeinnützige Organisationen

Kostenlose Bedrohungsdaten Feeds sind in Bezug auf Wirksamkeit und Zuverlässigkeit oft sehr unterschiedlich. Im Allgemeinen werden kostenlose Feeds entweder von staatlichen Stellen bereitgestellt oder sie stammen aus privaten, nicht gewinnorientierten Quellen.

Bei den staatlichen Quellen handelt es sich um Stellen wie CERT Urgent Response , Infragard oder das US Department of Homeland Security.

Achtung: Staatliche Feeds sind in der Regel langsamer als die kostenpflichtigen kommerziellen Feeds, wenn es um neue Informationen geht.

Ein nachrichtendienstlicher Indikator wird veröffentlicht und ein kommerzieller Feed wird wahrscheinlich innerhalb von Stunden aktualisiert; der staatliche Feed kann einen Monat dauern, es sei denn, das, was entdeckt wurde, stellt eine nationale Sicherheitsbedrohung dar.

Da Sie sich bereits mit Ihrem Risikoprofil befasst haben und wissen, was für Sie wichtig ist und was nicht, kann es durchaus sein, dass es einen Monat dauert, bis Ihr staatlicher Feed aktualisiert wird. Sie sollten einfach auf diese Realität vorbereitet sein.

Darüber hinaus sind die staatlichen Maßnahmen manchmal sehr eng gefasst. Hier in den USA gibt es das Konzept der 16 kritischen Infrastrukturen im ganzen Land. Wenn Ihr Unternehmen zum Beispiel im Energiesektor tätig ist, können die staatlichen Feeds viel aussagen, aber nicht, wenn Sie im Einzelhandelssektor tätig sind. Unternehmen können sich also auf staatliche Feeds verlassen, haben aber möglicherweise nicht die Tiefe und Breite der Abdeckung wie bei den bezahlten Feeds.

Was die Feeds für gemeinnützige Organisationen angeht, so können viele von ihnen aktueller sein als die staatlichen Feeds, aber sie können auch sehr eng gefasst sein. Einige sind zum Beispiel mehr auf Spam als auf die Erkennung fortgeschrittener Bedrohungen ausgerichtet.

In beiden Fällen müssen Sie eine beträchtliche Investition (d. h. Menschen) tätigen, um die Wirksamkeit dieser Feeds zu überprüfen. Sie müssen sich vergewissern, dass sie aktualisiert werden, denn manchmal werden sie einfach nicht mehr aktualisiert. Man bekommt, wofür man bezahlt, und wenn man nicht dafür bezahlt, bekommt man manchmal gar nichts.

Bezahlte Threat Intelligence Feeds: Feeds und Plattformen

Für kostenpflichtige kommerzielle CTI-Feeds gibt es verschiedene Optionen, von einzelnen Feeds, die Informationen liefern, bis hin zu vollwertigen Plattformen. Wie Sie sich vorstellen können, kosten Feeds in der Regel weniger als Plattformen, denn die Plattformen bieten Anreicherungs-, Untersuchungs- und Pivot-Funktionen für die Informationen, die Sie erhalten. Das kann mehr sein, als Sie brauchen.

Die Anbieter verkaufen Ihnen Feeds auf der Grundlage der Anzahl der Artikel, die sie ständig hinzufügen können. Ob ein Futtermittel gut ist, lässt sich meiner Meinung nach nicht nur daran erkennen, wie viel es hinzufügt, sondern auch daran, wie viel es abnimmt. Ein guter Feed wächst wahrscheinlich nur um einen kleinen Prozentsatz. Wenn Ihre Feeds Jahr für Jahr um 40 % wachsen, haben Sie ein Problem mit der Erschöpfung: Sie haben zu viele Daten, die entweder veraltet sind oder mehr, als Sie wirklich verarbeiten können.

Die guten Feeds erkennen, dass Daten eine Lebensdauer haben. Die Dinge sollten ablaufen, weil z. B. die bei Bedrohungen verwendete IP-Adresse in der Regel nur vorübergehend verwendet wird. Irgendwann wird diese dynamische IP-Adresse für einen anderen Zweck verwendet werden. Sie sollten sie nicht auf Dauer blockieren, weil Ihre Feeds nicht erkennen, dass es einen Lebenszyklus von Informationen gibt. Einer der besten Indikatoren für einen guten Feed ist also, ob die Dinge von hinten aufgerollt werden oder nicht.

Meiner Erfahrung nach enthalten die meisten kostenpflichtigen Feeds bei verschiedenen Anbietern etwa 90 % der gleichen Informationen. Stellen Sie also bei Ihrer Bewertung fest, ob ein Anbieter diese zusätzlichen 10 %, die speziell auf Ihr Risikoprofil zugeschnitten sind, bereitstellt oder nicht. Es gibt einen Punkt, an dem der Nutzen abnimmt und Sie bei zwei bis drei Feeds das Geld besser für die Erkennung und Vorbeugung von Bedrohungen verwenden sollten als für weitere Bedrohungsdaten.

Genau wie bei den kostenlosen Feeds können Sie auch bei den kostenpflichtigen Bedrohungsdaten-Feeds nicht einfach "loslegen und vergessen". Sie müssen sich regelmäßig vergewissern, dass Sie immer noch den Schutz erhalten, den Sie zu erhalten glauben. Es gibt keine Zentralbank für die Qualität der Feeds, auf die Sie sich beziehen können. Diese schwere Aufgabe müssen Sie selbst übernehmen.

Was ist zu tun, wenn Sie die Informationen über Cyber-Bedrohungen erhalten haben?

Sie haben sich also für den richtigen Feed für Sie entschieden. Nun müssen Sie sich mit dem Konzept der Anreicherung der Daten befassen.

Sie haben diese Intelligenzfabrik geschaffen, in der Sie die Daten anreichern werden, um einen größeren Wert für das Unternehmen zu schaffen. Jetzt müssen Sie herausfinden, was Sie noch mit den Daten machen müssen, um sie in Ihrer Umgebung nutzbar zu machen. Wenn Sie diese Strategie durchdenken, können Sie nicht mehr als zwei Anreicherungen vornehmen, bevor ein Mensch hinzugezogen werden muss, um sicherzustellen, dass Sie keine falschen Entscheidungen treffen.

Dieser Mensch braucht ein gewisses Maß an Kompetenz, um zu verstehen, wie sich diese Anreicherung auf Ihre Schutzmaßnahmen auf der anderen Seite auswirken wird.

Diese Anreicherungsstrategie geht mit Ihrer Feed-Strategie einher. Sie haben Ihre Feed-Onboarding-Strategie, Ihre Anreicherungsstrategie und jetzt haben Sie eine Reihe von Datenfeeds, die nun in Ihrer Umgebung operationalisiert werden können.

In der nächsten Ausgabe unserer Serie werden wir die Rolle der Werkzeuge beim Aufbau Ihres eigenen KTI-Programms betrachten.

Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand 935 vom 4. bis 8. März.