Threat Intelligence für die 99 Prozent - Teil 6: Eigene Tools erstellen

Willkommen zur neuesten Ausgabe unserer Blogserie "Bedrohungsdaten für die 99 %". Beim letzten Mal haben wir die Arten von Cyber Threat Intelligence (CTI) Feeds untersucht, die Sie bei der Zusammenstellung eines Programms für Threat Intelligence berücksichtigen müssen.

Dieses Mal befassen wir uns mit den Arten von Threat Intelligence-Tools, die Sie beim Aufbau von CTI-Funktionen im Auge behalten sollten. Ähnlich wie bei den zu berücksichtigenden Feed-Kategorien gibt es kostenlose und kostenpflichtige Tools, und wir stellen Ihnen hier die Informationen zur Verfügung, die Sie benötigen, um eine fundierte Entscheidung über den besten Weg für Ihr Unternehmen zu treffen.

Tools zur Datenanreicherung: Bereiten Sie sich auf den Code vor

Tools zur Datenanreicherung - sowohl kostenpflichtige als auch Open-Source-Tools - sind von entscheidender Bedeutung für die Umsetzung von Cyber-Bedrohungsdaten in Maßnahmen. Um diese Tools zu nutzen, müssen Sie jedoch wissen, wie man programmiert. Das kann für viele Sicherheitsorganisationen, die ihren Ursprung in der Netzwerktechnik oder im Risikomanagement und nicht in der Programmierung haben, schwierig sein.

Das Verständnis von Datenbankkonzepten ist ebenfalls eine wichtige Voraussetzung für den Einsatz von Anreicherungswerkzeugen, da Sie Datenstrukturen entwerfen müssen, die aussagekräftig genug sind, um die erhaltenen Bedrohungsdaten zu verarbeiten.

In Teil 3 dieser Serie haben wir die Bereitschaft Ihres Unternehmens für die Implementierung eines KTI-Programms mit der Fähigkeit verglichen, "groß genug zu sein, um mitfahren zu können". Wenn Sie nicht über die oben genannten Fähigkeiten verfügen, werden Sie Schwierigkeiten haben, die Daten zu nehmen, sie in die richtigen Formate zu bringen, sie in der Fabrik anzureichern und sie dann tatsächlich in die Tat umzusetzen. Diese Grundlagen sind entscheidend.

Anforderungen für Open-Source-CTI-Tools

Bei Open-Source-Tools für CTI müssen Sie bereit sein, mehr zu programmieren als bei kostenpflichtigen Tools, da diese eher in Richtung Technik tendieren. Ein Teil des Wertes kostenpflichtiger Tools besteht darin, dass sie ihren Kunden einen Teil der schweren Arbeit abnehmen. Ein gewisses Maß an Codierung ist zwar erforderlich, aber nicht so viel wie bei Open Source.

Ein Datenspeicher ist auch für den Einsatz von Open-Source-Cyber-Threat-Intelligence-Tools unabdingbar. Denn es ist wichtig, die Informationen, die Sie für die Anreicherung sammeln, an einem Ort zu speichern, und Sie brauchen die Möglichkeit, sie zu manipulieren. Es bedarf einer Methodik, um zu verstehen, wie Daten durch die verschiedenen Phasen bewegt werden können, sowie einiger grundlegender Disziplinen des Datenmanagements und der Information Governance.

Ohne diese Voraussetzungen wird es schwierig sein, die Prozesse rund um ein KTI-Programm im Laufe der Zeit zu wiederholen. Ein Grund für die Einführung von Werkzeugen ist die Schaffung eines wiederholbaren Prozesses, der im Laufe der Zeit demonstriert werden kann.

Kostenpflichtige Tools zur Aufklärung von Cyber-Bedrohungen: Was Sie wissen müssen

Bei kostenpflichtigen CTI-Tools gibt es einen großen Preisunterschied. In der letzten Ausgabe haben wir über kostenpflichtige Feeds gesprochen, die Plattformen enthalten, und diese Plattformen haben die Tools, die Sie für CTI verwenden können. Diese Plattformen umfassen eine Infrastruktur mit Arbeitsabläufen, Anreicherungssteckern und APIs. Außerdem sollten Sie sich nach professionellen Dienstleistungen erkundigen, die Ihnen bei der Implementierung dieser kostenpflichtigen Tools helfen. Das bekommen Sie bei Open Source nicht.

Vorsicht bei kostenpflichtigen Tools: Je offener das Ökosystem für die Tools ist, desto besser ist es für Sie. Sich in ein geschlossenes Ökosystem einzuklinken, ist nicht der beste Ansatz. Sie wollen etwas mit APIs, das eine Vielzahl von Feeds verschiedener Anbieter in unterschiedlichen Formaten akzeptieren kann.

Bei einigen kostenpflichtigen Tools für Cyber-Bedrohungsdaten ist es erforderlich, die Daten im Vorfeld zu manipulieren, um den Feed nutzen zu können. Je weniger Sie das tun müssen, desto besser ist die kostenpflichtige Plattform. Sie sollte schlüsselfertig sein, dafür zahlen Sie ja.

Noch ein Wort der Vorsicht: Der Markt für kostenpflichtige Tools zur Aufklärung von Cyber-Bedrohungen erlebte vor etwa fünf Jahren einen Aufschwung und ist jetzt ein konsolidierter Markt. Bei der Prüfung der Optionen müssen Sie ein gutes Anbietermanagement betreiben. Wie überlebensfähig ist der Anbieter? In welcher Finanzierungsrunde befindet er sich? Wie sieht seine Ausstiegsstrategie aus? Das Letzte, was Sie wollen, ist, dass Sie nach einer Implementierung auf den Kosten sitzen bleiben.

Und schließlich müssen Sie sich überlegen, wo diese Bedrohungsdaten-Tools eingesetzt werden sollen. Stellen Sie sie in Ihre eigene Umgebung? Werden Sie sie auf Amazon bereitstellen? Wenn Sie die Bereitstellung von Tools in der Cloud in Erwägung ziehen, sollten Sie bedenken, dass diese in der Regel sehr datenintensiv sind.

In der nächsten Ausgabe unserer Serie befassen wir uns mit der Frage, wie Sie die verschiedenen Teile, die Sie erworben haben, zu einem echten KTI-Programm zusammenfügen.

Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand 935 vom 4. bis 8. März.