Threat Intelligence für die 99 Prozent - Teil 7: Zusammenfügen der Informationen

Willkommen zur neuesten Ausgabe unserer Blogserie Threat Intelligence für die 99 %. In den letzten beiden Ausgaben unserer Serie haben wir uns mit Cyber Threat Intelligence (CTI) Feeds und Tools befasst und erörtert, wie Sie die richtigen Tools für Ihr Unternehmen identifizieren und implementieren können.

Diese Woche gehen wir der Frage auf den Grund, wie man alle Teile für ein umfassendes und effektives KTI-Programm zusammenfügt. Wie wir bereits mehrfach in dieser Serie erwähnt haben, ist dieser Prozess nichts für schwache Nerven und erfordert Geschick und Ausdauer. Aber wenn Sie es richtig anpacken, kann Ihr Unternehmen davon erheblich profitieren.

Integration von Informationen über Cyber-Bedrohungen in Ihre Ausrüstung

Zu diesem Zeitpunkt haben Sie den Prozess der Bestimmung der Feeds und Tools durchlaufen, die Sie für Ihr CTI-Programm benötigen. Sie haben einige Daten, Sie haben den Manipulationsprozess durchlaufen, und jetzt wollen Sie das tun, was Sie zu Beginn des Prozesses veranlasst hat: Sie wollen diese Daten nutzen, um sie für Ihr Unternehmen umzusetzen.

Erste Aktion: Geben Sie diese Informationen über Ihre Integrationen in Ihre Ausrüstung ein. Sie wollen sie an Ihre Firewall, Ihr Intrusion Detection System, Ihre Dateiintegritätsverwaltung, Ihren Web-Proxy und andere Systeme weiterleiten. Die gute Nachricht ist, dass Ihre Ausrüstung wahrscheinlich bereits über Mechanismen verfügt, um diese Informationen zu verarbeiten. Wenn nicht, haben Sie wahrscheinlich Probleme, die tiefer gehen, als wir in dieser Serie behandeln können.

Zweite Maßnahme: Integrieren Sie diese Informationen in Ihre security information and event management (SIEM) Systeme und Reaktionsprozesse. Es gibt eine große Debatte darüber, ob Sie mit SIEM beginnen sollten oder nicht. SIEM kann Ihnen dabei helfen, herauszufinden, ob schlechte Dinge durch Ihren Perimeter gelangt sind, sowohl in der Gegenwart als auch in der Vergangenheit. Möglicherweise stellen Sie fest, dass Sie bereits infiziert wurden oder dass Ihr System gerade von bösartigen Dingen heimgesucht wird.

An diesem Punkt haben Sie Intelligenz in Ihre Präventions-, Erkennungs- und Reaktionsumgebung eingeführt. Sie verfügen nun über Intelligenz zum Handeln.

KTI-Governance und Berichterstattung

Jetzt, da Sie Maßnahmen ergriffen haben, gibt es einen weiteren entscheidenden Faktor für den weiteren Erfolg: Sie brauchen eine solide Information-Governance-Politik und ein Verfahren, mit dem Sie sicherstellen, dass Ihr Programm tut, was es für Sie tun muss. Dies sollte Folgendes beinhalten:

• Überprüfen Sie Ihre Feeds und stellen Sie sicher, dass sie nicht veraltet sind
• Überprüfung der Wirksamkeit Ihrer Tools und Sicherstellung, dass sie aktualisiert sind und funktionieren
• Ich überprüfe Ihren Anreicherungsprozess, damit auch das in Ordnung ist.

Diese Art von Arbeit ist nicht billig. Es geht mindestens um einen sechsstelligen Betrag. Und um diese Art von Ausgaben zu rechtfertigen, müssen Sie der Organisation Bericht erstatten. Andernfalls werden Sie eine Menge Fragen darüber bekommen, warum Sie so viel dafür ausgegeben haben.

Ich empfehle nicht mehr als ein bis drei Metriken zu verwenden, um zu beweisen, dass Ihr Programm funktioniert. Die von mir häufig verwendete Metrik kann als "Feed-to-Action-Time" beschrieben werden. Dabei handelt es sich um eine Messung der Zeitspanne, in der ein Indikator in Ihrem Feed eingeht und diese Daten in verwertbare Informationen für Ihr Unternehmen umgewandelt werden. Dies ist eine gute Möglichkeit, die Wirksamkeit Ihres Programms zu demonstrieren. Es zeigt, dass der Prozess zum Schutz Ihrer Umwelt funktioniert.

Sie können zwar Angaben darüber machen, wie viele böse Dinge Sie blockiert haben, aber für mich ist das nicht sonderlich aussagekräftig. Nur weil man eine IP-Adresse hat, wird man garantiert immer wieder angegriffen. Es ist eine FUD-Taktik (Furcht, Ungewissheit, Zweifel), wenn man nur zeigt, wie oft man Angriffe abgewehrt hat. Ich würde es vorziehen, wenn sich die Berichterstattung der Geschäftsleitung auf die Zeit bis zur Wertschöpfung bezieht, nicht auf FUD.

Austausch von Informationen über Bedrohungen mit der ganzen Welt

Nun, da Sie den gesamten Prozess der Beschaffung von Bedrohungsdaten-Feeds und -Tools durchlaufen haben, Ihre Daten sammeln, sie in die Geräte einspeisen und an Ihr Unternehmen zurückmelden, fühlen Sie sich vielleicht ein wenig altruistisch. Ich würde vorschlagen, dass Sie Ihre Erkenntnisse mit der ganzen Welt teilen.

Wenn Sie an diesem Punkt Ihrer Reise angelangt sind und sich mit echten Cyber-Bedrohungen befassen, sollten Sie teilen. Das Internet ist ein unheimlicher, gefährlicher Ort. Der einzige Weg, es zu schützen, ist als Gruppe. Es ist das Konzept der Herdenimmunität: Je mehr Menschen gegen ein Problem geimpft sind, desto geringer ist die Wahrscheinlichkeit, dass es sich ausbreitet.

Die Nachrichtendienstbranche hat die Konzepte Structure Threat Information eXpression (STIX) und Trusted Automated eXchange of Indicator Information (TAXII) entwickelt, um eine Standardnomenklatur und -taxonomie für die Übermittlung dieser Informationen zu schaffen. Wenn Sie Ihre Erkenntnisse an Ihre Kollegen weitergeben wollen, werden Sie diese Informationen höchstwahrscheinlich in den STIX- und TAXII-Feeds produzieren.

Bevor Sie diese Informationen freigeben, müssen Sie unbedingt Ihre Rechtsabteilung konsultieren. Sie können diese Informationen nicht einfach ins Internet stellen, ohne Faktoren wie Namensnennung, Haftung und Deckung durch die Regierung zu berücksichtigen. Vergewissern Sie sich, dass Sie kein geistiges Eigentum preisgeben, das es nur bei Ihnen gibt, und dass Sie über eine gute Informationsverwaltung verfügen, so dass Sie die Daten korrekt bereinigen und keine Kundendaten einspeisen.

Außerdem sollten Sie sich über die Art der Beziehung im Klaren sein, die Sie haben, wenn es um die gemeinsame Nutzung von CTI geht. Meiner Erfahrung nach ist der Austausch mit der US-Regierung in der Regel ein einseitiges Geschäft. Meistens geht etwas rein und es kommt nichts zurück. In einer kleineren Peer-Group sind Sie besser aufgehoben, denn dort ist es wahrscheinlicher als bei der Regierung, dass Sie nützliche Informationen erhalten.

Nun, da all diese Aufgaben erledigt sind, haben Sie Ihr KTI-Programm erstellt. Hut ab!

Die nächste Ausgabe unserer Serie wird die letzte sein, in der wir Ihnen die wichtigsten Erkenntnisse zum Aufbau Ihres KTI-Programms vermitteln.

Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand 935 vom 4. bis 8. März.