Bedrohungsdaten für die 99 Prozent - Teil 8: Abschließende Überlegungen & Denkanstöße

Willkommen zur 8. und letzten Ausgabe unserer Blogserie Threat Intelligence für die 99 % . Wir haben das Ende dieser Blogserie erreicht, aber wir hoffen, dass Ihr Weg zum Schutz, zur Erkennung und zur Abwehr von Bedrohungen gerade erst beginnt.

Zum Abschluss dieser Serie möchten wir Ihnen sechs wichtige Erkenntnisse mit auf den Weg geben. Behalten Sie diese Lektionen im Hinterkopf, wenn Sie Ihr Cyber Threat Intelligence (CTI) Programm aufbauen. Denken Sie daran, dass Sie dies nicht nur tun, um ein Kästchen anzukreuzen. Sie tun dies, weil Sie die beste Sicherheitsumgebung für Ihr Unternehmen schaffen wollen.

Hier sind die sechs wichtigsten Informationen für Sie:

Wählen Sie Ihre Bedrohungsdaten mit Bedacht aus.

Bei der Auswahl der richtigen cyber threat intelligence feeds für Ihr Programm gibt es eine Menge zu beachten. Vieles hängt davon ab, was Sie mit Ihrem Programm erreichen wollen und welche Feeds den größten Nutzen bringen.

Erhalten Sie Artikel wie diesen jede Woche in Ihren Posteingang. Abonnieren Sie noch heute Cyber Resilience Insights.

Sie können zwischen kostenlosen und kostenpflichtigen Feeds wählen. Die kostenlosen könnten für Sie geeignet sein, aber stellen Sie sich darauf ein, dass sie hinter den bezahlten Feeds zurückbleiben. Außerdem werden die Feeds der gemeinnützigen Organisationen manchmal monatelang nicht aktualisiert, so dass sie ständig überprüft werden müssen.

Bezahlte Feeds können großartig sein, aber Sie sollten wissen, was Sie für Ihr Geld bekommen, und ein Gefühl dafür haben, was Sie wirklich für Ihre Organisation brauchen.

Sie werden neue Kenntnisse im Bereich der Cybersicherheit benötigen.

Für Sicherheitsexperten sind für eine umfassende CTI Fähigkeiten erforderlich, die vielleicht nicht zu ihrem Hintergrund gehören. Coding ist hier das große Thema, denn Sie brauchen diese Fähigkeit, um Ihre Daten so anzureichern, dass sie zu verwertbaren Informationen werden können.

Das Verständnis von Datenbankkonzepten ist ebenfalls eine wichtige Voraussetzung für den Einsatz von Anreicherungswerkzeugen, da Sie Datenstrukturen entwerfen müssen, die aussagekräftig genug sind, um die erhaltenen Bedrohungsdaten zu verarbeiten.

Überprüfen Sie ständig Ihre Arbeit.

Seien Sie bereit, Ihre Arbeit ständig zu überprüfen, zu hinterfragen und zu bewerten. Sie müssen viel Mühe und Energie darauf verwenden, die Wirksamkeit der von Ihnen zur Informationsbeschaffung verwendeten Quellen und Instrumente zu überprüfen. Andernfalls laufen Sie Gefahr, Ihre Erkenntnisse auf veraltete, überholte oder schlichtweg falsche Informationen zu stützen. Das ist das Letzte, was Sie tun wollen.

Verfügen Sie über einen soliden, klaren Information-Governance-Prozess , der Sie bei der Arbeit mit Ihren Daten anleitet. So sind Sie auf alles vorbereitet, was bei der KTI-Arbeit auf Sie zukommt.

Verfolgen Sie einen präventiven und detektivischen Ansatz.

Durch die Integration Ihrer CTI-Systeme und -Daten in Ihr bestehendes System (einschließlich, aber nicht beschränkt auf Ihre Firewall, Ihren Web-Proxy, die Verwaltung der Dateiintegrität usw.) verfolgen Sie einen präventiven und detektivischen Ansatz für CTI, der dazu beiträgt, Ihre Umgebung sicherer zu machen.

Ebenso müssen Sie sich die Zeit nehmen, Ihr Sicherheitsinformations- und Ereignisverwaltungssystem zu integrieren. Es ist Ihr Sicherheitssystem der Aufzeichnungen, und betrachten Sie es als Ihren "Kanarienvogel", der Sie über die Bedrohungen informiert, mit denen Sie bereits konfrontiert waren, und über solche, die möglicherweise gerade in Ihrem System lauern.

Berichten Sie über Ihren Erfolg.

Wenn Sie Ihrem Unternehmen keine Berichte über den Erfolg Ihres Programms vorlegen, wird Ihr Programm keinen Bestand haben. Denn die Personen, die die Budgetentscheidungen treffen, werden feststellen, dass Ihr Programm es nicht wert ist, beibehalten zu werden.

Wählen Sie nicht mehr als ein bis drei Kennzahlen, die Sie im Rahmen Ihrer Berichterstattung an die Geschäftsleitung bereitstellen, und ich würde behaupten, dass Sie sich vor allem auf die "Feed-to-Action-Time" konzentrieren sollten. Sie gibt an, wie lange es dauert, bis ein Indikator in Ihrem Feed in verwertbare Informationen umgewandelt wird. Je kürzer, desto besser.

Teilen Sie, was Sie finden.

Das Internet ist immer noch der Wilde Westen. Es ist gefährlich, und es gibt immer noch keine Polizeifunktion. Ob Sie es nun Vigilantismus oder Nachbarschaftswache nennen wollen, wir müssen uns gegenseitig schützen, und das können wir nur durch Austausch erreichen.

Austausch von Informationen kann über ein formelles Programm wie die Zentren für Informationsaustausch und -analyse oder über regionale, kleinere Austauschfunktionen erfolgen, aber Sie müssen sich daran beteiligen, denn irgendwann lernen Sie vielleicht mehr von Ihren Kollegen als von Ihren Feeds.

Jetzt ist es an der Zeit, Ihr KTI-Programm zu starten. Viel Glück!

Hier sind die Links zu den anderen sieben Beiträgen dieser Serie:

Teil 1: Erläuterung der Problematik

Teil 2: Warum ist KTI wichtig?

Teil 3: Wann wird die KTI benötigt?

Teil 4: Welchen KTI-Ansatz verfolgen Sie?

Teil 5: Bauen Sie Ihr eigenes - CTI Feeds

Teil 6: Bauen Sie Ihre eigenen CTI-Tools

Teil 7: Bauen Sie Ihr eigenes - Zusammennähen

Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand 935 vom 4. bis 8. März.