Threat Intelligence für Sie 5 Wege, den Wert zu beweisen

Anmerkung des Herausgebers: Im Rahmen einer fortlaufenden Serie, Threat Intelligence for You, befragen wir Vordenker des Cyber Resilience Think Tank zu ihren Gedanken über Threat Intelligence, wie sie diese definieren und welchen Platz sie in der heutigen Unternehmenslandschaft einnimmt.

Diese Woche haben wir Teil 2 eines Gesprächs mit Gary Hayslip , Vizepräsident und Chief Information Security Officer von Webroot, einem Anbieter von Internetsicherheit für Privatpersonen und Unternehmen mit Sitz in Broomfield, Colo. und Dublin, Irland. Hier ist Teil 1, falls Sie ihn verpasst haben .

Weitere Informationen finden Sie im neuesten E-Book des Cyber Resilience Think Tank, Threat Intelligence: Weit hergeholte Idee oder unverzichtbare Sicherheitstaktik? Wie jeder CISO sie zu einer Priorität machen kann .

Warum neigen Unternehmen dazu, Informationen über Bedrohungsdaten zurückzuhalten? Was sind die Folgen der Nichtweitergabe und die Vorteile der Weitergabe?

Ich glaube, es ist die Angst vor der Weitergabe sensibler Informationen, die zu rechtlichen oder behördlichen Sanktionen gegen die Organisation führen können. Es liegt auch daran, dass der Ruf der Organisation geschädigt wird und sie zugeben muss, dass es einen Vorfall gab und sie nun die Folgen bewältigen muss.

Die Folgen des Nichtteilens von Informationen sind, dass man in der Regel nicht das einzige Unternehmen ist, das ins Visier genommen wurde. Ich habe im Laufe der Jahre gesehen, dass weite Teile von Unternehmen in bestimmten Branchen gemeinsam ins Visier genommen werden, und wenn niemand Informationen austauscht, wie kann sich die Branche dann schützen und als Gemeinschaft besser werden?

Die Vorteile liegen darin, dass die Informationen, die anonym weitergegeben werden können, der Organisation helfen, sich zu schützen und im Falle von Zwischenfällen besser gewappnet zu sein.

Verlassen sich Unternehmen bei der Aufklärung von Cyber-Bedrohungen eher auf externe Sicherheitsanbieter? Was sind die Vor- und Nachteile, wenn man sich auf einen Sicherheitsanbieter verlässt, um diese Aufgabe zu erfüllen?

Die meisten Unternehmen, die reif genug für die Nutzung von Cyber-Bedrohungsdaten sind, nutzen mehrere Quellen. Es gibt keine einzige Quelle, die alles enthält, was ein Unternehmen braucht. Entscheidend ist, dass man über mehrere gute Quellen verfügt und in der Lage ist, sie zusammenzufassen und in das Sicherheitssystem des Unternehmens zu integrieren.

Einer der Nachteile ist, dass die Bedrohungsdaten möglicherweise nur auf ein bestimmtes Produkt, einen bestimmten Dienst, eine bestimmte Branche usw. ausgerichtet sind und in einem proprietären Format vorliegen. Der Vorteil ist, dass die CTI in der Regel aktuell und spezifisch für die Technologien sind, die Sie in Ihrem Sicherheitssystem einsetzen.

Was sind die Vor- und Nachteile der internen Durchführung von Bedrohungsanalysen?

Vorteile: Die Daten sind kontextbezogen und beziehen sich auf Probleme, die Sie schon einmal hatten, d. h. Ihre Mitarbeiter sind mit ihnen vertraut.

Nachteile: Sie sind möglicherweise nicht mehr aktuell, da es sich um Daten aus der Vergangenheit handelt, und wenn Sie Technologien geändert und bestimmte Sicherheitslösungen aktualisiert haben, gelten sie möglicherweise nicht mehr für das Unternehmen.

Welche Schritte können schlanke Unternehmen unternehmen, um den Übergang von der Bedrohungsanalyse durch einen Sicherheitsanbieter zu einer internen Lösung zu vollziehen?

Sie gehören zu einer Organisation für den Informationsaustausch, von denen viele branchenspezifisch sind. Ein Beispiel ist das Financial Services Information Sharing and Analysis Center , auch bekannt als FS-ISAC. Dabei handelt es sich um ein Branchenforum für die Zusammenarbeit bei kritischen Sicherheitsbedrohungen, das vom Finanzdienstleistungssektor genutzt wird. Als Mitglied eines solchen Kooperationsforums könnte der CISO Warnungen zu aktuellen Sicherheitsproblemen erhalten, Zugang zu aktuellen Weißbüchern über Bedrohungen haben und mit Kollegen über bewährte Verfahren zur Behebung erkannter Probleme sprechen.

Was sind fünf Schritte, die kleine bis mittlere Unternehmen unternehmen können, um den Wert von Bedrohungsdaten mit einem geringen (oder gar keinem) Budget oder Ressourceneinsatz zu beweisen?

1. Führen Sie eine Bestandsaufnahme aller Hardware-, Software-, Cloud-Dienste und Datentypen durch, um besser zu verstehen, welche davon für die Aufrechterhaltung des Geschäftsbetriebs erforderlich sind. Verwenden Sie diese nach Prioritäten geordnete Liste, um ein Data-Governance-Programm einzurichten, Prioritäten zu setzen, welche Schwachstellen zuerst behoben werden müssen, und Ihre Teams für die Reaktion auf Vorfälle und die Geschäftskontinuität zu bilden bzw. zu schulen, wobei der Schwerpunkt auf den Punkten in Ihrer nach Prioritäten geordneten Liste liegt.
2. Beginnen Sie mit der Pflege einer Datenbank für interne Vorfälle, von Phishing-E-Mails bis hin zu Malware-Infektionen. Halten Sie diese Datenbank auf dem neuesten Stand. Im Laufe der Zeit kann der CISO sie zur Analyse nutzen, um zu sehen, welche Probleme häufig auftreten, um sein Sicherheitspaket zu verbessern und die Schulung der Mitarbeiter zu verbessern, damit sie besser auf Sicherheitsvorfälle vorbereitet sind.
3. Einige Unternehmen können in Branchen tätig sein, die als kritisch eingestuft sind. Mit dieser Einstufung können CISOs Zugang zu Bedrohungsdaten und Sicherheitsdiensten beantragen, die normalerweise für öffentliche Unternehmen nicht verfügbar sind - . Weitere Informationen finden Sie unter DHS Enhanced Cybersecurity Services (ECS).
4. Verwenden Sie Open-Source-CTI, die für Ihre Branche und Ihr Technologieportfolio spezifisch sind, in dem Bewusstsein, dass sie vielleicht nicht aktuell sind, aber zumindest einen Anfang darstellen.
5. Aktivieren Sie einige der grundlegenden CTI-Feeds/Dienste innerhalb Ihres Sicherheits-Stacks. Führen Sie ein Protokoll über alle Malware und Bedrohungen, die blockiert bzw. beseitigt wurden, damit Sie im Laufe der Zeit die Menge des entfernten schädlichen Datenverkehrs und die Arten von Malware, die zur Bekämpfung des Unternehmens verwendet werden, aufzeigen können.