Threat Intelligence für Sie: Herausforderungen und Vorteile

Anmerkung der Redaktion: Bedrohungsdaten. Seit Jahren ist dies eines der meistdiskutierten Themen im Bereich der Cybersicherheit. Aber was bedeutet es für Sie, und was kann es für Ihr Unternehmen bedeuten?

In dieser Blogserie Threat Intelligence for You befragen wir Vordenker des Cyber Resilience Think Tank nach ihren Gedanken zu Threat Intelligence, ihrer Definition und ihrem Platz in der heutigen Unternehmenslandschaft.

Diese Woche haben wir Teil 1 eines Gesprächs mit Gary Hayslip , Vizepräsident und Chief Information Security Officer von Webroot, einem Anbieter von Internetsicherheit für Privatpersonen und Unternehmen mit Sitz in Broomfield, Colo. und Dublin, Irland.

Weitere Informationen finden Sie im neuesten E-Book des Cyber Resilience Think Tank, Threat Intelligence: Weit hergeholte Idee oder unverzichtbare Sicherheitstaktik? Wie jeder CISO sie zu einer Priorität machen kann .

Was ist "Threat Intelligence? (Cyber Threat Intelligence)"

Diese erste Frage mag einfach erscheinen, aber ich habe festgestellt, dass viele Unternehmen Cyber Threat Intelligence (CTI) und ihren Wert nicht wirklich verstehen. CTI ist eine Sammlung oder Gruppierung von Informationen, die aus menschlichen, elektronischen, internen und externen Quellen des Unternehmens stammen. Diese Informationen werden in der Regel in irgendeiner Form ausgewertet, um ihre Gültigkeit zu überprüfen, und dienen dazu, den Kontext für die Bedingungen zu liefern, die für eine Bedrohung erforderlich sind, um eine Schwachstelle auszunutzen, und um festzustellen, ob die Bedrohung aktiv von Bedrohungsakteuren genutzt wird.

Gartner definiert Threat Intelligence als "evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und handlungsorientierter Ratschläge über eine bestehende oder aufkommende Bedrohung oder Gefahr für Vermögenswerte".

Für diejenigen, die sich noch nicht mit KTI befasst haben, bedeutet dies, dass Ihre Organisation Mängel aufweisen sollte, auf die diese Informationen zutreffen, damit die Bedrohungsdaten auf Ihre Organisation anwendbar sind (d. h. um "Kontext" zu haben). Beispiele für Schwachstellen sind solche Themen:

• Unausgereifte Sicherheitskontrollen
• Ungepatchte oder falsch konfigurierte Hardware-/Software-Ressourcen
• Nicht dokumentierte Geschäftsprozesse

Diese Mängel sind im Grunde genommen Schwachstellen, die gezielt ausgenutzt werden können, und wie viele von Ihnen sicher wissen, gibt es in jedem Unternehmen und seinen Netzen Schwachstellen. Es liegt in der Verantwortung des CISO, diese Probleme zu verstehen, einen Überblick über das Risiko zu haben, das sie für das Unternehmen darstellen, und durch den Einsatz strategischer Dienste wie CTI Prioritäten zu setzen, was zuerst behoben werden muss.

Wie haben sich die Erkenntnisse über Cyber-Bedrohungen in den letzten fünf Jahren entwickelt?

In den letzten fünf Jahren sind künstliche Intelligenz (KI) und maschinelles Lernen (ML) als Kernkomponenten für verschiedene Sicherheitsprodukte herangereift, was zu einer Verlagerung von der Erstellung schwarzer Listen für IP-Adressen zur Erstellung schwarzer Listen für das Verhalten von Datenpaketen führt, während diese live auf der Leitung unterwegs sind. Mit dem Aufkommen der Cloud und der Möglichkeit, diese für billige Rechen- und Speicherkapazitäten zu nutzen - und dann in Verbindung mit KI und ML - können Sie jetzt tiefgreifende Datenanalysen und Trendanalysen fast in Echtzeit durchführen, wodurch Bedrohungsdaten real und kontextbezogen werden.

Es handelt sich um Daten, die für Technologien und Probleme in Ihrem Unternehmen genutzt werden können. Im Wesentlichen handelt es sich nicht mehr um eine breite Datenflut, sondern um einen fein abgestimmten Datenstrom, der speziell auf Ihr Unternehmen zugeschnitten werden kann.

Um nun die Frage zu beantworten, ob die Unternehmen in der Lage sind, die Daten zu nutzen und anzuwenden, würde ich sagen, dass viele KMUs dies nicht tun, sie versuchen, grundlegende Hygienemaßnahmen durchzuführen, und dies wäre für sie eine ausgereiftere Sicherheitskontrolle. Dies wäre eine Dienstleistung, die sie über ihren MSP oder MSSP in Auftrag geben könnten.

Schutz vor Cyber-Bedrohungen ist eine Taktik, ist Bedrohungsanalyse auch eine Taktik?

Ich würde sagen, ja. Für mich ist der Einsatz von CTI ein ausgereifter Prozess, der CISOs und Sicherheitsteams dabei unterstützt, ihre Sicherheitskontrollen besser einzusetzen und Prioritäten zu setzen, welche spezifischen Schwachstellen zuerst beseitigt werden sollten. Ohne CTI werden Sie mehr Ressourcen und Zeit aufwenden und Probleme übersehen, die Ihr Unternehmen einem geschäftsrelevanten Risiko aussetzen.

Welche Rolle spielt Cyber Threat Intelligence für die Sicherheitsfunktion eines Unternehmens?

Ich betrachte es als eine Verbesserung der Sicherheitskontrolle. Durch den Einsatz von CTI kann ich meine Mitarbeiter in der Reaktion auf Vorfälle schulen, die sich auf unsere Infrastruktur, unsere Dienste und unser Anwendungsportfolio beziehen. Außerdem kann ich begrenzte Ressourcen besser nutzen, indem ich sie auf unausgereifte Probleme mit hohem Risiko konzentriere, und ich kann CTI nutzen, um meine Führungskräfte zu schulen und ihnen einen Überblick über unsere aktuelle Risikobasis und die Angreifer zu geben, die unseren Betrieb stören könnten.

Was sind die größten Herausforderungen bei der Aufklärung von Cyber-Bedrohungen für kleine und mittelständische Unternehmen?

Personal, Budget und Fachwissen/Fähigkeiten. All diese Faktoren werden auf die eine oder andere Weise eine Rolle spielen. Organisationen können CTI kostenlos über Organisationen für den Informationsaustausch erhalten, aber kontextbezogene Echtzeit-CTI ist in der Regel ein kostenpflichtiger Service, so dass es Budgetprobleme gibt. Wenn Sie die Mittel für diese Art von CTI aufbringen können, haben Sie das Problem, dass Sie über Mitarbeiter verfügen müssen, die den strategischen Wert dieser Daten verstehen und wissen, wie sie zur Wertschöpfung eingesetzt werden können. Für schlanke Unternehmen würde ich vorschlagen, zunächst nur die CTI-Feeds innerhalb der Next-Gen-Firewall und der EDR-Lösung (Endpoint Detection and Response) zu aktivieren.

Diese können automatisiert werden und dienen lediglich als Basisabdeckung. Später, wenn das Unternehmen und sein Sicherheitsprogramm ausgereift sind, werden weitere Initiativen geprüft, bei denen diese Informationen zum Schutz des Unternehmens und seiner Geschäftsabläufe genutzt werden können.

Wie können Unternehmen trotz dieser Herausforderungen das nutzen, was ihnen bereits zur Verfügung steht (z. B. historische Vorfälle, Datenmuster usw.), um umsetzbare Bedrohungsdaten zu erhalten?

Interne Bedrohungsdaten sind Informationen, die bereits im Unternehmen vorhanden sind. Es handelt sich um Informationen, die den Sicherheits- und Betriebsteams eines Unternehmens aus früheren Erfahrungen mit Schwachstellen, Malware-Vorfällen und Datenschutzverletzungen vorliegen. Wenn diese Informationen ordnungsgemäß dokumentiert sind, können sie dem Unternehmen aussagekräftige Informationen darüber liefern, wie seine Unternehmensnetzwerke kompromittiert wurden und ob es wiederkehrende Methoden gab, die gegen das eingesetzte Sicherheitsprogramm wirkten.

Diese Informationen werden in den meisten Unternehmen wahrscheinlich in einer Art von Protokollverwaltungssystem oder SIEM-Plattform gesammelt. Wenn diese Informationen über Vorfälle gesammelt und verwendet werden können, um eine Historie der Cyberangriffspfade, Malware , Schwachstellen usw. zu dokumentieren, kann dies einen unschätzbaren Einblick in Sicherheitslücken geben, die behoben werden können, oder dem Unternehmen helfen, Geschäftsprozesse oder veraltete Probleme zu identifizieren, die behoben werden müssen, um weitere Kompromisse zu verhindern.