Vier Schritte für den effektiven Einsatz von Bedrohungsdaten

Mit aussagekräftigen Bedrohungsdaten können sich staatliche Organe und Regierungsstellen vor Cybersicherheitsbedrohungen schützen. Daher sind sie sehr an der Implementierung entsprechender Sicherheitsprogramme interessiert. Damit ein solches Programm effektiv ist, müssen die Verantwortlichen sich jedoch zunächst im Klaren darüber sein, welche Bedrohungsdaten für sie „aussagekräftig“ sind.

Eine Methode ist die Differenzierung zwischen Daten und Bedrohungsdaten. In Behörden werden heutzutage riesige Mengen an Daten generiert, LEAVE OUT.

doch nicht alle Daten sind nützlich. Die Daten müssen zuerst analysiert werden, um aussagekräftige Erkenntnisse zu finden, die dann als Bedrohungsdaten dienen. Aussagekräftige Bedrohungsdaten liefern also Erkenntnisse, die nützlich, aktuell und präzise sind.

Effektive, auf Bedrohungsdaten gestützte Sicherheitsprogramme extrahieren diese Erkenntnisse und stellen sie den Führungskräften der Behörde für das Risikomanagement zur Verfügung. Diese vier Schritte sind dabei entscheidend:

Ermittlung der schützenswerten Ressourcen

Ein effektives Cybersicherheitsprogramm kann nur entwickelt werden, wenn den Verantwortlichen bewusst ist, was auf dem Spiel steht. Sie müssen zuerst festlegen, welche Ressourcen geschützt werden müssen. Was würde ein Hacker stehlen oder zerstören? In einigen Fällen sind es Kreditkartendaten, in anderen Personalakten der Mitarbeiter, Patientenakten oder geistiges Eigentum. Manchmal ist es auch eine Kombination aus diversen Datentypen.

Wenn die Behörden ermittelt haben, welche Daten am wertvollsten sind und welche Folgen der Diebstahl oder die Zerstörung dieser Daten haben würde, können sie die Risiken einschätzen.

Identifizierung der Angreifer

Sind die gefährdeten Daten bekannt, können auch die potenziellen Angreifer und ihre Methoden einfacher kategorisiert werden. Anders gesagt: Wenn die Behörden wissen, welche Daten für Angreifer vermutlich interessant sind, können sie besser herausfinden, wer sich wahrscheinlich dafür interessiert.

Hacker haben unterschiedliche Ziele und setzen daher auch verschiedene Tools und TTP (Taktiken, Techniken und Prozesse) ein, um sich Zugriff auf die anvisierten Unternehmensinformationen zu verschaffen. Nachdem die Behörden die gefährdeten Daten und die Folgen eines Angriffs ermittelt haben, kommen die Bedrohungsdaten ins Spiel.

Abgleich von Bedrohungsdaten & Risikomanagement

Cyberbedrohungsdaten sind am effizientesten, wenn sich die Behörden auf die wahrscheinlichsten Angreifer und deren Vorgehensweise konzentrieren. Es ist schlicht nicht möglich, alle Daten vor allen potenziellen Bedrohungen zu schützen. Stattdessen sollten die Behörden auf ein strategisches Risikomanagement setzen. Mithilfe von Bedrohungsdaten können sie im Idealfall mit denselben Ressourcen mehr Bedrohungen und die schwerwiegendsten Angriffe abwehren.

Ein Sicherheitsprogramm unterstützt dieses Ziel am besten, wenn es auf die anfälligsten Daten sowie die am wahrscheinlichsten eingesetzten Tools und Techniken ausgerichtet sind.

Behörden, die von der Anzahl der Aktivitäten überfordert sind, könnten mithilfe von Bedrohungsdaten beispielweise die Bedrohungen identifizieren, die ihnen den größten Schaden zufügen würden, und diese dann zuerst angehen. Ein Datendiebstahl würde beispielsweise sicher Probleme verursachen, aber im Vergleich zu einem Angriff einer staatlich gesponserten Hackergruppe würde er vermutlich wie eine Bagatelle wirken. Ein uns bekanntes Finanzinstitut hat aufgrund der neuesten geopolitischen Entwicklungen proaktiv Schritte ergriffen, um sich vor einem Angriff iranischer Hackergruppen zu schützen. Die Entscheidung, sich auf diese Bedrohung zu konzentrieren, basierte auf dem bekannten Risiko, das iranische Hacker darstellen, und die ergriffenen Maßnahmen binden die spezifischen Bedrohungsdaten zu den TTP dieser Angreifer ein.

Aufschlüsselung der Abläufe und Einsatzbereiche

Wenn das strategische Risikomanagement durch Cyberbedrohungsdaten unterstützt wird, profitiert davon die gesamte Behörde. Aussagekräftige Bedrohungsdaten sollten taktische und strategische Entscheidungen auf allen Ebenen fördern.

Wissen die Behörden, welche Bedrohungen den Betrieb erheblich stören würden, können sie fundierte Entscheidungen zu den Prozessen, Tools und Mitarbeitern treffen, um diese Angriffe abzuwehren.

Mit umfassenden und aktuellen Bedrohungsdaten können die Behörden die Indikatoren und TTP in ihre Sensoren einbinden und die Systembereiche gezielt stärken, an denen die Hacker vermutlich ansetzen werden.

Aussagekräftige Bedrohungsdaten sollten also von den Sicherheitsteams genutzt werden können, um die für die Behörde gefährlichsten Angreifer abzuwehren. Dazu sollten die Behörden ihre Ziele unter Berücksichtigung der Bedrohungsdaten abstecken

und insbesondere die Verantwortlichen ermitteln, die für den Einsatz der Cyberbedrohungsdaten erforderlich sind. In den meisten Behörden gehören dazu der zuständige Minister bzw. die Führungsriege und diverse andere Beteiligte auf den unterschiedlichen Ebenen bis zum SOC, CERT und Incident-Response-Team.

Im nächsten Schritt werden die Anforderungen und Erwartungen bestimmt, um die Ziele des Sicherheitsprogramms festzulegen. Diese Informationen müssen mit den Bedrohungen abgeglichen werden, um die aktuellen Quellen für Bedrohungsdaten zu überprüfen und Lücken zu identifizieren.

Außerdem können sie ermitteln, welche dieser Quellen von Maschinen ausgelesen werden können, bei welchen sich die Integration und Automatisierung lohnt und welche Aufgaben weiterhin von Mitarbeitern erledigt werden müssen.

Mit einer solchen systematischen Überprüfung der Tools und der Mitarbeiter senken die Behörden ihr Risikoprofil und steigern die Effizienz, da sich das gesamte Team auf die wichtigsten Aspekte der Cybersicherheit konzentriert.

Auf der FireEye-Website finden Sie weitere Informationen zu Tools für Cyberrisikoanalysen und Incident-Response-Maßnahmen für Ihre Cybersicherheitsstrategie. Ich wurde auch kürzlich im Federal News Radio im Rahmen der Carahsoft-Reihe „Innovation in Government“ interviewt. Eine Aufzeichnung des Interviews mit weiteren Informationen über Cyberbedrohungsdaten ist zum Nachhören verfügbar.