Unternehmensperspektive

Der Nutzen von Kontextinformationen: Effektivere Sicherheitsmaßnahmen dank umfassender Cyber Threat Intelligence

Damit die Sicherheitsteams von Unternehmen ihren im Verborgenen (und mit scheinbar unbegrenzten Ressourcen) agierenden Gegnern Paroli bieten können, müssen Sicherheitsmanager kontinuierlich alle Aspekte des Sicherheitsprogramms bewerten. Dabei sollten sie die Mitarbeiter, Prozesse und Technologien überprüfen und jede kritische Komponente für die Abwehr der raffiniertesten Angreifer optimieren. Doch worauf können sie sich bei der Entscheidungsfindung stützen? Und ist das hundertprozentig zuverlässig?

Cyber Threat Intelligence (CTI) ist eine unverzichtbare Komponente im Sicherheitsprogramm jedes Unternehmens. Richtig genutzte CTI kann zu fundierteren Sicherheits- und Geschäftsentscheidungen führen und Unternehmen sogar in die Lage versetzen, effektivere Maßnahmen zum Schutz ihrer Nutzer, Daten und ihrer Reputation vor Angreifern einzuleiten. Allerdings ist „Threat Intelligence“ (wie auch „Bedrohungsdaten“) ein ziemlich allgemeiner Begriff, der in der Cybersicherheits-Community nicht konsistent genutzt wird. 

Information und Intelligence

Daran sind hauptsächlich vereinfachte Darstellungen und der Missbrauch des Begriffs "Cyber Threat Intelligence" schuld. Sie machen es Managern mit Verantwortung für die Sicherheit mitunter schwer, das breite Spektrum an Angeboten zur Verbesserung der Effektivität von Sicherheitsmaßnahmen objektiv zu beurteilen. Im besten Fall erhalten Unternehmen echte „Intelligence“, anhand derer sie proaktiv die richtigen Entscheidungen treffen können. Doch im schlimmsten Fall erhalten sie „Informationen“, also Rohdaten, die ihnen kaum etwas nützen.

Cyber-Threat-Informationen sind …

Cyber-Threat-Intelligence ist …

  • Datenfeeds mit ungefilterten Rohdaten
  • zum Zeitpunkt der Bereitstellung noch nicht evaluiert worden
  • aus praktisch allen Quellen zusammengefasst
  • möglicherweise richtig, falsch, irreführend, unvollständig, relevant oder irrelevant
  • nicht praxistauglich
  • verarbeitet und sortiert
  • von qualifizierten Bedrohungsdatenanalysten evaluiert und analysiert worden
  • aus zuverlässigen Quellen zusammengestellt und für eine größere Genauigkeit untereinander abgeglichen worden
  • akkurat, aktuell, so vollständig wie möglich und auf ihre Relevanz geprüft
  • praxistauglich

Mit Threat-Informationen mehr alarmiert als informiert

Cyber-Threat-Informationen werden meist als Datenfeeds bezeichnet und können wie folgt kategorisiert werden:

  • Signatur- und Reputations-Feeds:Sie bestehen in der Regel aus Malware-Signaturen (Datei-Hash-Werten), URL-Reputationsdaten und Angriffsindikatoren, die in einigen Fällen mit einfachen statistischen Angaben angereichert sind.
  • Bedrohungs-Feeds: Sie enthalten möglicherweise einfache menschliche Analysen wie Statistiken zur Verbreitung, zu den Quellen und den Zielen der Malware und Angreifer.

Beide Arten von Feeds haben ihre Daseinsberechtigung. Signatur- und Reputations-Feeds eignen sich insbesondere zur Steigerung der Wirksamkeit von Next-Generation-Firewalls (NGFW), Intrusion-Prevention-Systemen (IPS), Secure Web Gateways (SWG), Lösungen zum Schutz vor Malware und Spam und anderen konventionellen Abwehrtechnologien. Bedrohungsdaten-Feeds sind hilfreich für SOC- und IR-Teams, da diese daraus ganze Angriffsmuster (und nicht nur einzelne Gefahrenindikatoren) ableiten können. Eventuell sind die in ihnen enthaltenen Daten auch bei der Wiederherstellung betroffener Systeme nützlich.

E-BOOK: Der Nutzen von Cyber Threat Intelligence

Grenzen

Ein wichtiger Nachteil von Datenfeeds ist, dass sie auf Informationen aus Angriffen beruhen, die bereits stattgefunden haben.  Sie können also bei der Abwehr groß angelegter Angriffe mit bereits bekannten Methoden nützlich sein, doch sind meistens nutzlos gegen neue oder gezielte Angriffe, für die noch keine Signatur erstellt wurde. Verfügbare Analysen wurden in der Regel rückblickend durchgeführt und enthalten oft weder Informationen noch Kontext zu derzeit laufenden Angriffsvorbereitungen oder neuen Angriffstaktiken.

Zudem lassen sich Datenfeeds nicht problemlos exportieren oder beurteilen und die Qualität der in ihnen enthaltenen Informationen hängt stark von den Fähigkeiten, den Quellen und den Analysekapazitäten des Anbieters ab. Ohne Kontextdaten erhalten die Sicherheitsteams von Unternehmen möglicherweise Tausende von Warnmeldungen pro Tag, die sie natürlich nicht alle gründlich untersuchen können. All das führt dazu, dass sie nicht über die Reaktion auf Vorfälle hinauskommen.

Der Nutzen umfassender Cyber Threat Intelligence

Cyber Threat Intelligence (CTI) enthält häufig Signatur- und Reputations-Feeds sowie Bedrohungs-Feeds, geht aber in nahezu allen wichtigen Punkten darüber hinaus. Die Erstellung von CTI erfordert typischerweise:

  • Kontinuierliche, weltweite Datenerfassung, sowohl durch Menschen als auch durch Technologie
  • Bereitstellung von reichhaltigen, angreiferbezogenen und vorausschauenden Kontextinformationen
  • Anpassung für individuelle Unternehmen

Umfassende CTI versetzt die Sicherheitsverantwortlichen in Unternehmen in die Lage, proaktiv Maßnahmen zu ergreifen und sich auf zukünftige Bedrohungen und Hackerangriffe vorzubereiten, statt nur auf Bedrohungen zu reagieren, die bereits Schlagzeilen gemacht haben. Wenn Sicherheitsprofis nicht alle Risiken und alle ihnen zur Verfügung stehenden Optionen kennen und in Betracht ziehen, können sie unmöglich die besten Sicherheitsentscheidungen für ihr Unternehmen treffen. 

Einige Vorteile von Cyber Threat Intelligence:

  • Wertvolle Einblicke und Kontextinformationen: Sie enthalten detaillierte Informationen über die Bedrohungen, die für ein bestimmtes Unternehmen oder eine Branche wahrscheinlich relevant sind, und Gefahrenindikatoren, anhand derer sie erkannt und vermieden werden können.
  • Schnellere Reaktion auf Vorfälle: Sie erleichtern die Priorisierung von Warnmeldungen und damit die schnellere Reaktion auf echte Bedrohungen und die Schadensbegrenzung.
  • Bessere Kommunikation, Planung und Investitionen: Die Sicherheitsteams können ihre Kollegen in anderen Abteilungen über die relevanten Risiken informieren und ihre Ressourcen, Planung und zusätzliche Investitionen zum Schutz der am meisten gefährdeten Ressourcen vor tatsächlichen Bedrohungen einsetzen.

CTI minimiert nicht nur das Risiko kostspieliger Sicherheitsverletzungen, sondern hilft Unternehmen auch, ihre Sicherheitsausgaben an den Anforderungen und potenziellen Gefahren für das Unternehmen auszurichten.

Die Optionen im Überblick

Wenn den Entscheidungsträgern im Unternehmen klar ist, wonach sie suchen, wird es ihnen leichter fallen, die spezifischen Intelligence-Angebote verschiedener Anbieter sowie deren Vor- und Nachteile für das eigene Unternehmen zu beurteilen.

Echte Cyber Threat Intelligence stellt Kontextinformationen über die entscheidenden Bedrohungen bereit und erleichtert Unternehmen so die Verbesserung ihres Sicherheitsniveaus. Doch um im vollen Umfang von CTI zu profitieren, müssen die Entscheidungsträger sich vor einer Kaufentscheidung Klarheit darüber verschaffen, welcher potenzielle Nutzen und welche Herausforderungen von jeder der zur Auswahl stehenden Lösungen zu erwarten sind. 

Signatur-, Reputations- und Bedrohungs-Feeds können die Wirksamkeit von Blockiertechnologien verbessern, doch die in ihnen enthaltenen Informationen sind historischer Natur und nicht wirklich zur Erkennung neuer oder gezielter Angriffe geeignet. Umfassende CTI kombiniert eine Reihe technologiebasierter und menschlicher Datenquellen und generiert Informationen, die für die strategischen, administrativen und technischen Aspekte des Risikomanagements genutzt werden können.

Laden Sie unser E-Book The Value of Context (Der Nutzen von Kontextinformationen) herunter, um sich ausführlicher über die Vorteile echter Cyber Threat Intelligence zu informieren. Empfehlungen zur Verbesserung Ihres Sicherheitsniveaus finden Sie auf unserer Webseite zum Thema Intelligence.