Lösungen und Services

Ein Überblick über rollenbasierte Bedrohungsdaten

Cyber Threat Intelligence (CTI) soll Antworten auf kritische Fragen geben und Cybersicherheitsexperten müssen wichtige Entscheidungen auf Grundlage der besten verfügbaren Informationen treffen. Die CTI-Services stellen allen Verantwortlichen die notwendigen Daten bereit, damit fundierte Entscheidungen getroffen und die Risiken für das Unternehmen minimiert werden können. So einfach ist das. Warum ist es dann so schwierig, Lösungen und Services mit Bedrohungsdaten zu entwickeln, die tatsächlich bei der Entscheidungsfindung und der Risikominimierung helfen?

Aus meiner Zusammenarbeit mit Dutzenden internationalen Unternehmen bin ich zu dem Schluss gekommen, dass einige der Probleme technischer Art sind. Zum einen gibt es oft zu wenig Mitarbeiter für das Bedrohungsmanagement oder sie sind nicht ausreichend geschult. Zum anderen haben Unternehmen Schwierigkeiten mit den programmatischen Prozessen. Nur selten finden Unternehmen das perfekte Gleichgewicht aus Personen, Prozessen und Technologie – und selbst dann ist es schwierig, Bedrohungsdaten-Services bereitzustellen, mit denen bessere Entscheidungen getroffen und Risiken im gesamten Unternehmen reduziert werden können. Sehen wir uns einmal die Gründe dafür an.

Wie bereits erwähnt sollen Bedrohungsdaten Antworten auf unsere Fragen liefern und dadurch die Entscheidungsfindung vereinfachen. Es ist wichtig, die jeweilige Zielgruppe zu berücksichtigen, da jede Gruppe Bedrohungsdaten auf eigene Weise nutzt. Das Ziel eines zuverlässigen Programms für die Nutzung von Bedrohungsdaten ist es, den Verantwortlichen nachvollziehbare und praxistaugliche Bedrohungsdaten in einem Format und einer Sprache bereitzustellen, die sie verstehen, damit sie fundierte Entscheidungen treffen können. Klingt eigentlich ganz einfach. Doch selbst in Unternehmen, die das Konzept verstanden haben, erfüllen die Lösungen und Services für Bedrohungsdaten oft nicht die Anforderungen der Endanwender. Mit rollenbasierten Bedrohungsdaten lässt sich dieses Problem lösen.

Unternehmen brauchen drei Arten von Bedrohungsdaten: für strategische (Strategic Intelligence), operative (Operational Intelligence) und taktische Zwecke (Tactical Intelligence). Wenn Sie wissen, welche Zielgruppe welche Art von Bedrohungsdaten benötigt, und diese dann zeitnah und in einem praxistauglichen Format bereitstellen können, bieten Sie nicht nur einfach Bedrohungsdaten, sondern entwickeln sich zu einem Unternehmen, das sich bei wichtigen Entscheidungen auf diese Daten verlassen kann.


Zusammenhänge bei rollenbasierten Bedrohungsdaten

Strategic Intelligence: Trends bei Cyberbedrohungen

Strategic Intelligence bietet einen allgemeinen Überblick über die Bedrohungen, die für ein Unternehmen relevant sind. Sie ermöglicht sozusagen einen Blick über den Tellerrand hinaus. Diese Daten enthalten Einschätzungen zu neuen Bedrohungen und zu aktuellen Bedrohungen, die sich im Laufe der Zeit verändern könnten. Es wird eine langfristige Prognose für die Bedrohungslage abgegeben, damit der zukünftige Sicherheitsstatus des Unternehmens angepasst werden kann und die Gefahr durch diese Bedrohungen minimiert wird.

Diese Daten kann prinzipiell jeder nutzen, der im Unternehmen für Sicherheit zuständig ist, aber häufig sind die Informationen auf Führungskräfte oder die Unternehmensleitung ausgerichtet, zum Beispiel den Chief Information Officer, Chief Information Security Officer oder Security Operations Center Director. Wenn diese Daten richtig eingesetzt werden, können Entscheidungsträger zukünftige Bedrohungen besser erkennen und dann Entscheidungen zu notwendigen Investitionen und Prozessänderungen treffen, um die Sicherheitslösungen des Unternehmens zukunftssicher zu gestalten.

Zu den Fragen, die wir mit Strategic Intelligence beantworten möchten, gehören zum Beispiel:

  • Wer sind die Angreifer und wie sehen die wahrscheinlichsten Angriffsmethoden aus?
  • Ist unser aktueller Technologie-Stack auch zukünftigen Bedrohungen gewachsen?
  • Warum ist unser Unternehmen ein mögliches Angriffsziel und hat sich unser Risikoprofil geändert?
  • Müssen unsere Verfahren angesichts der zukünftigen Taktiken, Techniken und Prozesse (TTP) der Hacker überarbeitet werden?
  • Auf welche potenziellen Angriffe müssen wir uns aufgrund unserer Branche, des Standorts oder der geopolitischen Ereignisse einstellen?

Strategic-Intelligence-Berichte sollen die Fragen „Wer?“ und „Warum?“ bei der Entscheidungsfindung beantworten. Mithilfe dieser Antworten lässt sich einfacher festlegen, welche Investitionen zur Risikominimierung getätigt werden sollen. Diese Berichte werden in der Regel einmal im Monat oder einmal im Quartal erstellt und führen jüngste Vorfälle, neue Bedrohungen und neue Trends bei bekannten Hackern auf, die aufgrund des Unternehmensprofils relevant sein könnten. Trendanalysen sind ebenfalls ein wichtiges Element der strategischen Berichte. Das CTI-Team sollte zudem einschätzen, wie hoch die Wahrscheinlichkeit ist, dass zukünftige Bedrohungen für das Unternehmen gefährlich werden.

Operational Intelligence: Daten im Kontext

Operational Intelligence befasst sich mit den konkreten Cyberbedrohungen für das Unternehmen. Diese Daten dienen zwar auch der Entscheidungsfindung und der Risikominimierung, stellen aber vor allem den Kontext bereit, den Sicherheitsexperten für die Analyse potenzieller und tatsächlicher Bedrohungen benötigen.

Sie sind in erster Linie für Incident-Response-Teams, Forensiker und Analysten gedacht. Diese Experten müssen nicht nur darüber informiert werden, dass eine bestimmte Bedrohung existiert, sondern benötigen zusätzliche und detaillierte technische Angaben dazu, wie die Bedrohung aussieht (Motivation des Hackers, TTP, Angriffsvektoren und Änderungen der anvisierten Ziele).

Zu den Fragen, die wir mit Operational Intelligence beantworten möchten, gehören zum Beispiel:

  • Wie entwickeln sich die Angriffsmuster und -häufigkeit eines bestimmten Hackers im Laufe der Zeit?
  • Entwickeln sich Angriffsvektoren, -methoden und -taktiken weiter? Und wenn ja, wie?
  • Ist unsere Angriffsfläche anfälliger für diese neuen Bedrohungen?
  • Welche Stelle in unserem Netzwerk eignet sich am besten, um potenzielle Risiken oder Angriffsversuche aufzudecken?
  • Wie können uns Erkenntnisse zu den bisherigen Verhaltensweisen eines bestimmten Hackers dabei helfen, seine Aktivitäten aufzuspüren?

Operational Intelligence beantwortet die Fragen „Wie?“ und „Wo?“ in Bezug auf die Bedrohungen. Diese zusätzlichen Informationen versetzen Sicherheitsteams in die Lage, Angriffsversuche im Netzwerk aufzudecken, Malware zu isolieren und eventuelle Schäden zu beheben. In der Regel werden Tages- und Wochenberichte mit vielen technischen Angaben erstellt. Sie konzentrieren sich auf die TTP der Hacker und enthalten Einschätzungen der Analysten zu Themen wie Persistenzmethoden, Exploits und relevanten Kampagnen.

Tactical Intelligence: Technische Informationen zu den Hackern

Tactical Intelligence umfasst die detailliertesten Bedrohungsdaten, die ganz konkrete Hinweise in Bezug auf bekannte Angreifer enthalten – sogenannte Gefahrenindikatoren. Dabei handelt es sich um maschinell lesbare Spuren der von den Hackern eingesetzten Signaturen, Tools und Angriffsvektoren.

Tactical Intelligence geht häufig mit der Verwaltung der Gefahrenindikatoren einher: Eingehende Gefahrenindikatoren werden darauf überprüft, dass sie von vertrauenswürdigen Quellen stammen und für das Unternehmen relevant sind, bevor sie mit bekannten Details zu den jeweiligen Angreifern angereichert werden. Auch diese Daten tragen zur besseren Entscheidungsfindung bei und richten sich vor allem an Tier-1- und Tier-2-Analysten, die schnell erste Entscheidungen in aufgabenlastigen Sicherheitsumgebungen treffen müssen, oder an Red Teams, die Angriffe simulieren, um die vorhandene Sicherheitsinfrastruktur zu testen.

Zu den Fragen, die wir mit Tactical Intelligence beantworten möchten, gehören zum Beispiel:

  • Welche Malware wird bei einem Angriff verwendet?
  • Welche Command-and-Control-Infrastruktur ist bei einer bestimmten Bedrohung zu erwarten?
  • Welche Signaturen werden mit einer bestimmten Malware in Verbindung gebracht?

Tactical Intelligence beantwortet die Frage „Was?“ in Bezug auf die Bedrohungen – meist basierend auf verschiedensten Berichten. Wichtige Aspekte der Tactical Intelligence sind die Datenanreicherung und die Verwaltung der Gefahrenindikatoren, aber auch zeitnahe Benachrichtigungen über Bedrohungen gehören dazu. Die interne Validierung und Verwaltung der Gefahrenindikatoren tragen unmittelbar zur Stärkung der Sicherheit im Unternehmen bei und die Erstellung weiterer technischer Berichte mit Details zu den Bedrohungen hilft maßgeblich bei der Entscheidungsfindung.

Weitere Informationen zu FireEye Threat Intelligence