By Leave a Comment on Was ist Threat Intelligence?

Digitale Technologien bilden heute das Herzstück fast jeder Branche. Die Automatisierung und die größere Vernetzung, die sie ermöglichen, haben die wirtschaftlichen und kulturellen Institutionen der Welt revolutioniert – aber sie haben auch Risiken in Form von Cyberangriffen mit sich gebracht. Threat Intelligence ist das Wissen, das es Ihnen ermöglicht, diese Angriffe zu verhindern oder zu entschärfen. Auf der Grundlage von Daten liefern Bedrohungsdaten Kontextinformationen – z. B. wer Sie angreift, welche Motivation und Fähigkeiten er hat und auf welche Indikatoren für eine Gefährdung Ihrer Systeme Sie achten sollten -, die Ihnen helfen, fundierte Entscheidungen über Ihre Sicherheit zu treffen.

„Bedrohungsdaten sind evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und handlungsorientierter Ratschläge über eine bestehende oder entstehende Bedrohung oder Gefahr für Vermögenswerte. Diese Erkenntnisse können als Entscheidungsgrundlage für die Reaktion des Subjekts auf diese Bedrohung oder Gefahr verwendet werden.“ – Gartner

Weitere Informationen finden Sie in den Abschnitten „Der Lebenszyklus von Bedrohungsdaten“ und „Die Arten von Bedrohungsdaten“ in dieser Übersicht.

Warum sind Bedrohungsdaten wichtig?

Heute steht die Cybersicherheitsbranche vor zahlreichen Herausforderungen – immer hartnäckigere und hinterhältigere Bedrohungsakteure, eine tägliche Datenflut voller Fremdinformationen und Fehlalarme über mehrere, nicht miteinander verbundene Sicherheitssysteme hinweg und ein gravierender Mangel an qualifizierten Fachkräften.

Einige Unternehmen versuchen, Bedrohungsdaten in ihr Netzwerk zu integrieren, wissen aber nicht, was sie mit all den zusätzlichen Daten anfangen sollen, was die Belastung der Analysten noch erhöht, die möglicherweise nicht über die nötigen Werkzeuge verfügen, um zu entscheiden, was sie priorisieren und was sie ignorieren sollen.

Eine Cyber Threat Intelligence-Lösung kann jedes dieser Probleme lösen. Die besten Lösungen nutzen maschinelles Lernen, um die Datenerfassung und -verarbeitung zu automatisieren, lassen sich in Ihre vorhandenen Lösungen integrieren, nehmen unstrukturierte Daten aus unterschiedlichen Quellen auf und stellen dann den Zusammenhang zwischen den Indikatoren für die Gefährdung (IoCs) und den Taktiken, Techniken und Verfahren (TTPs) der Bedrohungsakteure her.

Bedrohungsdaten sind umsetzbar – sie sind zeitnah, bieten Kontext und können von den Personen verstanden werden, die für die Entscheidungsfindung zuständig sind.

Wer kann von Threat Intelligence profitieren?

Jeder! Die Vorstellung, dass Cyber-Bedrohungsdaten die Domäne von Elite-Analysten sind, ist weit verbreitet. In Wirklichkeit stellt sie für Unternehmen jeder Größe einen Mehrwert für alle Sicherheitsfunktionen dar.

Wenn Bedrohungsdaten als separate Funktion innerhalb eines umfassenderen Sicherheitsparadigmas behandelt werden, anstatt als wesentliche Komponente, die jede andere Funktion ergänzt, führt dies dazu, dass viele der Personen, die am meisten von Bedrohungsdaten profitieren würden, keinen Zugang dazu haben, wenn sie sie benötigen.

Die Sicherheitsteams sind routinemäßig nicht in der Lage, die erhaltenen Warnungen zu verarbeiten – Threat Intelligence lässt sich in die bereits verwendeten Sicherheitslösungen integrieren und hilft dabei, Warnungen und andere Bedrohungen automatisch zu priorisieren und zu filtern. Schwachstellenmanagement-Teams können die wichtigsten Schwachstellen genauer priorisieren, da sie Zugang zu den externen Erkenntnissen und dem Kontext haben, den Threat Intelligence liefert. Und Betrugsprävention, Risikoanalyse und andere hochrangige Sicherheitsprozesse werden durch das Verständnis der aktuellen Bedrohungslandschaft bereichert, das Bedrohungsdaten bieten, einschließlich wichtiger Erkenntnisse über Bedrohungsakteure, ihre Taktiken, Techniken und Verfahren und mehr aus Datenquellen im gesamten Internet.

In unserem Abschnitt über Anwendungsfälle weiter unten erfahren Sie, wie jede Sicherheitsfunktion von Bedrohungsdaten profitieren kann.

Der Lebenszyklus von Bedrohungsdaten

Wie werden also Cyber-Bedrohungsdaten erstellt? Rohdaten sind nicht dasselbe wie Informationen – Cyber-Bedrohungsdaten sind das fertige Produkt, das aus einem sechsteiligen Zyklus der Datenerfassung, -verarbeitung und -analyse hervorgeht. Bei diesem Prozess handelt es sich um einen Zyklus, da im Laufe der Entwicklung von Erkenntnissen neue Fragen und Wissenslücken identifiziert werden, die zu neuen Erfassungsanforderungen führen. Ein effektives Aufklärungsprogramm ist iterativ und wird im Laufe der Zeit immer weiter verfeinert.

Um den Wert der von Ihnen produzierten Bedrohungsdaten zu maximieren, ist es entscheidend, dass Sie Ihre Anwendungsfälle identifizieren und Ihre Ziele definieren, bevor Sie etwas anderes tun.

Planung und Ausrichtung

Der erste Schritt zur Erstellung verwertbarer Bedrohungsdaten besteht darin, die richtigen Fragen zu stellen.

Die Fragen, die die Erstellung verwertbarer Bedrohungsdaten am besten vorantreiben, konzentrieren sich auf eine einzelne Tatsache, ein Ereignis oder eine Aktivität – breit angelegte, offene Fragen sollten in der Regel vermieden werden.

Priorisieren Sie Ihre Aufklärungsziele auf der Grundlage von Faktoren wie der Übereinstimmung mit den Grundwerten Ihres Unternehmens, der Tragweite der daraus resultierenden Entscheidung und der zeitlichen Dringlichkeit der Entscheidung.

Ein wichtiger Faktor in dieser Phase ist die Frage, wer das fertige Produkt konsumieren und davon profitieren wird – gehen die Informationen an ein Team von Analysten mit technischem Fachwissen, die einen schnellen Bericht über einen neuen Exploit benötigen, oder an eine Führungskraft, die einen umfassenden Überblick über Trends sucht, um ihre Entscheidungen über Sicherheitsinvestitionen für das nächste Quartal zu treffen?

Sammlung

Der nächste Schritt besteht darin, Rohdaten zu sammeln, die die in der ersten Phase festgelegten Anforderungen erfüllen. Am besten ist es, Daten aus einer Vielzahl von Quellen zu sammeln – interne wie Netzwerk-Ereignisprotokolle und Aufzeichnungen früherer Reaktionen auf Vorfälle sowie externe aus dem offenen Web, dem Dark Web und technischen Quellen.

Bedrohungsdaten werden in der Regel als Listen von IoCs wie bösartige IP-Adressen, Domänen und Datei-Hashes betrachtet, sie können aber auch Schwachstelleninformationen wie persönlich identifizierbare Informationen von Kunden, Rohcode von Paste-Sites und Text aus Nachrichtenquellen oder sozialen Medien enthalten.

Verarbeitung

Nachdem alle Rohdaten gesammelt wurden, müssen sie sortiert werden, indem sie mit Metadaten-Tags organisiert und redundante Informationen oder falsch positive und negative Ergebnisse herausgefiltert werden.

Heutzutage sammeln selbst kleine Unternehmen täglich Daten in der Größenordnung von Millionen von Protokollereignissen und Hunderttausenden von Indikatoren. Das ist zu viel für menschliche Analysten, um es effizient zu verarbeiten – die Datenerfassung und -verarbeitung muss automatisiert werden, um überhaupt einen Sinn darin zu sehen.

Lösungen wie SIEMs sind ein guter Anfang, weil sie es relativ einfach machen, Daten mit Korrelationsregeln zu strukturieren, die für einige verschiedene Anwendungsfälle eingerichtet werden können, aber sie können nur eine begrenzte Anzahl von Datentypen aufnehmen.

Wenn Sie unstrukturierte Daten aus vielen verschiedenen internen und externen Quellen sammeln, brauchen Sie eine robustere Lösung. Recorded Future nutzt maschinelles Lernen und die Verarbeitung natürlicher Sprache, um Text aus Millionen von unstrukturierten Dokumenten in sieben verschiedenen Sprachen zu analysieren und sie mithilfe von sprachunabhängigen Ontologien und Ereignissen zu klassifizieren. So können Analysten leistungsstarke und intuitive Suchvorgänge durchführen, die über bloße Schlüsselwörter und einfache Korrelationsregeln hinausgehen.

Analyse

Der nächste Schritt besteht darin, die verarbeiteten Daten sinnvoll zu nutzen. Ziel der Analyse ist es, nach potenziellen Sicherheitsproblemen zu suchen und die zuständigen Teams in einem Format zu benachrichtigen, das die in der Planungs- und Ausrichtungsphase dargelegten Informationsanforderungen erfüllt.

Bedrohungsdaten können je nach den anfänglichen Zielen und der vorgesehenen Zielgruppe viele Formen annehmen, aber die Idee ist, die Daten in ein Format zu bringen, das die Zielgruppe versteht. Dies kann von einfachen Bedrohungslisten bis hin zu von Fachleuten geprüften Berichten reichen.

Verbreitung

Das fertige Produkt wird dann an die vorgesehenen Empfänger verteilt. Damit Bedrohungsdaten verwertbar sind, müssen sie zur richtigen Zeit an die richtigen Personen weitergeleitet werden.

Außerdem müssen sie nachverfolgt werden, damit die Kontinuität zwischen einem Informationszyklus und dem nächsten gewährleistet ist und die Erkenntnisse nicht verloren gehen. Verwenden Sie Ticket-Systeme, die mit Ihren anderen Sicherheitssystemen integriert sind, um jeden Schritt des Aufklärungszyklus zu verfolgen – jedes Mal, wenn eine neue Aufklärungsanforderung auftaucht, können Tickets eingereicht, geschrieben, überprüft und von mehreren Personen in verschiedenen Teams erfüllt werden, alles an einem Ort.

Feedback

Im letzten Schritt schließt sich der Aufklärungszyklus, der eng mit der anfänglichen Planungs- und Lenkungsphase verbunden ist. Nach Erhalt des fertigen nachrichtendienstlichen Produkts überprüft derjenige, der die erste Anfrage gestellt hat, dieses und stellt fest, ob seine Fragen beantwortet wurden. Daraus ergeben sich die Ziele und Verfahren des nächsten Aufklärungszyklus, was wiederum eine Dokumentation und Kontinuität erforderlich macht.

Die Arten von Bedrohungsaufklärung

Wie der Lebenszyklus der Bedrohungsaufklärung zeigt, sieht das Endprodukt je nach den ursprünglichen Aufklärungsanforderungen, den Informationsquellen und der Zielgruppe unterschiedlich aus. Es kann hilfreich sein, Bedrohungsdaten auf der Grundlage dieser Kriterien in einige Kategorien einzuteilen.

Bedrohungsdaten werden häufig in drei Unterkategorien eingeteilt:

  • Strategisch – Allgemeinere Trends, die in der Regel für ein nicht-technisches Publikum gedacht sind
  • Taktisch – Umrisse der Taktiken, Techniken und Verfahren von Bedrohungsakteuren für ein eher technisches Publikum
  • Operativ – Technische Details über spezifische Angriffe und Kampagnen

Strategische Bedrohungsdaten

Strategische Bedrohungsdaten bieten einen umfassenden Überblick über die Bedrohungslandschaft eines Unternehmens. Sie sind als Entscheidungsgrundlage für Führungskräfte und andere Entscheidungsträger in einem Unternehmen gedacht. Der Inhalt ist daher in der Regel weniger technisch und wird in Form von Berichten oder Briefings präsentiert. Gute strategische Informationen sollten Einblicke in Bereiche wie die mit bestimmten Vorgehensweisen verbundenen Risiken, allgemeine Muster in den Taktiken und Zielen von Bedrohungsakteuren sowie geopolitische Ereignisse und Trends bieten.

Gängige Informationsquellen für strategische Bedrohungsinformationen sind u.a.:

  • Politikdokumente von Nationalstaaten oder Nichtregierungsorganisationen
  • Nachrichten aus lokalen und nationalen Medien, branchen- und fachspezifische Veröffentlichungen oder andere Fachexperten
  • Weißbücher, Forschungsberichte und andere von Sicherheitsorganisationen erstellte Inhalte

Die Erstellung aussagekräftiger strategischer Bedrohungsdaten beginnt damit, dass gezielte, spezifische Fragen gestellt werden, um die Anforderungen an die Informationen festzulegen. Dazu sind auch Analysten mit Fachkenntnissen erforderlich, die über die typischen Cybersecurity-Fähigkeiten hinausgehen – insbesondere ein ausgeprägtes Verständnis gesellschaftspolitischer und wirtschaftlicher Konzepte.

Auch wenn das Endprodukt nicht technischer Natur ist, erfordert die Erstellung effektiver strategischer Informationen eine gründliche Recherche in riesigen Datenmengen, oft in mehreren Sprachen. Die anfängliche Datenerfassung und -verarbeitung kann daher zu schwierig sein, als dass sie manuell durchgeführt werden könnte, selbst für erfahrene Analysten, die über die richtigen Sprachkenntnisse, den technischen Hintergrund und das entsprechende Fachwissen verfügen. Eine Threat-Intelligence-Lösung, die die Datenerfassung und -verarbeitung automatisiert, trägt dazu bei, diesen Aufwand zu verringern, und ermöglicht es Analysten, die nicht über so viel Fachwissen verfügen, effektiver zu arbeiten.

Tactical Threat Intelligence

Tactical Threat Intelligence beschreibt die Taktiken, Techniken und Verfahren (TTPs) von Bedrohungsakteuren. Sie sollen den Verteidigern helfen, konkret zu verstehen, wie ihre Organisation angegriffen werden könnte und wie sie sich am besten gegen diese Angriffe verteidigen oder sie abschwächen können. Sie enthalten in der Regel technische Zusammenhänge und werden von Mitarbeitern verwendet, die direkt an der Verteidigung einer Organisation beteiligt sind, wie Systemarchitekten, Administratoren und Sicherheitspersonal.

Berichte von Sicherheitsanbietern sind oft der einfachste Weg, taktische Bedrohungsinformationen zu erhalten. Suchen Sie in den Berichten nach Informationen über die Angriffsvektoren, Tools und die Infrastruktur, die Angreifer verwenden, einschließlich Angaben darüber, auf welche Schwachstellen sie abzielen und welche Exploits sie ausnutzen, sowie darüber, welche Strategien und Tools sie einsetzen, um eine Entdeckung zu vermeiden oder zu verzögern.

Taktische Bedrohungsdaten sollten zur Verbesserung bestehender Sicherheitskontrollen und -prozesse sowie zur Beschleunigung der Reaktion auf Vorfälle verwendet werden. Da viele der Fragen, die durch taktische Bedrohungsdaten beantwortet werden, speziell auf Ihr Unternehmen zugeschnitten sind und innerhalb einer kurzen Frist beantwortet werden müssen – zum Beispiel: „Ist diese kritische Schwachstelle, die von Bedrohungsakteuren, die auf meine Branche abzielen, ausgenutzt wird, in meinen Systemen vorhanden?“ – Eine Threat-Intelligence-Lösung, die Daten aus Ihrem eigenen Netzwerk integriert, ist von entscheidender Bedeutung.

Operational Threat Intelligence

Operational Intelligence ist Wissen über Cyberangriffe, Ereignisse oder Kampagnen. Sie bieten spezielle Einblicke, die den Reaktionsteams helfen, die Art, die Absicht und den Zeitpunkt bestimmter Angriffe zu verstehen.

Da dies in der Regel auch technische Informationen umfasst – Informationen darüber, welcher Angriffsvektor verwendet wird, welche Schwachstellen ausgenutzt werden oder welche Befehls- und Kontrolldomänen verwendet werden – wird diese Art von Informationen auch als technische Bedrohungsdaten bezeichnet. Eine gängige Quelle für technische Informationen sind Bedrohungsdaten-Feeds, die sich in der Regel auf eine einzige Art von Indikator konzentrieren, z. B. Malware-Hashes oder verdächtige Domänen.

Wenn man jedoch davon ausgeht, dass technische Bedrohungsdaten streng genommen aus technischen Informationen wie Bedrohungsdaten-Feeds stammen, dann sind technische und operative Bedrohungsdaten nicht völlig gleichbedeutend – es handelt sich eher um ein Venn-Diagramm mit großen Überschneidungen. Andere Informationsquellen über spezifische Angriffe können aus geschlossenen Quellen stammen, wie z.B. dem Abhören der Kommunikation von Bedrohungsgruppen, entweder durch Infiltration oder durch Einbruch in diese Kommunikationskanäle.

Folglich gibt es einige Hindernisse beim Sammeln dieser Art von Informationen:

  • Zugang – Bedrohungsgruppen können über private und verschlüsselte Kanäle kommunizieren oder einen Identifikationsnachweis verlangen. Außerdem gibt es Sprachbarrieren bei Bedrohungsgruppen, die sich im Ausland befinden.
  • Rauschen – Es kann schwierig oder unmöglich sein, manuell gute Informationen aus umfangreichen Quellen wie Chatrooms und sozialen Medien zu sammeln.
  • Verschleierung – Um eine Entdeckung zu vermeiden, können Bedrohungsgruppen Verschleierungstaktiken wie die Verwendung von Codenamen anwenden.

Bedrohungsdatenlösungen, die sich auf maschinelle Lernprozesse für die automatisierte Datenerfassung in großem Umfang stützen, können viele dieser Probleme überwinden, wenn es darum geht, effektive operative Bedrohungsdaten zu entwickeln. Eine Lösung, die beispielsweise die Verarbeitung natürlicher Sprache nutzt, kann Informationen aus fremdsprachigen Quellen sammeln, ohne dass menschliches Fachwissen zu ihrer Entschlüsselung erforderlich ist.

Maschinelles Lernen für eine bessere Bedrohungsaufklärung

Datenverarbeitung findet heute in einem Umfang statt, der eine umfassende Automatisierung erfordert. Kombinieren Sie Datenpunkte aus vielen verschiedenen Arten von Quellen – einschließlich offener, Dark Web- und technischer Quellen -, um ein möglichst robustes Bild zu erhalten.

Recorded Future setzt Techniken des maschinellen Lernens auf vier Arten ein, um die Datenerfassung und -aggregation zu verbessern – um Daten in Kategorien zu strukturieren, um Text in mehreren Sprachen zu analysieren, um Risikobewertungen zu erstellen und um Vorhersagemodelle zu generieren.

Daten in Entitäten und Ereignisse zu strukturieren

Ontologie hat damit zu tun, wie wir Konzepte aufteilen und wie wir sie zusammenfassen. In der Datenwissenschaft stellen Ontologien Kategorien von Entitäten auf der Grundlage ihrer Namen, Eigenschaften und Beziehungen zueinander dar, wodurch sie leichter in Hierarchien von Mengen sortiert werden können. Zum Beispiel sind Boston, London und Göteborg allesamt unterschiedliche Entitäten, die auch unter die umfassendere Entität „Stadt“ fallen.

Wenn Entitäten eine Möglichkeit darstellen, physisch unterschiedliche Konzepte zu sortieren, dann sortieren Ereignisse Konzepte über die Zeit. Aufgezeichnete Zukunftsereignisse sind sprachunabhängig – etwas wie „John besuchte Paris“, „John machte eine Reise nach Paris“, „Джон прилетел в Париж“ und „John a visité Paris“ werden alle als dasselbe Ereignis erkannt.

Ontologien und Ereignisse ermöglichen eine leistungsstarke Suche über Kategorien, so dass sich Analysten auf das Gesamtbild konzentrieren können, anstatt die Daten selbst manuell sortieren zu müssen.

Text in mehreren Sprachen durch natürliche Sprachverarbeitung strukturieren

Mit natürlicher Sprachverarbeitung können Entitäten und Ereignisse über bloße Schlüsselwörter hinausgehen und unstrukturierten Text aus Quellen in verschiedenen Sprachen in eine strukturierte Datenbank verwandeln.

Das maschinelle Lernen, das diesen Prozess steuert, kann Werbung von primären Inhalten trennen, Text in Kategorien wie Prosa, Datenprotokolle oder Code einordnen und zwischen Entitäten mit demselben Namen (wie „Apple“, das Unternehmen, und „Apfel“, die Frucht) disambiguieren, indem es kontextuelle Hinweise im umgebenden Text verwendet.

Auf diese Weise kann das System täglich Text aus Millionen von Dokumenten in sieben verschiedenen Sprachen analysieren – eine Aufgabe, für die ein unpraktisch großes und qualifiziertes Team menschlicher Analysten erforderlich wäre. Durch diese Zeitersparnis können IT-Sicherheitsteams mit Recorded Future 32 Prozent effizienter arbeiten.

Die Klassifizierung von Ereignissen und Entitäten hilft den menschlichen Analysten bei der Priorisierung von Warnungen

Maschinelles Lernen und statistische Methoden werden eingesetzt, um Entitäten und Ereignisse nach ihrer Wichtigkeit zu sortieren – zum Beispiel, indem bösartigen Entitäten Risikowerte zugewiesen werden.

Risikobewertungen werden durch zwei Systeme berechnet: Eines basiert auf Regeln, die auf menschlicher Intuition und Erfahrung beruhen, das andere auf maschinellem Lernen, das auf einem bereits überprüften Datensatz trainiert wurde.

Klassifikatoren wie Risikobewertungen liefern sowohl eine Beurteilung („dieses Ereignis ist kritisch“) als auch einen Kontext, der die Bewertung erklärt („weil mehrere Quellen bestätigen, dass diese IP-Adresse bösartig ist“).

Die Automatisierung der Risikoklassifizierung spart Analysten Zeit beim Sortieren von Fehlalarmen und bei der Entscheidung, was priorisiert werden soll. IT-Sicherheitsmitarbeiter, die Recorded Future nutzen, verbringen so 34 Prozent weniger Zeit mit der Erstellung von Berichten.

Ereignisse und Entitätseigenschaften durch Vorhersagemodelle vorhersagen

Maschinelles Lernen kann auch Modelle generieren, die die Zukunft vorhersagen, und zwar oft viel genauer als menschliche Analysten, indem sie auf die umfangreichen Datenbestände zurückgreifen, die zuvor ausgewertet und kategorisiert wurden.

Dies ist eine besonders starke Anwendung des maschinellen Lernens nach dem „Gesetz der großen Zahlen“ – je mehr Datenquellen wir nutzen, desto genauer werden diese Vorhersagemodelle.

Anwendungsfälle von Threat Intelligence

Die vielfältigen Anwendungsfälle von Threat Intelligence machen sie zu einer unverzichtbaren Ressource für funktionsübergreifende Teams in jedem Unternehmen. Obwohl sie vielleicht am unmittelbarsten wertvoll sind, wenn sie Ihnen helfen, einen Angriff zu verhindern, sind Bedrohungsdaten auch ein nützlicher Teil der Triage, der Risikoanalyse, des Schwachstellenmanagements und der weitreichenden Entscheidungsfindung.

Reaktion auf Vorfälle

Sicherheitsanalytiker, die für die Reaktion auf Vorfälle zuständig sind, berichten von einem der höchsten Stressniveaus in der Branche, und es ist kein Wunder, warum – die Rate der Cyber-Vorfälle ist in den letzten zwei Jahrzehnten stetig gestiegen, und ein hoher Anteil der täglichen Warnungen stellt sich als falsch positiv heraus. Wenn es um echte Vorfälle geht, müssen Analysten oft viel Zeit damit verbringen, Daten manuell zu sortieren, um das Problem zu bewerten.

Threat Intelligence verringert den Druck in mehrfacher Hinsicht:

  • Automatische Identifizierung und Zurückweisung von Fehlalarmen
  • Anreicherung von Warnmeldungen mit Echtzeit-Kontext, wie z. B. benutzerdefinierte Risikobewertungen
  • Vergleich von Informationen aus internen und externen Quellen

Recorded Future-Benutzer erkennen Risiken zehnmal schneller als vor der Integration von Threat Intelligence in ihre Sicherheitslösungen, wodurch sie im Durchschnitt Tage mehr Zeit haben, um auf Bedrohungen zu reagieren – in einer Branche, in der es auf Sekunden ankommen kann.

Security Operations

Die meisten Security Operations Center (SOC)-Teams müssen mit riesigen Mengen von Warnmeldungen umgehen, die von den von ihnen überwachten Netzwerken generiert werden. Die Bearbeitung dieser Warnungen dauert zu lange, und viele werden gar nicht erst untersucht. Die „Warnmüdigkeit“ führt dazu, dass die Analysten die Warnungen weniger ernst nehmen als sie sollten. Threat Intelligence löst viele dieser Probleme – es hilft dabei, Informationen über Bedrohungen schneller und genauer zu sammeln, Fehlalarme herauszufiltern, die Triage zu beschleunigen und die Analyse von Vorfällen zu vereinfachen. Damit können Analysten aufhören, Zeit mit der Verfolgung von Alarmen zu verschwenden, die auf folgenden Gründen beruhen:

  • Aktionen, die eher harmlos als bösartig sind
  • Angriffe, die für das Unternehmen nicht relevant sind
  • Angriffe, für die es bereits Abwehrmaßnahmen und Kontrollen gibt

Die Bedrohungsdaten beschleunigen nicht nur die Triage, sondern können SOC-Teams auch dabei helfen, die Analyse und Eindämmung von Vorfällen zu vereinfachen. Benutzer von Recorded Future lösen Bedrohungen 63 Prozent schneller und reduzieren die kritischen Stunden, die sie für die Beseitigung von Schwachstellen aufwenden, um mehr als die Hälfte.

Schwachstellenmanagement

Effektives Schwachstellenmanagement bedeutet, dass man von einem „alles und ständig patchen“-Ansatz, den realistischerweise niemand jemals erreichen kann, zu einer Priorisierung von Schwachstellen auf der Grundlage des tatsächlichen Risikos übergeht.

Obwohl die Zahl der Schwachstellen und Bedrohungen jedes Jahr gestiegen ist, zeigen Untersuchungen, dass die meisten Bedrohungen auf denselben, kleinen Anteil von Schwachstellen abzielen. Bedrohungsakteure sind auch schneller – zwischen der Bekanntgabe einer neuen Schwachstelle und dem Auftauchen eines darauf abzielenden Exploits vergehen im Durchschnitt nur noch fünfzehn Tage.

Dies hat zwei Auswirkungen:

  • Sie haben zwei Wochen Zeit, um Ihre Systeme gegen einen neuen Exploit zu patchen oder zu bereinigen. Wenn Sie in diesem Zeitraum nicht patchen können, sollten Sie einen Plan zur Schadensbegrenzung haben.
  • Wenn eine neue Schwachstelle nicht innerhalb von zwei Wochen bis drei Monaten ausgenutzt wird, ist es unwahrscheinlich, dass sie jemals ausgenutzt wird – das Patchen kann eine geringere Priorität haben.

Threat Intelligence hilft Ihnen, die Schwachstellen zu identifizieren, die ein tatsächliches Risiko für Ihr Unternehmen darstellen, und geht dabei über die CVE-Bewertung hinaus, indem es interne Schwachstellen-Scandaten, externe Daten und zusätzlichen Kontext über die TTPs von Bedrohungsakteuren kombiniert. Mit Recorded Future erkennen Benutzer 22 Prozent mehr reale Bedrohungen, bevor sie ernsthafte Auswirkungen haben.

Risikoanalyse

Risikomodellierung kann eine nützliche Methode für Unternehmen sein, um Investitionsprioritäten festzulegen. Viele Risikomodelle leiden jedoch unter vagen, nicht quantifizierten Ergebnissen, die übereilt zusammengestellt werden, auf unvollständigen Informationen beruhen, auf unbegründeten Annahmen basieren oder nur schwer in die Tat umgesetzt werden können.

Bedrohungsdaten liefern einen Kontext, der Risikomodellen hilft, definierte Risikomessungen vorzunehmen und ihre Annahmen, Variablen und Ergebnisse transparenter zu machen. Sie können helfen, Fragen zu beantworten wie:

  • Welche Bedrohungsakteure nutzen diesen Angriff, und zielen sie auf unsere Branche ab?
  • Wie oft wurde dieser spezifische Angriff in letzter Zeit von Unternehmen wie dem unseren beobachtet?
  • Ist die Tendenz steigend oder fallend?
  • Welche Schwachstellen werden bei diesem Angriff ausgenutzt, und sind diese Schwachstellen in unserem Unternehmen vorhanden?
  • Welche technischen und finanziellen Schäden hat dieser Angriff in Unternehmen wie dem unseren verursacht?

Die richtigen Fragen mit Hilfe der Bedrohungsdaten von Recorded Future zu stellen, ist einer der Gründe, warum Anwender eine 86-prozentige Reduzierung ungeplanter Ausfallzeiten feststellen können – ein enormer Unterschied, wenn selbst eine Minute Ausfallzeit manche Unternehmen bis zu 9.000 US-Dollar an Produktivitätsverlusten und anderen Schäden kosten kann.

Betrugsprävention

Um Ihr Unternehmen sicher zu halten, reicht es nicht aus, nur Bedrohungen zu erkennen und darauf zu reagieren, die Ihre Systeme bereits ausnutzen. Sie müssen auch die betrügerische Nutzung Ihrer Daten oder Ihrer Marke verhindern.

Die von kriminellen Untergrundgemeinschaften gesammelten Bedrohungsdaten bieten einen Einblick in die Motivationen, Methoden und Taktiken von Bedrohungsakteuren, insbesondere wenn diese Daten mit Informationen aus dem Internet, einschließlich technischer Feeds und Indikatoren, korreliert werden.

Nutzen Sie Bedrohungsdaten, um Folgendes zu verhindern:

  • Zahlungsbetrug – Die Überwachung von Quellen wie kriminellen Gemeinschaften, Paste-Sites und anderen Foren auf relevante Zahlungskartennummern, Bankleitzahlen oder spezifische Verweise auf Finanzinstitute kann eine Frühwarnung vor bevorstehenden Angriffen liefern, die Ihr Unternehmen betreffen könnten.
  • Kompromittierte Daten – Cyberkriminelle laden regelmäßig riesige Zwischenspeicher mit Benutzernamen und Kennwörtern auf Paste-Sites und das Dark Web hoch oder stellen sie auf Untergrundmarktplätzen zum Verkauf bereit. Überwachen Sie diese Quellen mit Bedrohungsdaten, um auf durchgesickerte Anmeldeinformationen, Unternehmensdaten oder geschützten Code zu achten.
  • Typosquatting – Erhalten Sie Echtzeitwarnungen zu neu registrierten Phishing- und Typosquatting-Domains, um zu verhindern, dass Cyberkriminelle sich als Ihre Marke ausgeben und ahnungslose Benutzer betrügen.

Durch die Vermeidung von mehr Sicherheitsverletzungen mit Threat Intelligence können Recorded Future-Benutzer mehr als 1 Million Dollar pro potenzieller Sicherheitsverletzung einsparen, die durch Bußgelder, Strafen und verlorenes Verbrauchervertrauen entstehen.

Sicherheitsverantwortliche

CISOs und andere Sicherheitsverantwortliche müssen Risiken verwalten, indem sie begrenzte verfügbare Ressourcen gegen die Notwendigkeit abwägen, ihre Organisationen vor sich ständig weiterentwickelnden Bedrohungen zu schützen. Threat Intelligence kann dabei helfen, die Bedrohungslandschaft zu kartieren, Risiken zu berechnen und dem Sicherheitspersonal die Informationen und den Kontext zu liefern, um bessere und schnellere Entscheidungen zu treffen.

Heute müssen Sicherheitsverantwortliche:

  • Geschäfts- und technische Risiken bewerten, einschließlich neu auftretender Bedrohungen und „bekannter Unbekannter“, die sich auf das Unternehmen auswirken könnten
  • die richtigen Strategien und Technologien zur Risikominderung ermitteln
  • der obersten Führungsebene die Art der Risiken mitteilen und Investitionen in Abwehrmaßnahmen rechtfertigen

Bedrohungsdaten können eine wichtige Ressource für all diese Aktivitäten sein, da sie Informationen über allgemeine Trends liefern, wie z. B.:

  • Welche Arten von Angriffen werden häufiger (oder weniger häufig)
  • Welche Arten von Angriffen sind für die Opfer am kostspieligsten
  • Welche neuen Arten von Bedrohungsakteuren treten auf,
  • Die Sicherheitspraktiken und -technologien, die sich als am erfolgreichsten (oder am wenigsten erfolgreich) erwiesen haben, wenn es darum ging, diese Angriffe zu stoppen oder zu entschärfen

Sie kann es Sicherheitsgruppen auch ermöglichen zu beurteilen, ob eine aufkommende Bedrohung wahrscheinlich ihr spezifisches Unternehmen betreffen wird, basierend auf Faktoren wie:

  • Branche – Betrifft die Bedrohung andere Unternehmen in unserer Branche?
  • Technologie – Betrifft die Bedrohung Software, Hardware oder andere Technologien, die in unserem Unternehmen verwendet werden?
  • Geografie – Zielt die Bedrohung auf Einrichtungen in Regionen ab, in denen wir tätig sind?
  • Angriffsmethode – Wurden die bei dem Angriff verwendeten Methoden, einschließlich Social Engineering und technische Methoden, bereits erfolgreich gegen unser Unternehmen oder ähnliche Unternehmen eingesetzt?

Mit diesen Arten von Informationen, die aus einem breiten Spektrum externer Datenquellen zusammengetragen werden, erhalten Sicherheitsentscheider einen ganzheitlichen Überblick über die Cyber-Risikolandschaft und die größten Risiken für ihr Unternehmen.

Es gibt vier Schlüsselbereiche, in denen Bedrohungsdaten den Sicherheitsverantwortlichen helfen, Entscheidungen zu treffen:

  • Schadensbegrenzung – Bedrohungsdaten helfen den Sicherheitsverantwortlichen, die Schwachstellen und Schwachstellen zu priorisieren, die von den Bedrohungsakteuren am ehesten ins Visier genommen werden, und geben Aufschluss über die TTPs, die diese Bedrohungsakteure verwenden, und somit über die Schwachstellen, die sie auszunutzen versuchen.
  • Kommunikation – CISOs stehen oft vor der Herausforderung, Bedrohungen zu beschreiben und Gegenmaßnahmen in Begriffen zu rechtfertigen, die nicht-technische Führungskräfte motivieren, z. B. Kosten, Auswirkungen auf Kunden, neue Technologien. Bedrohungsdaten liefern mächtige Munition für diese Diskussionen, z. B. die Auswirkungen ähnlicher Angriffe auf Unternehmen der gleichen Größe in anderen Branchen oder Trends und Erkenntnisse aus dem Dark Web, die darauf hindeuten, dass das Unternehmen wahrscheinlich ins Visier genommen wird.
  • Unterstützung der Führungskräfte – Bedrohungsdaten können den Sicherheitsverantwortlichen ein Echtzeitbild der neuesten Bedrohungen, Trends und Ereignisse liefern und ihnen helfen, auf eine Bedrohung zu reagieren oder die potenziellen Auswirkungen einer neuen Art von Bedrohung rechtzeitig und effizient an Unternehmensleiter und Vorstandsmitglieder zu kommunizieren.
  • Die Qualifikationslücke im Sicherheitsbereich – CISOs müssen sicherstellen, dass die IT-Organisation über die personellen Ressourcen verfügt, um ihre Aufgabe zu erfüllen. Der Fachkräftemangel im Bereich der Cybersicherheit bedeutet jedoch, dass das vorhandene Sicherheitspersonal häufig mit einer unüberschaubaren Arbeitsbelastung zu kämpfen hat. Threat Intelligence automatisiert einige der arbeitsintensivsten Aufgaben, indem es schnell Daten sammelt und den Kontext aus verschiedenen Informationsquellen korreliert, Risiken priorisiert und unnötige Warnungen reduziert. Leistungsstarke Bedrohungsdaten helfen auch jüngeren Mitarbeitern, sich schnell weiterzubilden und mehr zu leisten, als es ihrem Erfahrungsstand entspricht.

Reduzierung des Risikos von Drittanbietern

Unzählige Unternehmen sind dabei, ihre Geschäftsabläufe durch digitale Prozesse zu verändern. Sie verlagern Daten von internen Netzwerken in die Cloud und sammeln mehr Informationen als je zuvor.

Die Vereinfachung der Datenerfassung, -speicherung und -analyse verändert sicherlich viele Branchen zum Positiven, aber dieser freie Informationsfluss hat seinen Preis. Das bedeutet, dass wir bei der Bewertung des Risikos unserer eigenen Organisation auch die Sicherheit unserer Partner, Anbieter und anderer Dritter berücksichtigen müssen.

Leider hinken viele der heute am häufigsten angewandten Risikomanagementverfahren für Dritte den Sicherheitsanforderungen hinterher. Statische Risikobewertungen wie Finanzaudits und Überprüfungen von Sicherheitszertifikaten sind zwar nach wie vor wichtig, aber ihnen fehlt oft der Kontext und sie sind nicht immer zeitnah. Es besteht Bedarf an einer Lösung, die in Echtzeit einen Überblick über die aktuelle Bedrohungslage bietet.

Threat Intelligence ist eine Möglichkeit, genau das zu erreichen. Sie können Transparenz in die Bedrohungslandschaft der Drittparteien, mit denen Sie zusammenarbeiten, bringen, indem sie Echtzeitwarnungen über Bedrohungen und Änderungen ihrer Risiken liefern und Ihnen den Kontext bieten, den Sie zur Bewertung Ihrer Beziehungen benötigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.