Wenn es darum geht, das Cyber-Risiko eines Unternehmens zu mindern, sind Wissen und Fachkenntnisse von großer Bedeutung. Allein deshalb sollte Cyber Threat Intelligence (TI) für jedes Unternehmen eine wichtige Priorität sein. Leider ist das oft nicht der Fall. Unter den verschiedenen Schutzmaßnahmen, die IT-Verantwortliche zur Abwehr immer raffinierterer Angriffe in Betracht ziehen müssen, wird die Bedrohungsanalyse oft übersehen. Dieses Versäumnis könnte jedoch ein entscheidender Fehler sein.
Durch das Sammeln, Analysieren und Kontextualisieren von Informationen über mögliche Cyberbedrohungen bietet Threat Intelligence eine wichtige Methode zur Identifizierung, Bewertung und Minderung von Cyberrisiken. Wenn es richtig gemacht wird, kann es Ihrem Unternehmen auch dabei helfen, Prioritäten zu setzen, wo es seine begrenzten Ressourcen am effektivsten einsetzen kann, und so die Gefährdung durch Bedrohungen zu verringern, den Schaden durch potenzielle Angriffe zu minimieren und die Widerstandsfähigkeit gegen künftige Bedrohungen zu erhöhen.
Was sind die wichtigsten Arten von TI?
Die Herausforderung für Ihr Unternehmen besteht darin, in einem überfüllten Markt von TI-Anbietern das richtige Angebot zu finden. Immerhin handelt es sich um einen Markt, für den bis 2033 ein Wert von über 44 Milliarden US-Dollar prognostiziert wird. Es gibt im Wesentlichen vier Arten von TI:
- Strategische TI: Sie wird in Form von White Papern und Reports an die Unternehmensleitung geliefert und bietet kontextbezogene Analysen allgemeiner Trends zur Information des Lesers.
- Taktische TI: Diese Informationen sind auf die Bedürfnisse der Mitglieder von Sicherheitsteams (SecOps) ausgerichtet und beschreiben die Taktiken, Techniken und Verfahren (TTPs) der Akteure, um einen Einblick in die Angriffsoberfläche zu geben und zu zeigen, wie bösartige Akteure die Umgebung kompromittieren können.
- Technische TI: Hilft SecOps-Analysten bei der Überwachung neuer Bedrohungen oder bei der Untersuchung bestehender Bedrohungen anhand von Kompromissindikatoren (Indicators of Compromise, IOCs).
- Operative TI: Verwendet ebenfalls IOCs, aber diesmal, um die Bewegungen des Gegners zu verfolgen und die Techniken zu verstehen, die während eines Angriffs eingesetzt werden.
Während sich strategische und taktische TI auf längerfristige Ziele konzentrieren, geht es bei den beiden letztgenannten Kategorien darum, das "Was?" von Angriffen kurzfristig aufzudecken.
Worauf Sie bei einer Threat-Intelligence-Lösung achten sollten
Es gibt verschiedene Möglichkeiten, wie Unternehmen Threat Intelligence Daten nutzen können, darunter Branchen-Feeds, Open Source Intelligence (OSINT), Peer-to-Peer-Austausch innerhalb von Branchen und direkte Informationen von Anbietern. Es versteht sich von selbst, dass es eine Reihe von letzteren gibt, die ihr Fachwissen in diesem Bereich anbieten. Tatsächlich verzeichnete Forrester zwischen 2021 und 2022 einen Anstieg der bezahlten kommerziellen Bedrohungsdaten-Feeds um 49 %.
Bei der Beurteilung, ob ein Anbieter das Richtige für Ihr Unternehmen ist, sollten Sie sich jedoch auf die folgenden Punkte konzentrieren:
- Vollständigkeit: Sie sollten ein umfassendes Angebot an TI anbieten, das ein breites Spektrum an Bedrohungsakteuren, Bedrohungsvektoren und Datenquellen abdeckt - einschließlich interner Telemetrie, OSINT und externer Feeds. IOC-Feeds sollten als Teil eines ganzheitlichen TI-Dienstes und nicht als eigenständiger Dienst betrachtet werden.
- Genauigkeit: Ungenaue Informationen können Analysten mit Rauschen überwältigen. Die Anbieter müssen Präzision liefern.
- Relevanz: Die Feeds sollten auf Ihr spezifisches Umfeld, Ihre Branche und Ihre Unternehmensgröße zugeschnitten sein sowie auf das, was für Ihr Unternehmen kurz- und längerfristig am relevantesten ist (taktisch/strategisch). Berücksichtigen Sie auch, wer den Dienst nutzen wird. TI wird ständig auf neue Personengruppen ausgeweitet, sogar auf Marketing-, Compliance- und Rechtsteams.
- Rechtzeitigkeit: Bedrohungen ändern sich schnell, so dass jeder Feed in Echtzeit aktualisiert werden muss, um nützlich zu sein.
- Skalierbarkeit: Jeder Anbieter sollte in der Lage sein, den TI-Bedarf Ihres Unternehmens zu decken, wenn es wächst.
- Reputation: Es lohnt sich immer, sich für einen Anbieter zu entscheiden, der eine Erfolgsbilanz im Bereich der Informationsverarbeitung vorweisen kann. In zunehmendem Maße kann dies ein Anbieter sein, der nicht traditionell mit TI in Verbindung gebracht wird, sondern eher mit SOAR, XDR oder ähnlichen angrenzenden Bereichen.
- Integration: Ziehen Sie Lösungen in Betracht, die sich nahtlos in Ihre bestehende Sicherheitsinfrastruktur einfügen, einschließlich SIEM- und SOAR-Plattformen.
Navigieren auf dem TI-Markt
Der TI-Markt entwickelt sich ständig weiter, und es entstehen neue Kategorien, die bei der Bewertung neuer Bedrohungen helfen. Das kann die Auswahl der richtigen Option(en) zu einer Herausforderung machen. Es lohnt sich, längerfristig über Ihre Anforderungen nachzudenken, um eine ständige Neubewertung der Strategie zu vermeiden, obwohl dies durch die Notwendigkeit von Relevanz und Flexibilität ausgeglichen werden muss.
Es ist auch zu bedenken, dass der Reifegrad Ihres Unternehmens eine große Rolle dabei spielt, wie viele und welche Art von TI-Diensten Sie einsetzen. Unternehmen mit engagierten Teams und Ressourcen können bis zu 15 TI-Quellen aus kommerziellen, OSINT- und kostenlosen Angeboten nutzen.
Die Bedrohungsakteure von heute sind gut ausgestattet, dynamisch, entschlossen und können das Überraschungsmoment nutzen. TI ist eine der besten Möglichkeiten für Unternehmen, das Spielfeld zu ebnen und die Oberhand zu gewinnen, u. a. indem sie ihren Gegner verstehen, die Bedrohungslandschaft einschätzen und besser informierte Entscheidungen treffen. Auf diese Weise lassen sich nicht nur Angriffe stoppen, bevor sie sich auf das Unternehmen auswirken können, sondern auch die Widerstandsfähigkeit für die Zukunft erhöhen.
Jedes Unternehmen muss die richtige Mischung aus TI für sich selbst wählen. Bei der Auswahl von Anbietern sollte man jedoch darauf achten, dass die Daten zumindest vollständig, genau, relevant und zeitnah sind. Kuratierte Feeds werden Ihrem eigenen Team viel Zeit und Ressourcen ersparen. Der Schlüssel liegt darin, einen Anbieter zu finden, dessen Feeds Sie vertrauen. Laut IDC werden 80 % der G2000-Unternehmen ihre Investitionen in Bedrohungsdaten bis 2024 erhöhen.
Stellen Sie sicher, dass Sie für den Erfolg gerüstet sind.