Illustration: Absmeier

Beim Schutz von Unternehmen vor Infiltration, Datendiebstahl und der Störung der Geschäftsabläufe durch Cyberkriminelle bedeutet »Wissen« ist Macht. Mit dem Aufbau von Threat-Intelligence-Teams und der Umsetzung von CTI-Programmen (Cyber Threat Intelligence) wollen Unternehmen von einer reaktiven in eine proaktive Verteidigungsposition wechseln.

Es deutet sich eine gewisse Form von wachsender Zustimmung in den Unternehmen an, dass CTI-Aktivitäten einen Nutzen bringen. Daher gehen Unternehmen immer strategischer vor, wenn es darum geht, wie sie den internen Aufklärungsprozess umsetzen. Dies ist ein gutes Zeichen dafür, dass die CTI als Bestandteil der Cybersicherheitsstrategien von Unternehmen immer mehr an Bedeutung gewinnt.

Sehr wichtig ist es, dass CTI-Aufgaben aus einer Kombination von internen Teams und externen Dienstleistungsanbietern erledigt werden. Diese Kombination aus externen Ressourcen und internem Fachwissen bedeutet, dass Organisationen die Bedrohungen, denen sie ausgesetzt sind, besser verstehen und ihnen somit auch effizienter begegnen können.

Am Anfang und im Zentrum eines wirksamen CTI-Programms stehen klar definierte Threat-Intelligence-Anforderungen. Diese legen die spezifischen Fragen und Anliegen fest, mit denen sich das Programm befassen muss, um sicherzustellen, dass die richtigen Daten erhoben werden und die Analysten den entsprechenden Schwerpunkt auf die relevanten Bedrohungsbereiche legen. Sie sind von entscheidender Bedeutung, wenn es darum geht, den geschäftsspezifischen Kontext für CTI-Programme bereitzustellen, damit sie die wertvollsten Ergebnisse für diese Organisation liefern.

Ein weiteres positives Zeichen ist die wachsende Zahl derer, die zu den CTI-Anforderungen beitragen. Deutlich mehr dieser Beiträge stammten von Security-Teams, Incident-Response-Teams und Führungskräften, was zeigt, dass eine vielfältige Gruppe von Interessenvertretern dazu beiträgt, sowohl die taktische als auch die strategische Ausrichtung des CTI-Programms voranzutreiben. Der nächste Reifegrad wird darin bestehen, dass die Threat-Intelligence-Anforderungen regelmäßiger und strukturierter überprüft werden und nicht mehr Ad-hoc oder auf unbekannter Grundlage.

Wenn es darum geht, Daten zu sammeln, um den Threat-Intelligence-Anforderungen gerecht zu werden, sind sowohl Open-Source-Feeds als auch CTI-spezifische Anbieter gefragt. Mehr und mehr Unternehmen sammeln und analysieren die Bedrohungsdaten auch intern, um extern beschaffte Daten zu ergänzen.

Angesichts dieser Fülle von Daten, stellt sich die Frage, wie diese Unternehmen die großen Mengen an Informationen verarbeiten, um verwertbare Erkenntnisse zu gewinnen. Interessant ist beispielweise, welcher Automatisierungsgrad verwendet wird, um die CTI-Teams zu entlasten. Dass die Automatisierung erst langsam populärer wird liegt daran, dass die Mehrzahl der Verarbeitungsaufgaben entweder manuell oder halbautomatisch erledigt werden.

Beim CTI-Management ergibt sich ein etwas besseres Bild, da mehr Organisationen über Automatisierung in SIEM-Plattformen und CTI-Management-Plattformen berichten. Die Automatisierung und die Abstimmung der Tools auf den Kontext, die Prioritäten und die spezifischen Bedrohungen, mit denen Unternehmen konfrontiert sind, werden zunehmen. Sie unterstützt Analysten dabei, ihre Bemühungen auf die Bereiche zu konzentrieren, in denen die menschliche Bewertung am effektivsten ist, um proaktiver auf Bedrohungen zu reagieren.

Ein weiteres Zeichen dafür, dass dieser Ansatz reift, ist, wenn sich der Schwerpunkt von operativen Überlegungen was Tools und Teams leisten können, auf die Messung der Wirksamkeit ihrer Aktionen verlagert.

Die unsichere Cyber- und physische Umgebung und die neuen Bedrohungen, die sich aus der Covid-19-Pandemie ergeben, bedeuten heute mehr denn je, dass Threat-Intelligence-Analysten Daten und Strategien zur Bewältigung von Bedrohungen austauschen müssen.

Beweise dafür, dass die CTI immer mehr angenommen wird und sich für eine größere Anzahl von Organisationen als je zuvor bewährt, gibt es mittlerweile einige, etwa bei bitcoin circuit. Wenn Bedrohungsinformationen effektiv gesammelt, integriert, automatisiert, nach Prioritäten geordnet und zwischen Analysten und breiteren Interessengruppen ausgetauscht werden, werden Organisationen agiler und effektiver bei der Bewältigung der Bedrohungen, mit denen sie konfrontiert sind.

530 Artikel zu „Cyber Threat Intelligence“

NEWS | IT-SECURITY | ONLINE-ARTIKEL | STRATEGIEN | TIPPS

Threat Intelligence – die Grundlage für Cybersicherheit

17. Mai 2019

Über die wachsende Rolle von Threat Intelligence für die Cybersicherheit und wie sie im Rahmen eines umfassenden Cyber-Abwehrprogramms effektiv genutzt werden kann. Im Bereich Cybersicherheit ist man umso besser gerüstet, je mehr man über potenzielle Bedrohungen für sein Unternehmen weiß. Threat Intelligence, auf Deutsch das »Wissen über Bedrohungen« beschreibt die Sammlung aller sicherheitsrelevanten Informationsquellen.…