Externe Threat Intelligence (ETI) ermöglicht gezielte Abwehrmaßnahmen

29. Oktober 2021

CISOs sehen Informationen über aktuelle Bedrohungen allzu oft nicht als strategisch an – doch das kann sich als Fehler erweisen. Mit den richtigen Funktionen ist Threat Intelligence eines der besten Tools im Arsenal von CISOs – sei es, um Sicherheitskosten zu kalkulieren und zu rechtfertigen oder um Cyberrisiken durch schnelle Erkennung von und Reaktion auf Bedrohungen drastisch zu reduzieren. Allerdings bieten Feeds zu allgemeinen Bedrohungsdaten nur einen minimalen Geschäftskontext. Sie sollten daher idealerweise um External Threat Intelligence (ETI) ergänzt werden. Diese ist spezifisch auf den digitalen Fußabdruck des jeweiligen Unternehmens und die damit verbundenen Bedrohungsaktivitäten ausgerichtet. Sie bietet in Abwehr umsetzbare Erkenntnisse, um die Bedrohungen außerhalb des Netzwerks zu neutralisieren, somit bietet  ETI einen greifbaren Mehrwert um die Sicherheit um eine weitere Dimension zu stärken.

ETI kann operative, taktische und strategische Vorteile bieten. Operativ verbessert sie die Geschwindigkeit und Effizienz der täglichen Arbeit von Sicherheitsanalysten. Taktische Vorteile zeigen sich in Form von Risikominderung als Ergebnis effektiverer Bedrohungsvorbeugung, -erkennung und -beseitigung. Strategisch ermöglicht ETI es CISOs, treffsicherere Prognosen und Berichte über die Exponierung des Unternehmens zu erstellen.

Effizienzgewinne bei SecOps

Aus betrieblicher Sicht gibt es zwei Hauptelemente der Effizienz: die Zeitersparnis und die dadurch bedingte Möglichkeit, mehr und wichtigere Aufgaben zu erledigen. So hat Cisco in seiner CISO-Benchmark-Studie 2019 herausgefunden, dass SOC-Teams zwar ohnehin nur etwa 51 % der eingehenden Warnungen bearbeiten können, sich jedoch auch von diesen nur jede vierte als legitim erweist. Lediglich 12 % aller Alerts verdienen damit Beachtung. Mit externen Bedrohungsdaten können beide Kennzahlen verbessert werden: die Relevanz der Warnungen und die Zeit, die Analysten für ihre Überprüfung aufwenden müssen.

Bei Cyberangriffen ist ein großer Teil der Sicherheits- und IT-Teams an der Abwehr beteiligt, was sie von ihren anderen Aufgaben abhält, bis das Ereignis behoben ist. Mit Threat Intelligence wird dieser Produktivitätsverlust des Sicherheitspersonals erheblich verringert, sowohl durch die Reduzierung der benötigten Zeit als auch durch den Rückgang der jährlichen Gesamtzahl der Vorfälle.

Die Kenntnis der externen Bedrohungsdaten verringern zudem die Wahrscheinlichkeit, dass Unternehmen größeren Datenschutzverletzungen oder behördlichen Geldbußen ausgesetzt sind. Sie können dazu beitragen, eine Bedrohung zu verhindern, indem der Angriff bereits in der Planungsphase oder vor der weiten Verbreitung gestohlener Daten erkannt wird. Kommt es dennoch zu einem Verstoß, signalisiert die  ETI Lösung und ermöglicht eine schnelle Behebung der Sicherheitsschwachstelle.  Zum Beispiel wird eine schnelle Reaktion von den Aufsichtsbehörden oft als Rechtfertigung für eine Verringerung der Bußgelder angesehen.

Schnellere Aufdeckung

Es ist keine Überraschung, dass die finanziellen Auswirkungen eines Cyberangriffs umso größer sind, je länger dieser unentdeckt bleibt. Aus diesem Grund ist die MTTR-Kennzahl (Mean Time to Mediate) von entscheidender Bedeutung – sowohl für die Effizienz der SecOps als auch für die Reduzierung der finanziellen Auswirkungen. Viele Angriffe mit erheblichen Schäden hätten vermieden werden können, hätten die Opfer aktiv Dark-Web-Foren überwacht. Denn nicht selten prahlen Cyberkriminelle dort schon vor dem gezielten Angriff mit der entdeckten Sicherheitslücke.

Optimierter und integrierter Sicherheits-Stack

Orchestrierung und Automatisierung sind heute Eckpfeiler der Arbeit von Sicherheitsteams. Im SIEM fügt Threat Intelligence den Netzwerkinterna und Protokolldaten einen externen Kontext hinzu, so dass etwa Next Generation Firewalls erkannte Bedrohungen in Echtzeit blockieren können. Die Integration in Active Directory ermöglicht die Echtzeit-Überwachung auf kompromittierte Anmeldeinformationen, usw. Durch die Integration in andere Sicherheitssysteme und -anwendungen wie etwa Incident Detection and Response (IDR) kann man die Leistungsfähigkeit von Threat Intelligence voll ausschöpfen und das gesamte Sicherheitssystem deutlich verstärken.

Georgeta Toth, Regional Director Central Europe bei Rapid7