CISOs sehen Informationen über aktuelle Bedrohungen allzu oft nicht als strategisch an – doch das kann sich als Fehler erweisen. Mit den richtigen Funktionen ist Threat Intelligence eines der besten Tools im Arsenal von CISOs – sei es, um Sicherheitskosten zu kalkulieren und zu rechtfertigen oder um Cyberrisiken durch schnelle Erkennung von und Reaktion auf Bedrohungen drastisch zu reduzieren. Allerdings bieten Feeds zu allgemeinen Bedrohungsdaten nur einen minimalen Geschäftskontext. Sie sollten daher idealerweise um External Threat Intelligence (ETI) ergänzt werden. Diese ist spezifisch auf den digitalen Fußabdruck des jeweiligen Unternehmens und die damit verbundenen Bedrohungsaktivitäten ausgerichtet. Sie bietet in Abwehr umsetzbare Erkenntnisse, um die Bedrohungen außerhalb des Netzwerks zu neutralisieren, somit bietet ETI einen greifbaren Mehrwert um die Sicherheit um eine weitere Dimension zu stärken.
ETI kann operative, taktische und strategische Vorteile bieten. Operativ verbessert sie die Geschwindigkeit und Effizienz der täglichen Arbeit von Sicherheitsanalysten. Taktische Vorteile zeigen sich in Form von Risikominderung als Ergebnis effektiverer Bedrohungsvorbeugung, -erkennung und -beseitigung. Strategisch ermöglicht ETI es CISOs, treffsicherere Prognosen und Berichte über die Exponierung des Unternehmens zu erstellen.
Effizienzgewinne bei SecOps
Aus betrieblicher Sicht gibt es zwei Hauptelemente der Effizienz: die Zeitersparnis und die dadurch bedingte Möglichkeit, mehr und wichtigere Aufgaben zu erledigen. So hat Cisco in seiner CISO-Benchmark-Studie 2019 herausgefunden, dass SOC-Teams zwar ohnehin nur etwa 51 % der eingehenden Warnungen bearbeiten können, sich jedoch auch von diesen nur jede vierte als legitim erweist. Lediglich 12 % aller Alerts verdienen damit Beachtung. Mit externen Bedrohungsdaten können beide Kennzahlen verbessert werden: die Relevanz der Warnungen und die Zeit, die Analysten für ihre Überprüfung aufwenden müssen.
Bei Cyberangriffen ist ein großer Teil der Sicherheits- und IT-Teams an der Abwehr beteiligt, was sie von ihren anderen Aufgaben abhält, bis das Ereignis behoben ist. Mit Threat Intelligence wird dieser Produktivitätsverlust des Sicherheitspersonals erheblich verringert, sowohl durch die Reduzierung der benötigten Zeit als auch durch den Rückgang der jährlichen Gesamtzahl der Vorfälle.
Die Kenntnis der externen Bedrohungsdaten verringern zudem die Wahrscheinlichkeit, dass Unternehmen größeren Datenschutzverletzungen oder behördlichen Geldbußen ausgesetzt sind. Sie können dazu beitragen, eine Bedrohung zu verhindern, indem der Angriff bereits in der Planungsphase oder vor der weiten Verbreitung gestohlener Daten erkannt wird. Kommt es dennoch zu einem Verstoß, signalisiert die ETI Lösung und ermöglicht eine schnelle Behebung der Sicherheitsschwachstelle. Zum Beispiel wird eine schnelle Reaktion von den Aufsichtsbehörden oft als Rechtfertigung für eine Verringerung der Bußgelder angesehen.
Schnellere Aufdeckung
Es ist keine Überraschung, dass die finanziellen Auswirkungen eines Cyberangriffs umso größer sind, je länger dieser unentdeckt bleibt. Aus diesem Grund ist die MTTR-Kennzahl (Mean Time to Mediate) von entscheidender Bedeutung – sowohl für die Effizienz der SecOps als auch für die Reduzierung der finanziellen Auswirkungen. Viele Angriffe mit erheblichen Schäden hätten vermieden werden können, hätten die Opfer aktiv Dark-Web-Foren überwacht. Denn nicht selten prahlen Cyberkriminelle dort schon vor dem gezielten Angriff mit der entdeckten Sicherheitslücke.
Optimierter und integrierter Sicherheits-Stack
Orchestrierung und Automatisierung sind heute Eckpfeiler der Arbeit von Sicherheitsteams. Im SIEM fügt Threat Intelligence den Netzwerkinterna und Protokolldaten einen externen Kontext hinzu, so dass etwa Next Generation Firewalls erkannte Bedrohungen in Echtzeit blockieren können. Die Integration in Active Directory ermöglicht die Echtzeit-Überwachung auf kompromittierte Anmeldeinformationen, usw. Durch die Integration in andere Sicherheitssysteme und -anwendungen wie etwa Incident Detection and Response (IDR) kann man die Leistungsfähigkeit von Threat Intelligence voll ausschöpfen und das gesamte Sicherheitssystem deutlich verstärken.
Georgeta Toth, Regional Director Central Europe bei Rapid7
Fachartikel
Studien
Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus
IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper
WatchGuard Internet Security Report: Enormer Anstieg von Endpoint-Ransomware, dafür weniger Netzwerk-Malware
5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance
Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Unter4Ohren
Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
