Bedrohungsanalyse

    Integration: Die zentrale Herausforderung der Threat Intelligence

    Sicherheitsteams wollen Cyberangriffe schneller erkennen und darauf reagieren, indem sie ihre Informationen über Cyberbedrohungen zusammenführen.

    42BLOG_1.jpg

    Wichtige Punkte

    • Sicherheitsexperten beklagen sich häufig darüber, dass sie von zu vielen Cyber-Bedrohungsdaten aus zu vielen Sicherheitssystemen und -diensten überfordert sind.
    • Integrationsstrategien sind auf dem Vormarsch, aber ihre Umsetzung kann schwierig sein.
    • In einem neuen, von Mimecast gesponserten Bericht werden die Vorteile und Herausforderungen der Integration dargelegt.

    Die Integration von Cyber-Bedrohungsdaten - eine der obersten Prioritäten der meisten Sicherheitsteams - erweist sich laut einer aktuellen Umfrage als schwierig. Nur 17 % der Sicherheitsexperten sind sehr zufrieden mit ihrer Fähigkeit, die Daten aus einer wachsenden Zahl von Sicherheitsprodukten und -diensten zu korrelieren.[1]

    Die meisten Unternehmen geben in diesem Jahr mehr Geld aus, um zu integrieren und ihre Bedrohungserkennungsfähigkeiten anderweitig zu verbessern. Sie wissen, dass viel auf dem Spiel steht - und nicht nur die Geschwindigkeit, mit der ihre Sicherheitsteams Cyberangriffe erkennen und darauf reagieren können. Die Integration legt auch den Grundstein für die Automatisierung von Cybersicherheitsvorgängen, die ebenfalls höchste Priorität hat, da die Menge, Vielfalt und Geschwindigkeit der Bedrohungsmeldungen die Sicherheitsanalysten in ihren Teams überfordert.

    Geld allein kann das Integrationsproblem jedoch nicht lösen. Angesichts des heutigen Fachkräftemangels im Bereich der Cybersicherheit besteht die größte Herausforderung für CISOs bei der effektiven Nutzung von Bedrohungsdaten darin, jemanden einzustellen, der in der Lage ist, integrierte Systeme und automatisierte Prozesse einzurichten.

    Diese und andere Erkenntnisse stammen aus einem neuen Bericht der CyberRisk Alliance (CRA), "Threat Intelligence: Critical in the Fight Against Cyber Attacks, But Tough to Master," gesponsert von Mimecast. Cybersecurity-Anbieter wie Mimecast stellen sich dieser Herausforderung, indem sie Drittanbieter-Integration mit den Angeboten von Technologiepartnern bereitstellen, um die Sammlung und Anwendung von Bedrohungsdaten über die gesamte Bandbreite der Cybersecurity-Verteidigung zu ermöglichen.

    Dieser Artikel ist der dritte Teil einer dreiteiligen Serie über die Ergebnisse des CRA-Berichts zu Einstellungen und Trends bei der Bedrohungsanalyse.

    Integration von Cyber-Bedrohungsdaten

    Laut dem CRA-Bericht integrieren fast sechs von zehn Befragten (59 %) bereits zumindest einen Teil ihrer Cyber-Bedrohungsdaten als Teil ihrer Cyber-Strategie, weitere 28 % planen dies für die Zukunft. Viele nutzen dafür eine spezielle Threat Intelligence-Plattform.

    Die Integration von Erkenntnissen über Cyber-Bedrohungen ist ein Schlüsselaspekt bei dem Bestreben, den "Tool-Wildwuchs" einzudämmen, der die Cyber-Programme vieler Unternehmen kennzeichnet, da sie sich auf Dutzende von Sicherheitslösungen verlassen. Der soeben veröffentlichte Bericht von Mimecast State of Email Security 2023 (SOES 2023) bestätigt die Ergebnisse der CRA. 81 % der Befragten des SOES 2023 gaben an, dass sie integrierte Sicherheitsökosysteme bevorzugen. Ihr wichtigstes Anliegen sei die bessere Erkennung von Bedrohungen. In dem Maße, in dem die Analysefähigkeiten der künstlichen Intelligenz und des maschinellen Lernens (KI/ML) hinzukommen, womit etwa die Hälfte der SOES 2023-Befragten bereits begonnen hat, werden Bedrohungsdaten besser verwertbar und Reaktionen auf Bedrohungen können automatisiert werden.

    Kartierung der Arten der verwendeten Bedrohungsdaten

    Die Teilnehmer an der Umfrage der Ratingagentur gaben einen Einblick in die Arten von Informationen, die in ihr Bedrohungsmanagement einfließen:

    • Daten von Sicherheitssystemen: 67 % (von Eindringlingserkennungssystemen, Firewalls, Endpunkten usw.)
    • Analyse des Netzwerkverkehrs: 62%
    • Reaktion auf Zwischenfälle und Live-Forensik: 57%
    • Anwendungsprotokolle: 56%
    • E-Mail: 55%
    • Dunkles Web: 39%
    • Protokolle von Anbietern verwalteter Sicherheitsdienste: 36%
    • Feeds von Sicherheitsgruppen: 34% (z.B. das U.S. Computer Emergency Response Team, oder US-CERT)
    • Medien/Nachrichtenquellen: 33%
    • Sandbox-Detonation: 27% (da Indikatoren für eine Kompromittierung sicher entschärft werden)
    • Honigtöpfe: 19% (da Angreifer durch eine virtuelle Falle angelockt werden)

    In einer anderen Umfrage des Ponemon Institute wurden die wünschenswertesten Merkmale integrierter Bedrohungsdaten aufgeführt:[2]

    • Verwaltung von Signaturen, Regeln und Abfragen, einschließlich der Integration mit Systemen zur Erkennung und Verhinderung von Eindringlingen.
    • Integration in die Automatisierung der Malware-Analyse, z. B. durch Isolierung von Anomalien in einer Sandbox.
    • Bereitstellung von Workflow-Management/Priorisierung für Analysten-Teams.

    Zu den Systemen für die Verwaltung von Bedrohungsdaten und die Reaktion auf Bedrohungen gehören die folgenden Optionen sowie spezielle Bedrohungsdatenplattformen, von denen viele miteinander kombiniert werden können: Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Security Information and Event Management (SIEM) und Security Orchestration and Response (SOAR). Die E-Mail-Sicherheitsangebote von Mimecast wiederum lassen sich in viele solcher Systeme integrieren.

    Die Vorteile der Integration von Intelligence Feeds

    Die Integration bietet mehrere Vorteile, unter anderem:

    • Benutzerfreundlichkeit
    • Schnellere Identifizierung von Angriffen
    • Rationalisierte Untersuchungen
    • Automatisierung und Vereinfachung

    Dennoch ist die Integration eine Herausforderung

    Ein Teilnehmer an der CRA-Umfrage beschrieb die größte Herausforderung bei der Integration von Nachrichtenfeeds als "die richtigen Leute zu finden und Prozesse aufzubauen, um dies effektiv zu gestalten". Tatsächlich nannte ein Drittel der Befragten mangelnde Fähigkeiten als Hindernis für eine effektive Bedrohungsanalyse.

    Jeder Fünfte gab außerdem an, dass sich seine alten Werkzeuge nicht gut in modernere Systeme integrieren lassen. "Das Alter dieser Geräte lässt eine Integration nicht zu", sagte ein Sicherheitsexperte.

    Die Bewertung der Relevanz von Open-Source-Informationen von Gruppen wie US-CERT stellt kleinere Unternehmen vor eine andere Art von Problem. "Ein Großteil davon konzentriert sich auf Regierungs-, Verteidigungs- oder andere große Unternehmensziele. Wir haben ein anderes Bedrohungsprofil", sagte ein anderer. 

    Gleichzeitig nannte ein Drittel der Sicherheitsexperten die sich verändernde Bedrohungslandschaft. Ein Umfrageteilnehmer bemerkte: "Es ist die enorme Menge an Bedrohungen, die eskaliert sind ... und auch die enorme Menge an Patching."

    Die Information Systems Security Association (ISSA) schlägt vor, eine Dreijahresstrategie zu entwickeln. "Der Aufbau einer technologischen Sicherheitsarchitektur kann Jahre dauern, wenn Sicherheitsteams einzelne Tools ersetzen, Anbieter konsolidieren und Technologien integrieren", so die ISSA in einem kürzlich veröffentlichten Bericht. "Dieser Prozess sollte mit einem soliden Dreijahresplan beginnen, der die aktuelle Sicherheitsarchitektur detailliert beschreibt, Lücken definiert und Projektphasen zur Behebung von Schwachstellen festlegt."[3]

    Die Quintessenz

    Sicherheitsexperten sind sich einig, dass die Integration von Informationen über Cyber-Bedrohungen eine Priorität ist, um ihre Chancen gegen zunehmende Cyber-Angriffe zu verbessern. Viele investieren in die entsprechenden Mittel, aber die Suche nach qualifizierten Fachkräften für die Umsetzung der Integration steht ihnen oft im Weg. Anbieter wie Mimecast helfen dabei, solche Hindernisse zu überwinden, indem sie sich mit Technologiepartnern zusammenschließen, um Kunden beim Aufbau von Sicherheitsökosystemen zu unterstützen, die von integrierten Cyber-Bedrohungsdaten profitieren. Weitere Informationen finden Sie im Bericht der CyberRisk Alliance (CRA), "Threat Intelligence: Entscheidend im Kampf gegen Cyberangriffe, aber schwer zu meistern.


     

    [1] "XDR Poised to Become a Force Multiplier for Threat Detection," CyberRisk Alliance

    [2] "Der Stand der Effektivität von Bedrohungsdaten in den USA und Großbritannien," Ponemon Institute

    [3] "Tech Perspectives from Cybersecurity Professionals," Information Systems Security Association

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang