«You can have data without information, but you cannot have information without data.» Daniel Keys Moran, ein amerikanischer Programmierer und Science-Fiction-Autor, bringt es auf den Punkt. Daten ohne Informationen zu haben, ist durchaus möglich, aber nicht Informationen ohne Daten. Und es ist ja nicht so, dass wir zu wenig Daten haben – im Gegenteil. Ein grosses Problem der Informationssicherheit ist heutzutage, dass wir in Daten ertrinken und so die relevanten übersehen. Worauf Sie sich konzentrieren sollten und was Sie getrost ignorieren können, erfahren Sie in diesem Blogartikel.
Threat Intelligence für alle Sicherheitsfunktionen im Unternehmen
Sicherheitswarnungen, Schwachstellen-Scans oder Listen mit bösartigen File-Hashes verlangen unsere ständige Aufmerksamkeit. Dabei die wirklichen Bedrohungen von Fehlalarmen zu unterscheiden, kann eine ziemliche Herausforderung darstellen.
Egal ob es sich um Security Operations, Incident Response oder Vulnerability Management handelt – das Problem mit zu vielen Daten und zu wenig Kontext betrifft alle. Oft sind Sicherheitsexperten mit der Menge der Daten überfordert, oder schlimmer noch: Threat Intelligence wird oft als eigenständige, fast schon isolierte Funktion behandelt und nicht als wesentliche Komponente, die andere Funktionen ergänzt. Deshalb haben oft diejenigen, die am meisten von Threat-Informationen profitieren könnten, gar keinen Zugriff darauf.
Dies erreichen Sie mit einer Lösung, die sich mit allen aktuell eingesetzten Sicherheitslösungen zusammenschliesst. Dadurch können Sicherheitsteams vernetzter und flexibler miteinander zusammenarbeiten und auf die gleichen Informationen zugreifen. Wie oft kommt es vor, dass ein Team eine für sie überflüssige Information zugespielt bekommt, die für ein anderes Team womöglich wichtig ist? Mit hilfreichen Informationen aus einer intelligenten Threat Intelligence-Lösung können Sie viel schneller aus SIEM-Daten oder Schwachstellen-Scans Patches priorisieren oder bei einem Incident Response ein klareres Bild davon erhalten, wie sie reagieren sollen. Wichtig hierbei ist, dass die richtigen Personen im richtigen Moment an die richtigen Informationen gelangen. Es ist an der Zeit, die Mauern zwischen isolierten Sicherheitsfunktionen zu durchbrechen und allen einen direkten Zugang zu Bedrohungsinformationen zu bieten. Weshalb? Weil (mindestens) folgende vier Gründe dafürsprechen:
1. Warnmeldungen werden schneller ausgewertet
Bei der Auswertung von Warnmeldungen ist es wichtig zu wissen, dass eine Warnung meist nicht auf einem einmaligen Ereignis oder einer einzelnen Aktivität basiert. Diese werden ausgelöst, wenn mehrere Ereignisse ein im Vergleich zur festgelegten Baseline ungewöhnliches Verhalten anzeigen. Sicherheitsteams werden aber täglich mit einer Vielzahl von Warnungen konfrontiert. Durchschnittlich werden aber über 40% der Warnungen nicht untersucht. Sie alle manuell zu durchsuchen, ist sehr aufwändig und dazu fehlt oftmals schlicht die Zeit. Mit einer integrierten Threat Intelligence-Lösung werden Warnmeldungen sofort priorisiert.
2. Das Patching wird anhand der Bedrohungslage priorisiert
Der Ansatz «Patch everything, all the time» ist für die heutige Bedrohungslandschaft leider nicht mehr realistisch. Es gibt zu viele Schwachstellen, die ständig auftreten, aber nicht alle sind wirklich kritisch und werden (oder wurden) effektiv von Cyberkriminellen ausgenutzt. Und auch sonst gilt: Es muss nicht immer alles «gleich» gepatcht werden. Das eigene Netzwerk enthält wahrscheinlich nur einen kleinen Teil der wirklich riskanten Schwachstellen. Durch die Verknüpfung von Schwachstellen-Scans mit der Threat Intelligence können Sie schnell erkennen, welche Schwachstellen tatsächlich kritisch sind und umgehend beseitigt werden müssen.
3. Analysten werden da eingesetzt, wo es kritisch ist
Finden Sie es einfach, Fehlalarme von echten Bedrohungen zu unterscheiden? Wir wagen zu sagen, dass das auch für Sie und viele andere eine Herausforderung darstellt. Ausserdem verschwenden Analysten oftmals viel Zeit, um all die Fehlalarme abzuarbeiten; insbesondere, wenn die Indikatoren ohne Kontext versehen sind und damit nicht wirklich viele Hinweise liefern.
Erste Untersuchungen beruhen oft auf File Reputation Services. Diese liefern jedoch für die Malware-Analyse zu wenig Informationen, um den gesamten Hintergrund zu erkennen. Threat Intelligence beschleunigt dies enorm, wodurch Sie die Zeit Ihrer Analysten besser einsetzen können.
4. Warnungen werden schneller untersucht und ausgewertet
Jede Warnung manuell zu untersuchen, benötigt viel Zeit. Und Zeit ist ja bekanntlich Geld – auch in der Cyber Defence. Egal, ob ein einzelner Analyst oder ein ganzes Team: Mit der Flut von Informationen zu Bedrohungen kann niemand mithalten. Da muss Unterstützung her! Eine Threat Intelligence-Lösung wie die von Recorded Future kann Informationen über Kategorien wie Hashes, IP-Adressen, Domänen oder Schwachstellen sofort identifizieren und organisieren. So sparen Sie nicht nur Zeit, sondern auch eine Menge Nerven.
Erweitern Sie Ihre Threat Intelligence mit Recorded Future
Zusammengefasst können wir sagen, dass jedes Problem letztendlich aus zwei grundlegenden Mängeln entsteht:
- Zeitmangel oder
- Informationsmangel
…Im schlimmsten Fall sogar wegen beiden.
Um nochmals auf das Zitat vom Anfang zurückzukommen: Die wirklich relevanten Informationen sind draussen versteckt, irgendwo in den Datenbergen. Oft kann einfach nicht rechtzeitig darauf zugegriffen werden – im Falle einer Cyberattacke kann dies sehr gefährlich und gar business-kritisch sein. Recorded Future reisst die beschriebenen Mauern zwischen isolierten Sicherheitsfunktionen nieder und bietet so einen direkten Zugang zu den relevanten Threat Intelligence-Informationen. Nicht zuletzt deshalb vertrauen auch unsere Analysten in unserem Cyber Defence Center auf Recorded Future. Testen Sie Recorded Future selber und holen Sie sich jetzt die kostenlose Demo-Version!
Erhalten Sie die richtigen Informationen inmitten der Datenberge …
… und das ganz bequem in Ihre Mailbox! Nutzen Sie unseren Cyber Security & Cyber Defence Blog als Informationsquelle und bleiben Sie auf dem Laufenden. Jetzt abonnieren und von Insights, Tipps und Tricks profitieren!
Cyber Threat Intelligence – 360°-Sicht auf Ihre konkrete Bedrohungslage
Rund um die Uhr setzen sich unsere Cyber Threat-Analysten mit der Bedrohungslage auseinander und analysieren Informationen aus dem Darknet, von Threat Intelligence Feeds und viele weiteren Quellen. Unser Cyber Threat Intelligence Service liefert Ihnen die optimale Grundlage für Ihre Business Intelligence und den proaktiven Schutz Ihrer Unternehmenswerte.
Interessiert? Dann downloaden Sie jetzt unsere Broschüre:
* In Kooperation mit Recorded Future
