5 teure Threat-Intelligence-Fehler

Ausgeprägte Fähigkeiten im Bereich Threat Intelligence (TI) können dazu beitragen, Ihre Cybersecurity-Initiative auf die nächste Stufe zu heben. Das kann nicht nur dabei helfen, Bedrohungen schneller zu erkennen – Sicherheitsentscheider können so außerdem ihre Risikoexposition besser verstehen und künftige Investitionen priorisieren.

Kein Wunder also, dass immer mehr Unternehmen auf Threat Intelligence setzen: Laut dem „2024 State of Threat Intelligence“-Report (PDF) von Recorded Future investieren drei von fünf Organisationen mindestens zwischen 11 und 30 Prozent ihres gesamten Budgets in entsprechende Lösungen. Dabei stellt sich die Frage, wie viel von diesem Geld gut angelegt ist. Denn Threat Intelligence kann sich auch als Kostenfalle erweisen. Organisationen können ihre finanziellen Ressourcen dabei nicht nur für schlechte Informationen und unzureichende Analysen verschwenden, sondern auch für gute Daten, die sich aber nicht effektiv nutzen lassen.

Um Ihre Threat-Intelligence-Bemühungen nicht selbst zu sabotieren, sollten Sie die folgenden fünf Verfehlungen unbedingt vermeiden.

1. Risikomanagement weglassen

Um eingehende Threat-Intelligence-Feeds überhaupt angemessen analysieren und interpretieren zu können, müssen CISOs zunächst die richtige Grundlage schaffen. Und zwar in Form eines soliden Risikomanagement-Programms und der dazu erforderlichen Infrastruktur.

„TI muss in Ihr Risikomanagement eingebunden sein. Wenn das noch nicht der Fall ist, sollte das Ihre oberste Priorität sein“, mahnt Ken Dunham, Cyber Threat Director beim Sicherheitsdienstleister Qualys. Darüber hinaus, so Dunham, sei Threat Intelligence am wertvollsten, wenn es genutzt werde, um Sicherheitsanalysen über die Aktivitäten innerhalb der Infrastruktur zu kontextualisieren. Soll heißen: Unternehmen, die bestmöglich von ihrer TI-Initiative profitieren möchten, sollten ihre Analysen mit Data Science und Data Management in Einklang bringen.

Das ist kein leichtes Unterfangen, wie Balazs Greksza, Threat Response Lead beim Sicherheitsanbieter Ontinue, erklärt: „Strategisch gesehen ist es schwierig, die Gesamtbetriebskosten mit dem Mehrwert für die Sicherheit und der Time-to-Value in Einklang zu bringen und parallel alle wichtigen internen Datenquellen und Tools zu integrieren. Sicherheit ist kein Big-Data-Problem – vielmehr geht es darum, zur richtigen Zeit auf die richtigen Informationen zuzugreifen, um entsprechende Schlussfolgerungen ziehen zu können.“

Deshalb sollten CISOs laut Greksza klare Ziele und Anforderungen darüber definieren, wie Bedrohungsinformationen und Analysedaten zu einer besseren Entscheidungsfindung beitragen können.

2. Schlechte Daten nutzen

Gar keine Informationen zu nutzen, ist im Zweifel besser, als schlechte oder unzureichende Daten einzusetzen. Denn Analysten, die solche Informationen validieren und in einen Kontext setzen, verschwenden nur ihre Zeit. Sollten sich in so einem Szenario noch Fehler einschleichen, sind verheerenden Entscheidungen auf operativer und strategischer Ebene Tür und Tor geöffnet. Intelligence-Profis dürfte in diesem Zusammenhang das Akronym CART bekannt sein. Es steht für:

• Completeness (Vollständigkeit),
• Accuracy (Genauigkeit),
• Relevance (Relevanz) und
• Timeliness (Aktualität).

„Vollständigkeit bedeutet, dass jeder Informationsschnipsel zu einem vollständigen Bild über die Bedrohung beiträgt – einschließlich Akteure, Methoden und betroffene Systeme“, ordnet Callie Guenther, Senior Manager of Cyber Threat Research beim Managed-Services-Anbieter Critical Start, ein. Dabei sei Genauigkeit eines der wichtigsten Qualitätsmerkmale, fügt die Sicherheitsexpertin hinzu: „Glaubwürdige und zuverlässige Quellen sind erfolgskritisch. Fließen ungenaue oder nicht korrekte Informationen ein, kann das zu Fehlalarmen, Ressourcenverschwendung und potenziell neuer Exposure führen, wenn relevante Bedrohungen nicht adressiert werden.“   

Guenther spricht sich zudem dafür aus, das CART-Akronym noch um ein weiteres „A“ für Actionability (Umsetzbarkeit) zu erweitern: „Intelligence sollte detailliert und spezifisch genug ausfallen, um spezifische Sicherheitsmaßnahmen gezielt voranzutreiben. Dazu kann beispielsweise gehören, Security Devices anzupassen, Richtlinien zu aktualisieren oder Schwachstellen zu beheben.“

3. Anforderungen vernachlässigen

Die Datenquellen für Threat-Intelligence-Initiativen sollten aber nicht nur dauerhaft qualitativ hochwertige Informationen liefern, sondern vor allem auch zu den Geschäftsanforderungen und dem individuellen Security-Programm eines Unternehmens passen. Wird der Prozess übersprungen (oder einfach nur an die SOC-Analysten abgeschoben), in dem das Team identifiziert, welche Art von Informationen es benötigt, um die richtigen Security-Entscheidungen zu treffen, ist Misserfolg vorprogrammiert.  

Dov Lerner, Security Research Lead beim TI-Anbieter Cybersixgill, weiß, was für CISOs zu tun ist: „Für ein effektives Threat-Intelligence-Programm müssen Organisationen ihre Intelligence-Teams auf sämtlichen Ebenen mit Anforderungen versorgen – und offen dafür sein, Prozesse und Entscheidungen für ihre Entscheidungsfindung zu nutzen.“  

Darüber hinaus gibt Lerner zu bedenken, dass TI-Initiativen auch über die nötige organisatorische Bandbreite verfügen müssten, um eine ganze Reihe von Stakeholdern im Security-Bereich und darüber hinaus einbinden zu können. An dieser Stelle ein eigenes Programm für Stakeholder aufzusetzen, könnte sich für manche Unternehmen lohnen.

Matt Hull, Global Head of Cyber Threat Intelligence beim Sicherheitsanbieter NCC Group, sorgt auf diese Weise dafür, dass Anforderungen in seinem Unternehmen effizienter und konsistenter erfasst werden: „Wir betreiben bei NCC eine Art Ticketing-System – der sogenannte Request-for-Intelligence-Prozess. Im Wesentlichen handelt es sich dabei um einen Mechanismus, der die Stakeholder um Input darüber bittet, welche Fragen sie beantwortet haben möchten. Dieser wird dann an das zuständige Team weitergeleitet.“

4. Kontext ignorieren

Taktische Intelligenz übermäßig zu fokussieren, ist einer der häufigsten Fehler, den Organisationen im Rahmen einer Threat-Intelligence-Einführung begehen können, ist Guenther überzeugt. „Taktische Informationen sind ohne Frage unerlässlich. Sich aber alleine auf Indicators of Compromise zu verlassen und dabei den strategischen oder operativen Kontext auszublenden, sorgt eher für eine reaktive als eine proaktive Security“, warnt die Critical-Start-Managerin.

Laut NCC-Entscheider Hull sollten gute Threat-Intelligence-Teams in der Lage sein, Informationen in drei wesentlichen Bereichen zu sammeln:

• Taktische Intelligence-Daten, die dem traditionellen IoC-Muster folgen und die Threat Detection mit spezifischen, technischen Informationen aus Malware-Analysen und anderen Monitoring-Maßnahmen optimieren können.
• Operative Intelligence-Daten, die eine Ebene höher angesiedelt sind und sich um Tactics, Techniques und und Procedures (TTPs) drehen.
• Strategische Intelligence, die ein Gesamtbild liefert, das geopolitische, branchenbezogene und geschäftliche Zusammenhänge einbezieht.

Bei der NCC Group kümmert sich jeweils ein Team um jeden der genannten Bereiche. „Das stellt sicher, dass unser Threat-Intelligence-Programm jeden Bereich angemessen abdeckt“, versichert Hull. Der strategische Teil sei dabei der Part, der für Unternehmen oft den größten finanziellen Wert darstelle: „Diese Informationen können dabei helfen, Ausgaben auf Grundlage der realen Bedrohungslandschaft zu priorisieren. Darüber hinaus können diese Daten CISOs auch dabei unterstützen, ihre Maßnahmen und ihren Return on Investment langfristig unter Beweis zu stellen.“

Auf diese Art und Weise vorzugehen, könne Sicherheitsentscheider dabei unterstützen, sich auch komplexeren Analysen anzunähern – etwa der Quantifizierung von Cyberrisiken, konstatiert der NCC-Experte.

5. Kommunikation vernachlässigen

Die beste Threat-Intelligence-Initiative ist nutzlos, wenn die richtigen Informationen die entsprechenden Stakeholder nicht zur richtigen Zeit und in einem für sie geeigneten Format erreichen. Laut Cybersixgill-Manager Lerner kommt es leider gerade in dieser Phase, in der TI-Analysten Informationen verarbeiten und an die Stakeholder weiterleiten, zu Problemen: „Viele Intelligence-Teams machen keinen guten Job, wenn es darum, geht, Intelligence-Daten für die jeweilige Zielgruppe aufzubereiten. Strategische Informationen für die Führungsebene bieten beispielsweise in der Regel keinen großen Mehrwert, wenn sie mit technischen Daten und Akronymen überfrachtet sind.“

Um Informationen fokussiert und zielgerichtet an die Stakeholder zu bringen, empfiehlt NCC-Entscheider Hull, die Details dafür in der Phase zu formulieren, in der die Anforderungen definiert werden: „Definieren Sie die Richtung, in die die Informationen verbreitet werden und den Mechanismus, der dafür verwendet wird. Es ist essenziell, dass die relevanten Interessengruppen einfach und schnell Zugriff auf die für sie bestimmten Daten bekommen.“

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.