Heutzutage nutzen Unternehmen jeder Größe, Branche und Region Cyber-Bedrohungsdaten, so genannte Cyber-Threat-Intelligence. Die diesjährige „SANS Cyber Threat Intelligence (CTI) Survey“ zeigt, dass 85 % der Befragten Threat-Intelligence-Daten produzieren oder nutzen, während die restlichen 15 % dies planen. Noch bemerkenswerter hierbei ist, die Zahl der Befragten, die nicht planen, Intelligence zu konsumieren oder zu produzieren – sie liegt erstmals bei 0 %, gegenüber 5,5 % im Jahr 2020.
Über zweidrittel der befragten Unternehmen sind auch einige Monate nach dem Sunburst-Hack noch immer sehr besorgt. 60 % der direkt betroffenen Unternehmen versuchen immer noch herauszufinden, ob ein Sicherheitsverstoß vorliegt, und 16 % der Unternehmen fragen sich immer noch, ob sie überhaupt betroffen sind. Die Weiterentwicklung der Sicherheitsabläufe (SecOps) haben bisher nur wenige Unternehmen so vorangetrieben, dass man von der erfolgreichen Integration eines vollständigen Cyber-Threat-Intelligence (CTI) -Ansatzes sprechen kann.
Steigende Bedrohungslage erfordert Einsatz von Cyber-Threat-Intelligence – auch mithilfe von MSSP/MDR
Die Bedrohungslage ist für alle Unternehmen in diesem Jahr noch problematischer geworden. Fast 20 % der Befragten gaben gegenüber SANS an, dass die Pandemie die Art und Weise, wie sie Bedrohungsdaten nutzen, verändert hat, da die Zahl der Phishing- und Ransomware-Angriffe, sowie der Bedrohungen für die Arbeit von zu Hause aus, gestiegen ist. Darüber hinaus hat der jüngste Anstieg der weltweiten Angriffe auf die Lieferketten die Situation in der IT-Sicherheit grundlegend verändert. Für einen effektiven Sicherheitsansatz ist es unerlässlich, SecOps richtig zu planen und zu optimieren, indem eine CTI-Praxis als Kernstück integriert wird. Die notwendigen strategischen Veränderungen, um die SecOps zu verbessern und die Nutzung von Bedrohungsdaten durch die Implementierung einer CTI-Praxis weiterzuentwickeln, sind jedoch für kleinere Unternehmen oft schwer zu implementieren.
Abhilfe schaffen kann hierbei ein Anbieter für MSSP bzw. MDR (Managed-Security-Services-Provider / Managed-Detection and Response), der Prozesse einrichtet und als Tier-1- und Tier-2-SOC-Analyst fungiert. Wenn ein Unternehmen sich jedoch außerhalb eines Vertragsverlängerungsfensters mit seinem Anbieter für Managed-Security befindet, kann dies zu Wartezeiten und anderen Nachteilen führen. Deshalb ist es wichtig, dass Unternehmen ihre SecOps-Entwicklung vorausschauend planen und bei der Vertragserneuerung oder während des Ausschreibungsprozesses mit ihrem MSSP/MDR zusammenarbeiten, um die Entwicklung der SecOps-Prozesse zu synchronisieren. Das ist die Voraussetzung, für die erfolgreiche Nutzung einer CTI-Plattform, um von den Vorteilen der gemeinsamen Nutzung von Bedrohungsdaten, zu profitieren.
Gelegentlich auftretende Störungen sind unvermeidbar, und Bedrohungsakteure werden diese auch weiterhin ausnutzen. Mit einer CTI-Plattform kann allerdings ein proaktiver und vorausschauender Ansatz für SecOps gewählt werden, wobei nicht nur ein Profil des Angriffs erstellt wird, sondern auch ein Profil der Angreifer, die ihre Tools, Techniken und Verfahren (TTPs) schnell ändern, um Abwehrtechnologien zu umgehen.
Mit erkenntnisbasierten Workflows können Sicherheitsmitarbeiter diese Erkenntnisse über die Angreifer und ihre Entwicklung nutzen, um die interne Überwachung zu verbessern, sich auf hochrangige und relevante Bedrohungen zu konzentrieren und somit unnötige Warnungen zu minimieren. Zudem können die Sicherheitsteams die Abwehr stärken, indem sie relevante Bedrohungsdaten automatisch an das Sensornetz, SIEM, Protokolle und Ticketing-Systeme senden, um das Unternehmen proaktiv vor zukünftigen Bedrohungen zu schützen. In einem solchen Setup können die SecOps-Teams in Echtzeit Erkennungsrichtlinien erstellen und aktiv mit dem MSSP/MDR zusammenarbeiten, um mit einem effektiven Krisenmanagement neuen, schwerwiegenden Bedrohungen zu begegnen.
Cyber-Threat-Intelligence bedient alle vier Funktionen der Security-Operations
Security-Operations bestehen in der Regel aus vier Hauptfunktionen: dem Verteidigungsteam, dem Risikomanagement, dem SOC für die Erkennung und dem Incident-Response Team. Eine CTI-Plattform erlaubt es Bedrohungsdaten in Verbindung mit diesen Funktionen zu nutzen, um die Bedrohungsakteure und deren Taktiken, Techniken und Verfahren (TTPs) besser zu verstehen und somit die Verteidigung zu stärken, das Risiko zu mindern und die Erkennung und Reaktion auf homogene und effiziente Weise beschleunigen zu können.
Die zusätzlichen Bedrohungsdaten, die in jedem dieser vier Bereiche gesammelt werden, können dann in die CTI-Plattform eingespeist werden, um ein organisatorisches Gedächtnis zu erstellen. So wird die CTI-Praxis verbessert, indem vertrauenswürdige und zeitnahe Informationen genutzt werden, um die richtigen Maßnahmen zu beschleunigen und eine echte CTI-gesteuerte Orchestrierung über alle SecOps-Tools hinweg zu ermöglichen.
Die praktische Anwendung von CTI erfordert Änderungen bei allen vier Funktionen, einschließlich der Einbindung von MSSP-/MDR-Anbietern
Die Einführung einer CTI-Lösung in den Kern des internen Sicherheitskonzepts, erfordert die Anpassung jeder Funktion an die Verknüpfung mit einer CTI-Plattform, um von der Zusammenarbeit und Kommunikation zu profitieren (SIEM, SOAR, EDR usw.). Einige MSSPs können den Prozess beschleunigen, wenn sie CTI-Funktionen als Teil ihrer Dienstleistung anbieten. Bei anderen wiederum ist eine Anpassung der Prozesse und SLAs für eine erfolgreiche Einführung einer CTI-Plattform notwendig. Änderungen sind einfacher und schneller durchführbar, wenn sie zum Zeitpunkt des Vertragsabschlusses vorgenommen werden. Andernfalls besteht die Gefahr, dass nicht alle Vorteile ausgeschöpft werden, die eine CTI-Praxis dem Unternehmen ermöglichen kann.
Cyber-Threat-Intelligence besitzt Praxisreife
Unternehmen, die mit einem MSSP/MDR zusammenarbeiten, der bereits eine CTI-Praxis anbietet, können im Laufe der Zeit die Fähigkeiten zur Durchführung dieser Praxis adaptieren. Eine Möglichkeit ist, dass der Service Provider weiterhin die CTI-Praxis für das Unternehmen betreibt. In diesem Fall verbleibt der Bedrohungsspeicher vor Ort, um die Prävention, das Blockieren und die globalen Analysen weiter zu verbessern. Dies ist das häufigste Implementierungsmodell, aber es ist noch nicht vollständig ausgereift, und die Dienstanbieter arbeiten mit den SecOps-Teams ihrer Kunden zusammen, um die weitere Entwicklung voranzutreiben.
Wenn der MSSP/MDR kein CTI-Praxisangebot anbietet, um eine effiziente und effektive Konnektivität und Kommunikation zu gewährleisten, dann kann eine CTI-Plattform, die ein flexibles Datenmodell nutzt und offene Standards für den Austausch von Informationen unterstützt, eingesetzt werden. Es ist von großer Bedeutung vorsorglich für das Implementieren einer CTI-Praxis gerüstet zu sein, auch wenn das Programm noch nicht sofort aktiviert werden kann.
Fazit
Die Eskalation der Cyberangriffe in den letzten Monaten hat gezeigt, dass die Zeit drängt, wenn es um den Ausbau des SecOps-Programms geht. Ein reaktives Sicherheitskonzept, bei dem ein Zyklus von Erkennen und Reagieren abläuft, ist keine ausreichende Lösung. Es ist unabdingbar sicherzustellen, dass die Bedrohungsdaten in den Sicherheitsabläufen genutzt werden, um die Angreifer zu verstehen, die Verteidigung zu stärken und die Erkennung und Reaktion zu beschleunigen, indem die SecOps in ein vorausschauendes Programm umgewandelt werden. Die Zusammenarbeit mit dem SOC-MSSP/MDR zum Zeitpunkt des Vertragsabschlusses gewährleistet die Kontrolle über den Zeitplan und verhindert eine lange Wartezeit auf den nächsten Vertragsverhandlungszyklus, um den vollen Wert einer CTI-Praxis und -Plattform zu nutzen.
Von Markus Auer, Regional Sales Manager Central Europe bei Threatquotient
