Vitalii Inventory | shutterstock.com
Ausgeprägte Fähigkeiten im Bereich Risk Intelligence (TI) können dazu beitragen, Ihre Cybersecurity-Initiative auf die nächste Stufe zu heben. Das kann nicht nur dabei helfen, Bedrohungen schneller zu erkennen – Sicherheitsentscheider können so außerdem ihre Risikoexposition besser verstehen und künftige Investitionen priorisieren.
Kein Wunder additionally, dass immer mehr Unternehmen auf Risk Intelligence setzen: Laut dem „2024 State of Risk Intelligence“-Report (PDF) von Recorded Future investieren drei von fünf Organisationen mindestens zwischen 11 und 30 Prozent ihres gesamten Budgets in entsprechende Lösungen. Dabei stellt sich die Frage, wie viel von diesem Geld intestine angelegt ist. Denn Risk Intelligence kann sich auch als Kostenfalle erweisen. Organisationen können ihre finanziellen Ressourcen dabei nicht nur für schlechte Informationen und unzureichende Analysen verschwenden, sondern auch für gute Daten, die sich aber nicht effektiv nutzen lassen.
Um Ihre Risk-Intelligence-Bemühungen nicht selbst zu sabotieren, sollten Sie die folgenden fünf Verfehlungen unbedingt vermeiden.
1. Risikomanagement weglassen
Um eingehende Risk-Intelligence-Feeds überhaupt angemessen analysieren und interpretieren zu können, müssen CISOs zunächst die richtige Grundlage schaffen. Und zwar in Type eines soliden Risikomanagement-Programms und der dazu erforderlichen Infrastruktur.
„TI muss in Ihr Risikomanagement eingebunden sein. Wenn das noch nicht der Fall ist, sollte das Ihre oberste Priorität sein“, mahnt Ken Dunham, Cyber Risk Director beim Sicherheitsdienstleister Qualys. Darüber hinaus, so Dunham, sei Risk Intelligence am wertvollsten, wenn es genutzt werde, um Sicherheitsanalysen über die Aktivitäten innerhalb der Infrastruktur zu kontextualisieren. Soll heißen: Unternehmen, die bestmöglich von ihrer TI-Initiative profitieren möchten, sollten ihre Analysen mit Information Science und Information Administration in Einklang bringen.
Das ist kein leichtes Unterfangen, wie Balazs Greksza, Risk Response Lead beim Sicherheitsanbieter Ontinue, erklärt: „Strategisch gesehen ist es schwierig, die Gesamtbetriebskosten mit dem Mehrwert für die Sicherheit und der Time-to-Worth in Einklang zu bringen und parallel alle wichtigen internen Datenquellen und Instruments zu integrieren. Sicherheit ist kein Large-Information-Downside – vielmehr geht es darum, zur richtigen Zeit auf die richtigen Informationen zuzugreifen, um entsprechende Schlussfolgerungen ziehen zu können.“
Deshalb sollten CISOs laut Greksza klare Ziele und Anforderungen darüber definieren, wie Bedrohungsinformationen und Analysedaten zu einer besseren Entscheidungsfindung beitragen können.
2. Schlechte Daten nutzen
Gar keine Informationen zu nutzen, ist im Zweifel besser, als schlechte oder unzureichende Daten einzusetzen. Denn Analysten, die solche Informationen validieren und in einen Kontext setzen, verschwenden nur ihre Zeit. Sollten sich in so einem Szenario noch Fehler einschleichen, sind verheerenden Entscheidungen auf operativer und strategischer Ebene Tür und Tor geöffnet. Intelligence-Profis dürfte in diesem Zusammenhang das Akronym CART bekannt sein. Es steht für:
- Completeness (Vollständigkeit),
- Accuracy (Genauigkeit),
- Relevance (Relevanz) und
- Timeliness (Aktualität).
„Vollständigkeit bedeutet, dass jeder Informationsschnipsel zu einem vollständigen Bild über die Bedrohung beiträgt – einschließlich Akteure, Methoden und betroffene Systeme“, ordnet Callie Guenther, Senior Supervisor of Cyber Risk Analysis beim Managed-Providers-Anbieter Crucial Begin, ein. Dabei sei Genauigkeit eines der wichtigsten Qualitätsmerkmale, fügt die Sicherheitsexpertin hinzu: „Glaubwürdige und zuverlässige Quellen sind erfolgskritisch. Fließen ungenaue oder nicht korrekte Informationen ein, kann das zu Fehlalarmen, Ressourcenverschwendung und potenziell neuer Publicity führen, wenn relevante Bedrohungen nicht adressiert werden.“
Guenther spricht sich zudem dafür aus, das CART-Akronym noch um ein weiteres „A“ für Actionability (Umsetzbarkeit) zu erweitern: „Intelligence sollte detailliert und spezifisch genug ausfallen, um spezifische Sicherheitsmaßnahmen gezielt voranzutreiben. Dazu kann beispielsweise gehören, Safety Units anzupassen, Richtlinien zu aktualisieren oder Schwachstellen zu beheben.“
3. Anforderungen vernachlässigen
Die Datenquellen für Risk-Intelligence-Initiativen sollten aber nicht nur dauerhaft qualitativ hochwertige Informationen liefern, sondern vor allem auch zu den Geschäftsanforderungen und dem individuellen Safety-Programm eines Unternehmens passen. Wird der Prozess übersprungen (oder einfach nur an die SOC-Analysten abgeschoben), in dem das Staff identifiziert, welche Artwork von Informationen es benötigt, um die richtigen Safety-Entscheidungen zu treffen, ist Misserfolg vorprogrammiert.
Dov Lerner, Safety Analysis Lead beim TI-Anbieter Cybersixgill, weiß, was für CISOs zu tun ist: „Für ein effektives Risk-Intelligence-Programm müssen Organisationen ihre Intelligence-Groups auf sämtlichen Ebenen mit Anforderungen versorgen – und offen dafür sein, Prozesse und Entscheidungen für ihre Entscheidungsfindung zu nutzen.“
Darüber hinaus gibt Lerner zu bedenken, dass TI-Initiativen auch über die nötige organisatorische Bandbreite verfügen müssten, um eine ganze Reihe von Stakeholdern im Safety-Bereich und darüber hinaus einbinden zu können. An dieser Stelle ein eigenes Programm für Stakeholder aufzusetzen, könnte sich für manche Unternehmen lohnen.
Matt Hull, International Head of Cyber Risk Intelligence beim Sicherheitsanbieter NCC Group, sorgt auf diese Weise dafür, dass Anforderungen in seinem Unternehmen effizienter und konsistenter erfasst werden: „Wir betreiben bei NCC eine Artwork Ticketing-System – der sogenannte Request-for-Intelligence-Prozess. Im Wesentlichen handelt es sich dabei um einen Mechanismus, der die Stakeholder um Enter darüber bittet, welche Fragen sie beantwortet haben möchten. Dieser wird dann an das zuständige Staff weitergeleitet.“
4. Kontext ignorieren
Taktische Intelligenz übermäßig zu fokussieren, ist einer der häufigsten Fehler, den Organisationen im Rahmen einer Risk-Intelligence-Einführung begehen können, ist Guenther überzeugt. „Taktische Informationen sind ohne Frage unerlässlich. Sich aber alleine auf Indicators of Compromise zu verlassen und dabei den strategischen oder operativen Kontext auszublenden, sorgt eher für eine reaktive als eine proaktive Safety“, warnt die Crucial-Begin-Managerin.
Laut NCC-Entscheider Hull sollten gute Risk-Intelligence-Groups in der Lage sein, Informationen in drei wesentlichen Bereichen zu sammeln:
- Taktische Intelligence-Daten, die dem traditionellen IoC-Muster folgen und die Risk Detection mit spezifischen, technischen Informationen aus Malware-Analysen und anderen Monitoring-Maßnahmen optimieren können.
- Operative Intelligence-Daten, die eine Ebene höher angesiedelt sind und sich um Ways, Methods und und Procedures (TTPs) drehen.
- Strategische Intelligence, die ein Gesamtbild liefert, das geopolitische, branchenbezogene und geschäftliche Zusammenhänge einbezieht.
Bei der NCC Group kümmert sich jeweils ein Staff um jeden der genannten Bereiche. „Das stellt sicher, dass unser Risk-Intelligence-Programm jeden Bereich angemessen abdeckt“, versichert Hull. Der strategische Teil sei dabei der Half, der für Unternehmen oft den größten finanziellen Wert darstelle: „Diese Informationen können dabei helfen, Ausgaben auf Grundlage der realen Bedrohungslandschaft zu priorisieren. Darüber hinaus können diese Daten CISOs auch dabei unterstützen, ihre Maßnahmen und ihren Return on Funding langfristig unter Beweis zu stellen.“
Auf diese Artwork und Weise vorzugehen, könne Sicherheitsentscheider dabei unterstützen, sich auch komplexeren Analysen anzunähern – etwa der Quantifizierung von Cyberrisiken, konstatiert der NCC-Experte.
5. Kommunikation vernachlässigen
Die beste Risk-Intelligence-Initiative ist nutzlos, wenn die richtigen Informationen die entsprechenden Stakeholder nicht zur richtigen Zeit und in einem für sie geeigneten Format erreichen. Laut Cybersixgill-Supervisor Lerner kommt es leider gerade in dieser Section, in der TI-Analysten Informationen verarbeiten und an die Stakeholder weiterleiten, zu Problemen: „Viele Intelligence-Groups machen keinen guten Job, wenn es darum, geht, Intelligence-Daten für die jeweilige Zielgruppe aufzubereiten. Strategische Informationen für die Führungsebene bieten beispielsweise in der Regel keinen großen Mehrwert, wenn sie mit technischen Daten und Akronymen überfrachtet sind.“
Um Informationen fokussiert und zielgerichtet an die Stakeholder zu bringen, empfiehlt NCC-Entscheider Hull, die Particulars dafür in der Section zu formulieren, in der die Anforderungen definiert werden: „Definieren Sie die Richtung, in die die Informationen verbreitet werden und den Mechanismus, der dafür verwendet wird. Es ist essenziell, dass die relevanten Interessengruppen einfach und schnell Zugriff auf die für sie bestimmten Daten bekommen.“
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Publication liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
