>
Blog

Was die 6 Phasen des Threat Intelligence-Lebenszyklus für Ihr Team bedeuten

Veröffentlicht: 15. Januar 2020
Von: DAS AUFGENOMENE ZUKUNFTSTEAM

Anmerkung des Herausgebers: In den nächsten Wochen veröffentlichen wir Auszüge aus der neu erschienenen zweiten Ausgabe unseres beliebten Buches „ The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program“. Hier schauen wir uns Kapitel zwei an: „Der Lebenszyklus von Threat Intelligence“.

Auf Ihrem Weg zur Sicherheitsintelligenz müssen umfassende Echtzeitinformationen eng in Ihre Sicherheitsprozesse, Ihr Drittanbieter-Risikomanagementprogramm und Ihre Markenschutzstrategie integriert werden. Aber wie können Sie hierfür Bedrohungsinformationen entwickeln, die Ihrem Unternehmen einen echten Mehrwert bieten? Und wie können Sie sicherstellen, dass die von Ihnen bereitgestellten Informationen für Teams aller Sicherheitsfunktionen umsetzbar sind?

Um diese Fragen beantworten zu können, ist es wichtig, die Erstellung von Bedrohungsinformationen als einen mehrstufigen, zyklischen Prozess zu betrachten – und nicht als eine einmalige Aufgabe.

Zunächst müssen die Ziele des Cyber-Threat-Intelligence-Zyklus von den wichtigsten Interessengruppen definiert werden. Diese Ziele können je nach Anwendungsfall, Prioritäten und Risiko von Organisation zu Organisation stark variieren. Von dort aus müssen Daten aus einer Reihe von Quellen – internen, technischen und menschlichen – gesammelt werden, um ein vollständiges Bild der potenziellen und tatsächlichen Cyber-Bedrohungen zu entwickeln. Anschließend müssen diese Daten verarbeitet und in echte Informationen umgewandelt werden, die zeitnah, klar und für alle umsetzbar sind – unabhängig davon, ob sie ein SOC besetzen, auf Sicherheitsvorfälle reagieren, Schwachstellen verwalten, Risiken von Drittanbietern analysieren, Ihre digitale Marke schützen oder Sicherheitsentscheidungen auf hoher Ebene treffen. Diese fertigen Geheimdienstergebnisse gehen dann an die wichtigsten Beteiligten zurück, die sie nutzen können, um zukünftige Geheimdienstzyklen kontinuierlich zu verbessern und ihren Entscheidungsprozess zu verfeinern.

Der folgende Auszug aus „ The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program“ wurde aus Gründen der Übersichtlichkeit bearbeitet und gekürzt. Darin untersuchen wir jede der sechs Phasen des Bedrohungsinformationslebenszyklus, überprüfen Bedrohungsinformationsquellen und betrachten die Rollen von Bedrohungsinformationstools und menschlichen Analysten.

Threat Intelligence-Lebenszyklus in 6 Schritten

Die Bedrohungsaufklärung basiert auf Analysetechniken, die von Regierungs- und Militärbehörden über mehrere Jahrzehnte hinweg verfeinert wurden. Traditionelle Intelligenz konzentriert sich auf sechs verschiedene Phasen, die den sogenannten „Intelligenzzyklus“ ausmachen: Lenkung, Sammlung, Verarbeitung, Analyse, Verbreitung und Feedback.

Was ist der Cyber Threat Intelligence-Lebenszyklus?

Bedrohungsinformationen und die sechs Phasen des Informationslebenszyklus.

1 Richtung

In der Richtungsphase des Lebenszyklus legen Sie Ziele für das Threat-Intelligence-Programm fest. Hierzu gehört das Verstehen und Artikulieren von:

  • Die Informationswerte und Geschäftsprozesse, die geschützt werden müssen
  • Die möglichen Auswirkungen des Verlusts dieser Vermögenswerte oder der Unterbrechung dieser Prozesse
  • Die Arten von Bedrohungsinformationen, die die Sicherheitsorganisation benötigt, um Vermögenswerte zu schützen und auf neu auftretende Bedrohungenzu reagieren
  • Prioritäten bei der Frage, was geschützt werden soll

Sobald der Bedarf an hochrangigen Informationen ermittelt ist, kann eine Organisation Fragen formulieren, die den Informationsbedarf in diskrete Anforderungen kanalisieren. Wenn es beispielsweise das Ziel ist, mögliche Gegner zu verstehen, wäre eine logische Frage: „Welche Bedrohungsakteure in Untergrundforen fordern aktiv Daten zu unserer Organisation an?“

2. Abholung

Unter Sammlung versteht man den Prozess der Zusammenführung von Informationen zur Erfüllung der wichtigsten Geheimdienstanforderungen. Die Informationsbeschaffung kann auf natürliche Weise mithilfe verschiedener Mittel erfolgen, unter anderem:

  • Abrufen von Metadaten und Protokollen aus internen Netzwerken und Sicherheitsgeräten
  • Abonnieren Sie Bedrohungsdaten-Feeds von Branchenorganisationen und Cybersicherheitsanbietern
  • Führen von Gesprächen und gezielten Interviews mit sachkundigen Quellen
  • Scannen von Open-Source-Nachrichten und Blogs (eine gängige OSINT- Praxis)
  • Scraping und Harvesting von Websites und Foren
  • Infiltrieren geschlossener Quellen wie Darknet-Foren

Die erfassten Daten sind typischerweise eine Kombination aus fertigen Geheimdienstinformationen, wie etwa Geheimdienstberichten von Cybersicherheitsexperten und -anbietern, und Rohdaten, wie etwa Malware-Signaturen oder durchgesickerten Anmeldeinformationen auf einer Paste-Site.

3. Verarbeitung

Unter Verarbeitung versteht man die Umwandlung gesammelter Informationen in ein für die Organisation nutzbares Format. Fast alle gesammelten Rohdaten müssen in irgendeiner Weise verarbeitet werden, sei es durch Menschen oder Maschinen. Unterschiedliche Erfassungsmethoden erfordern oft unterschiedliche Verarbeitungsmethoden. Möglicherweise müssen menschliche Berichte korreliert und bewertet, Konflikte beseitigt und überprüft werden.

Ein Beispiel könnte das Extrahieren von IP-Adressen aus dem Bericht eines Sicherheitsanbieters und das Hinzufügen dieser zu einer CSV-Datei zum Importieren in ein SIEM-Produkt (Security Information and Event Management) sein. In einem technischeren Bereich kann die Verarbeitung das Extrahieren von Indikatoren aus einer E-Mail, deren Anreicherung mit anderen Informationen und die anschließende Kommunikation mit Endpunktschutztools zur automatischen Blockierung umfassen.

4. Analyse

Analyse ist ein menschlicher Prozess, der verarbeitete Informationen in Erkenntnisse umwandelt, die als Entscheidungsgrundlage dienen können. Je nach den Umständen können die Entscheidungen beinhalten, ob potenzielle neu auftretende Bedrohungen untersucht werden sollen, welche Maßnahmen zum Blockieren eines Angriffs sofort ergriffen werden sollen, wie die Sicherheitskontrollen verstärkt werden sollen oder wie viel Investition in zusätzliche Sicherheitsressourcen gerechtfertigt ist.

Dabei kommt es vor allem auf die Form an, in der die Informationen präsentiert werden. Es ist sinnlos und verschwenderisch, Informationen zu sammeln und zu verarbeiten und sie dann in einer Form bereitzustellen, die vom Entscheidungsträger weder verstanden noch genutzt werden kann. Wenn Sie beispielsweise mit nicht-technischen Führungskräften kommunizieren möchten, muss Ihr Bericht:

  • Fassen Sie sich kurz (ein einseitiges Memo oder eine Handvoll Folien)
  • Vermeiden Sie verwirrende und übermäßig technische Begriffe und Fachjargon
  • Formulieren Sie die Probleme in geschäftlichen Begriffen (wie direkte und indirekte Kosten und Auswirkungen auf den Ruf)
  • Fügen Sie eine empfohlene Vorgehensweise hinzu

Bestimmte Informationen müssen möglicherweise in unterschiedlichen Formaten für unterschiedliche Zielgruppen bereitgestellt werden, etwa über einen Live-Video-Feed oder eine PowerPoint-Präsentation. Nicht alle Geheimdienstinformationen müssen in einem formellen Bericht verarbeitet werden. Erfolgreiche Cyber-Threat-Intelligence-Teams liefern anderen Sicherheitsteams kontinuierlich technische Berichte mit externem Kontext zu IOCs, Malware, Bedrohungsakteuren, Schwachstellen und Bedrohungstrends.

5. Verbreitung

Bei der Verbreitung geht es darum, die fertigen Geheimdienstergebnisse an die Orte zu bringen, an die sie gelangen sollen. Die meisten Cybersicherheitsorganisationen verfügen über mindestens sechs Teams, die von Bedrohungsinformationen profitieren können.

Für jede dieser Zielgruppen müssen Sie sich folgende Fragen stellen:

  • Welche Bedrohungsinformationen benötigen sie und wie können externe Informationen ihre Aktivitäten unterstützen?
  • Wie sollten die Informationen präsentiert werden, damit sie für das Publikum leicht verständlich und umsetzbar sind?
  • Wie oft sollten wir Updates und andere Informationen bereitstellen?
  • Über welche Medien sollen die Informationen verbreitet werden?
  • Wie sollten wir weiter vorgehen, wenn sie Fragen haben?

6. Feedback

Wir sind davon überzeugt, dass es von entscheidender Bedeutung ist, Ihre allgemeinen Geheimdienstprioritäten und die Anforderungen der Sicherheitsteams zu verstehen, die die Bedrohungsinformationen nutzen werden. Ihre Anforderungen bestimmen alle Phasen des Bedrohungsaufklärungs-Lebenszyklus und geben Aufschluss über:

  • Welche Arten von Daten sollen erfasst werden?
  • So verarbeiten und bereichern Sie die Daten, um sie in nützliche Informationen umzuwandeln
  • So analysieren Sie die Informationen und stellen sie als verwertbare Bedrohungsinformationen dar
  • An wen welche Art von Informationen weitergegeben werden muss, wie schnell sie weitergegeben werden müssen und wie schnell auf Fragen reagiert werden muss

Sie benötigen regelmäßiges Feedback, um sicherzustellen, dass Sie die Anforderungen jeder Gruppe verstehen und um Anpassungen vorzunehmen, wenn sich deren Anforderungen und Prioritäten ändern.

Häufig gestellte Fragen zum Cyber Threat Intelligence Cycle

Warum ist der Cyber-Bedrohungsinformationszyklus für Sicherheitsteams von entscheidender Bedeutung?

Der Cyber-Threat-Intelligence-Zyklus ist für Sicherheitsteams von entscheidender Bedeutung, da er eine strukturierte Methodik zum Sammeln, Analysieren und Nutzen von Bedrohungsdaten bietet. Dieser Zyklus hilft dabei, die Bedrohungslandschaft besser zu verstehen, was wiederum dabei hilft, sich auf Sicherheitsbedrohungen vorzubereiten und effizient darauf zu reagieren. Durch diesen Zyklus werden verwertbare Informationen generiert, die für fundierte Entscheidungen zur Stärkung der Sicherheitslage des Unternehmens gegen Cyberangriffe von entscheidender Bedeutung sind.

Was sind die Hauptvorteile der Implementierung eines Threat-Intelligence-Programms?

Durch die Implementierung eines Bedrohungsaufklärungsprogramms erhalten Unternehmen die Möglichkeit, potenzielle Sicherheitsbedrohungen vorherzusehen, sich darauf vorzubereiten und sie einzudämmen. Dieses Programm ist ein integraler Bestandteil des Bedrohungsaufklärungsprozesses und ermöglicht ein tieferes Verständnis der Bedrohungsakteure und ihrer Taktiken. Dadurch ist das Threat-Intelligence-Team in der Lage, vollständige Bedrohungsdaten bereitzustellen, die für proaktive Abwehrmaßnahmen von entscheidender Bedeutung sind. Darüber hinaus bereichert ein Threat-Intelligence-Programm die Strategien zur Reaktion auf Vorfälle und fördert eine Kultur des kontinuierlichen Lernens und der Anpassung an die sich entwickelnde Bedrohungslandschaft.

Welche Organisationen profitieren am meisten vom Cyber Threat Intelligence Cycle?

Organisationen, die in Sektoren mit wertvollen Daten wie dem Finanz-, Gesundheits- und öffentlichen Sektor tätig sind, sind oft Hauptziele für Bedrohungsakteure und profitieren daher stark vom Cyber-Threat-Intelligence-Zyklus. Dieser Zyklus mit seinen definierten Phasen des Lebenszyklus der Bedrohungsaufklärung unterstützt die Informationssammlung und Bedrohungsaufklärungsanalyse, die für das Verständnis und die Eindämmung potenzieller Risiken von entscheidender Bedeutung ist. Darüber hinaus ist der Cyber Threat Intelligence-Zyklus auch für Unternehmen mit einer starken Onlinepräsenz, Unternehmen, die großen Wert auf Verfügbarkeit legen oder gesetzliche Vorschriften einhalten müssen, unverzichtbar, um sich in der komplexen Sicherheitslandschaft zurechtzufinden.

Welche allgemeinen Herausforderungen treten bei der Implementierung des Cyber Threat Intelligence-Zyklus auf?

Zu den üblichen Herausforderungen bei der Implementierung gehören die anfängliche Einrichtung einer robusten Bedrohungsaufklärungsplattform, die Gewährleistung einer kontinuierlichen und relevanten Informationssammlung sowie die genaue Analyse der Daten zur Generierung umsetzbarer Erkenntnisse. Die Wirksamkeit von Bedrohungsinformationsberichten kann durch einen Mangel an qualifiziertem Personal oder unzureichende Ressourcen beeinträchtigt werden. Darüber hinaus kann es auch eine große Herausforderung darstellen, die aus der Bedrohungsanalyse gewonnenen Erkenntnisse in die vorhandenen Verfahren zur Reaktion auf Vorfälle zu integrieren und einen nahtlosen Informationsfluss sicherzustellen.

Holen Sie sich das „Threat Intelligence Handbook“

Das vollständige Kapitel des Buchs enthält noch viele weitere wichtige Inhalte, darunter hilfreiche Diagramme, Hinweise und Tipps zur Anwendung dieser Erklärungen auf Ihr eigenes effektives Bedrohungsaufklärungsprogramm sowie ausführlichere Informationen zu Themen wie Bedrohungsdaten.

Um den Rest zu lesen, laden Sie noch heute Ihr vollständiges (und völlig kostenloses) Exemplar von „ The Threat Intelligence Handbook“ herunter.

Dieser Artikel wurde ursprünglich am 15. Januar 2020 veröffentlicht und zuletzt am 5. Februar 2024 aktualisiert.

Verwandt