{"id":1705,"date":"2025-01-30T04:00:00","date_gmt":"2025-01-30T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1705"},"modified":"2025-01-30T04:00:00","modified_gmt":"2025-01-30T04:00:00","slug":"5-teure-threat-intelligence-fehler","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1705","title":{"rendered":"5 teure Threat-Intelligence-Fehler"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Fehlgeleitete Threat-Intelligence-Programme lassen (nicht nur) Ihr Security-Budget schmelzen.\n

Vitalii Stock | shutterstock.com<\/p>\n<\/div>\n

Ausgepr\u00e4gte F\u00e4higkeiten im Bereich Threat Intelligence<\/a> (TI) k\u00f6nnen dazu beitragen, Ihre Cybersecurity-Initiative auf die n\u00e4chste Stufe zu heben. Das kann nicht nur dabei helfen, Bedrohungen schneller zu erkennen \u2013 Sicherheitsentscheider k\u00f6nnen so au\u00dferdem ihre Risikoexposition besser verstehen und k\u00fcnftige Investitionen priorisieren.<\/p>\n

Kein Wunder also, dass immer mehr Unternehmen auf Threat Intelligence setzen: Laut dem \u201e2024 State of Threat Intelligence<\/a>\u201c-Report (PDF) von Recorded Future investieren drei von f\u00fcnf Organisationen mindestens zwischen 11 und 30 Prozent ihres gesamten Budgets in entsprechende L\u00f6sungen. Dabei stellt sich die Frage, wie viel von diesem Geld gut angelegt ist. Denn Threat Intelligence kann sich auch als Kostenfalle erweisen<\/a>. Organisationen k\u00f6nnen ihre finanziellen Ressourcen dabei nicht nur f\u00fcr schlechte Informationen und unzureichende Analysen verschwenden, sondern auch f\u00fcr gute Daten, die sich aber nicht effektiv nutzen lassen.<\/p>\n

Um Ihre Threat-Intelligence-Bem\u00fchungen nicht selbst zu sabotieren, sollten Sie die folgenden f\u00fcnf Verfehlungen unbedingt vermeiden.<\/p>\n

1. Risikomanagement weglassen<\/h2>\n

Um eingehende Threat-Intelligence-Feeds \u00fcberhaupt angemessen analysieren und interpretieren zu k\u00f6nnen, m\u00fcssen CISOs zun\u00e4chst die richtige Grundlage schaffen. Und zwar in Form eines soliden Risikomanagement-Programms<\/a> und der dazu erforderlichen Infrastruktur.<\/p>\n

\u201eTI muss in Ihr Risikomanagement eingebunden sein. Wenn das noch nicht der Fall ist, sollte das Ihre oberste Priorit\u00e4t sein\u201c, mahnt Ken Dunham, Cyber Threat Director beim Sicherheitsdienstleister Qualys. Dar\u00fcber hinaus, so Dunham, sei Threat Intelligence am wertvollsten, wenn es genutzt werde, um Sicherheitsanalysen \u00fcber die Aktivit\u00e4ten innerhalb der Infrastruktur zu kontextualisieren. Soll hei\u00dfen: Unternehmen, die bestm\u00f6glich von ihrer TI-Initiative profitieren m\u00f6chten, sollten ihre Analysen mit Data Science und Data Management in Einklang bringen.<\/p>\n

Das ist kein leichtes Unterfangen, wie Balazs Greksza, Threat Response Lead beim Sicherheitsanbieter Ontinue, erkl\u00e4rt: \u201eStrategisch gesehen ist es schwierig, die Gesamtbetriebskosten mit dem Mehrwert f\u00fcr die Sicherheit und der Time-to-Value in Einklang zu bringen und parallel alle wichtigen internen Datenquellen und Tools zu integrieren. Sicherheit ist kein Big-Data-Problem \u2013 vielmehr geht es darum, zur richtigen Zeit auf die richtigen Informationen zuzugreifen, um entsprechende Schlussfolgerungen ziehen zu k\u00f6nnen.\u201c<\/p>\n

Deshalb sollten CISOs laut Greksza klare Ziele und Anforderungen dar\u00fcber definieren, wie Bedrohungsinformationen und Analysedaten zu einer besseren Entscheidungsfindung beitragen k\u00f6nnen.<\/p>\n

2. Schlechte Daten nutzen<\/h2>\n

Gar keine Informationen zu nutzen, ist im Zweifel besser, als schlechte oder unzureichende Daten einzusetzen. Denn Analysten, die solche Informationen validieren und in einen Kontext setzen, verschwenden nur ihre Zeit. Sollten sich in so einem Szenario noch Fehler einschleichen, sind verheerenden Entscheidungen auf operativer und strategischer Ebene T\u00fcr und Tor ge\u00f6ffnet. Intelligence-Profis d\u00fcrfte in diesem Zusammenhang das Akronym CART bekannt sein. Es steht f\u00fcr:<\/p>\n

Completeness (Vollst\u00e4ndigkeit),<\/p>\n

Accuracy (Genauigkeit),<\/p>\n

Relevance (Relevanz) und<\/p>\n

Timeliness (Aktualit\u00e4t).<\/p>\n

\u201eVollst\u00e4ndigkeit bedeutet, dass jeder Informationsschnipsel zu einem vollst\u00e4ndigen Bild \u00fcber die Bedrohung beitr\u00e4gt \u2013 einschlie\u00dflich Akteure, Methoden und betroffene Systeme\u201c, ordnet Callie Guenther, Senior Manager of Cyber Threat Research beim Managed-Services-Anbieter Critical Start, ein. Dabei sei Genauigkeit eines der wichtigsten Qualit\u00e4tsmerkmale, f\u00fcgt die Sicherheitsexpertin hinzu: \u201eGlaubw\u00fcrdige und zuverl\u00e4ssige Quellen sind erfolgskritisch. Flie\u00dfen ungenaue oder nicht korrekte Informationen ein, kann das zu Fehlalarmen<\/a>, Ressourcenverschwendung und potenziell neuer Exposure f\u00fchren, wenn relevante Bedrohungen nicht adressiert werden.\u201c \u00a0\u00a0<\/p>\n

Guenther spricht sich zudem daf\u00fcr aus, das CART-Akronym noch um ein weiteres \u201eA\u201c f\u00fcr Actionability (Umsetzbarkeit) zu erweitern: \u201eIntelligence sollte detailliert und spezifisch genug ausfallen, um spezifische Sicherheitsma\u00dfnahmen gezielt voranzutreiben. Dazu kann beispielsweise geh\u00f6ren, Security Devices anzupassen, Richtlinien zu aktualisieren oder Schwachstellen zu beheben<\/a>.\u201c<\/p>\n

3. Anforderungen vernachl\u00e4ssigen<\/h2>\n

Die Datenquellen f\u00fcr Threat-Intelligence-Initiativen sollten aber nicht nur dauerhaft qualitativ hochwertige Informationen liefern, sondern vor allem auch zu den Gesch\u00e4ftsanforderungen und dem individuellen Security-Programm eines Unternehmens passen. Wird der Prozess \u00fcbersprungen (oder einfach nur an die SOC-Analysten<\/a> abgeschoben), in dem das Team identifiziert, welche Art von Informationen es ben\u00f6tigt, um die richtigen Security-Entscheidungen zu treffen, ist Misserfolg vorprogrammiert. \u00a0<\/p>\n

Dov Lerner, Security Research Lead beim TI-Anbieter Cybersixgill, wei\u00df, was f\u00fcr CISOs zu tun ist: \u201eF\u00fcr ein effektives Threat-Intelligence-Programm m\u00fcssen Organisationen ihre Intelligence-Teams auf s\u00e4mtlichen Ebenen mit Anforderungen versorgen \u2013 und offen daf\u00fcr sein, Prozesse und Entscheidungen f\u00fcr ihre Entscheidungsfindung zu nutzen.\u201c \u00a0<\/p>\n

Dar\u00fcber hinaus gibt Lerner zu bedenken, dass TI-Initiativen auch \u00fcber die n\u00f6tige organisatorische Bandbreite verf\u00fcgen m\u00fcssten, um eine ganze Reihe von Stakeholdern im Security-Bereich und dar\u00fcber hinaus<\/a> einbinden zu k\u00f6nnen. An dieser Stelle ein eigenes Programm f\u00fcr Stakeholder aufzusetzen, k\u00f6nnte sich f\u00fcr manche Unternehmen lohnen.<\/p>\n

Matt Hull, Global Head of Cyber Threat Intelligence beim Sicherheitsanbieter NCC Group, sorgt auf diese Weise daf\u00fcr, dass Anforderungen in seinem Unternehmen effizienter und konsistenter erfasst werden: \u201eWir betreiben bei NCC eine Art Ticketing-System \u2013 der sogenannte Request-for-Intelligence-Prozess. Im Wesentlichen handelt es sich dabei um einen Mechanismus, der die Stakeholder um Input dar\u00fcber bittet, welche Fragen sie beantwortet haben m\u00f6chten. Dieser wird dann an das zust\u00e4ndige Team weitergeleitet.\u201c<\/p>\n

4. Kontext ignorieren<\/h2>\n

Taktische Intelligenz \u00fcberm\u00e4\u00dfig zu fokussieren, ist einer der h\u00e4ufigsten Fehler, den Organisationen im Rahmen einer Threat-Intelligence-Einf\u00fchrung begehen k\u00f6nnen, ist Guenther \u00fcberzeugt. \u201eTaktische Informationen sind ohne Frage unerl\u00e4sslich. Sich aber alleine auf Indicators of Compromise<\/a> zu verlassen und dabei den strategischen oder operativen Kontext auszublenden, sorgt eher f\u00fcr eine reaktive als eine proaktive Security\u201c, warnt die Critical-Start-Managerin.<\/p>\n

Laut NCC-Entscheider Hull sollten gute Threat-Intelligence-Teams in der Lage sein, Informationen in drei wesentlichen Bereichen zu sammeln:<\/p>\n

Taktische Intelligence-Daten, die dem traditionellen IoC-Muster folgen und die Threat Detection mit spezifischen, technischen Informationen aus Malware-Analysen und anderen Monitoring-Ma\u00dfnahmen optimieren k\u00f6nnen.<\/p>\n

Operative Intelligence-Daten, die eine Ebene h\u00f6her angesiedelt sind und sich um Tactics, Techniques und und Procedures (TTPs) drehen.<\/p>\n

Strategische Intelligence, die ein Gesamtbild liefert, das geopolitische, branchenbezogene und gesch\u00e4ftliche Zusammenh\u00e4nge einbezieht.<\/p>\n

Bei der NCC Group k\u00fcmmert sich jeweils ein Team um jeden der genannten Bereiche. \u201eDas stellt sicher, dass unser Threat-Intelligence-Programm jeden Bereich angemessen abdeckt\u201c, versichert Hull. Der strategische Teil sei dabei der Part, der f\u00fcr Unternehmen oft den gr\u00f6\u00dften finanziellen Wert darstelle: \u201eDiese Informationen k\u00f6nnen dabei helfen, Ausgaben auf Grundlage der realen Bedrohungslandschaft zu priorisieren. Dar\u00fcber hinaus k\u00f6nnen diese Daten CISOs auch dabei unterst\u00fctzen, ihre Ma\u00dfnahmen und ihren Return on Investment<\/a> langfristig unter Beweis zu stellen.\u201c<\/p>\n

Auf diese Art und Weise vorzugehen, k\u00f6nne Sicherheitsentscheider dabei unterst\u00fctzen, sich auch komplexeren Analysen anzun\u00e4hern \u2013 etwa der Quantifizierung von Cyberrisiken, konstatiert der NCC-Experte.<\/p>\n

5. Kommunikation vernachl\u00e4ssigen<\/h2>\n

Die beste Threat-Intelligence-Initiative ist nutzlos, wenn die richtigen Informationen die entsprechenden Stakeholder nicht zur richtigen Zeit und in einem f\u00fcr sie geeigneten Format erreichen. Laut Cybersixgill-Manager Lerner kommt es leider gerade in dieser Phase, in der TI-Analysten Informationen verarbeiten und an die Stakeholder weiterleiten, zu Problemen: \u201eViele Intelligence-Teams machen keinen guten Job, wenn es darum, geht, Intelligence-Daten f\u00fcr die jeweilige Zielgruppe aufzubereiten. Strategische Informationen f\u00fcr die F\u00fchrungsebene bieten beispielsweise in der Regel keinen gro\u00dfen Mehrwert, wenn sie mit technischen Daten und Akronymen \u00fcberfrachtet sind<\/a>.\u201c<\/p>\n

Um Informationen fokussiert und zielgerichtet an die Stakeholder zu bringen, empfiehlt NCC-Entscheider Hull, die Details daf\u00fcr in der Phase zu formulieren, in der die Anforderungen definiert werden: \u201eDefinieren Sie die Richtung, in die die Informationen verbreitet werden und den Mechanismus, der daf\u00fcr verwendet wird. Es ist essenziell, dass die relevanten Interessengruppen einfach und schnell Zugriff auf die f\u00fcr sie bestimmten Daten bekommen.\u201c<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Fehlgeleitete Threat-Intelligence-Programme lassen (nicht nur) Ihr Security-Budget schmelzen. Vitalii Stock | shutterstock.com Ausgepr\u00e4gte F\u00e4higkeiten im Bereich Threat Intelligence (TI) k\u00f6nnen dazu beitragen, Ihre Cybersecurity-Initiative auf die n\u00e4chste Stufe zu heben. Das kann nicht nur dabei helfen, Bedrohungen schneller zu erkennen \u2013 Sicherheitsentscheider k\u00f6nnen so au\u00dferdem ihre Risikoexposition besser verstehen und k\u00fcnftige Investitionen priorisieren. Kein Wunder […]<\/p>\n","protected":false},"author":0,"featured_media":1706,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1705","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1705"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1705"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1705\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1706"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}