von Redaktion IT-A…
Lesezeit
4 Minuten
Tipps zur Auswahl einer Threat-Intelligence-Plattform
Angesichts gravierender Cyberbedrohungen bauen immer mehr Unternehmen ihr eigenes Security Operations Center, Incident-Response-Funktionen und Threat-Intelligence-Teams auf, um das Unternehmen proaktiv zu schützen. Der Aufbau eines Security Operations Center setzt jedoch eine Flut von Daten aus unterschiedlichen Quellen frei, die die internen Teams oft überfordert und verhindert, dass das SOC erfolgreich arbeiten kann. Eine effektive Lösung hierfür stellt die Einführung einer Threat-Intelligence-Plattform dar.
Eine Threat-Intelligence-Plattform (TIP) dient als zentraler Speicher für alle Bedrohungsdaten und -informationen aus internen und externen Quellen. Richtig konfiguriert, sollte die TIP in der Lage sein, einen wesentlichen Kontext zu Bedrohungen zu liefern, der dem Team hilft, alle Aspekte einer Bedrohung zu verstehen. Entscheidend dabei ist, Bedrohungen auf Grundlage der von der Organisation festgelegten Parameter zu priorisieren und das Rauschen herauszufiltern, damit die daraus resultierenden Maßnahmen eindeutig sind.
Eine gute TIP kommt einer Reihe von Interessengruppen zugute: Zum einen profitieren die Geschäftsleitung, die strategische Risiken verstehen will und die CISOs, die sich auf die Verbesserung der Verteidigung bei gleichzeitiger Einhaltung des Budgets konzentrieren. Zum anderen bringt es auch für die Sicherheitsanalysten, die effektiver zusammenarbeiten und die Reaktionsteams, die von der automatischen Priorisierung von Vorfällen profitieren, enorme Vorteile mit sich. Die folgenden Schlüsselbereiche sind bei der Evaluierung von Threat Intelligence-Plattformen besonders wichtig:
Verarbeitung von strukturierten und unstrukturierten Daten
Eine TIP muss in der Lage sein, Daten aus allen möglichen Quellen zu importieren – intern und extern, proprietär und Open Source – und in jedem Format, ob strukturiert oder unstrukturiert. Dazu gehören Informationen aus dem gesamten Ökosystem moderner Sicherheitstools wie Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Cloud Detection and Response (CDR). Bei unstrukturierten Daten wie Blogs und Social-Media-Posts muss die Plattform die Daten analysieren und extrahieren können, etwa indem sie potenziell riskante URLs neutralisiert und sie für Analysten lesbar macht.
Die Bedrohungslandschaft ändert sich ständig, daher ist die Möglichkeit, neue benutzerdefinierte Verbindungen zu erstellen, um Informationen über aktuelle Bedrohungen aufzunehmen, ebenfalls von entscheidender Bedeutung. Dies gilt auch für die Funktion, zusätzliche Objekte für bestimmte Anwendungsfälle zu definieren, sodass Teams die Plattform an ihre bevorzugten Arbeitsabläufe anpassen können.
Der Kontext als Schlüssel
Der Kontext stellt das entscheidende Puzzlestück dar, das es den Sicherheitsteams ermöglicht, aus der Masse der Indikatoren die Essenz herauszukristallisieren und dann angemessen zu reagieren. Aufgrund der Bedeutung des unterstützenden Kontexts ist es wichtig, festzustellen, ob der TIP-Anbieter alle Daten importiert und / oder ob er irgendwelche Daten modifiziert. Das Modifizieren kann hilfreich sein, da eine Ebene der Normalisierung beim Bemühen um eine Verringerung der Duplizierung entscheidend ist. Das Normalisieren und Vereinheitlichen von Daten sollten jedoch unter Wahrung des Kontexts erfolgen.
Das Ziel lautet auch bei verschiedenartigen Indikatoren stets die effiziente Maximierung der Erkennungsstrategien bei minimaler Duplizierung. Die Normalisierung von Datenfeeds trägt dazu bei, die Kommentare der Analysten zu konsolidieren, die damit verbundenen Informationen besser zu organisieren und effektiv einen IOC (Indicator of Compromise) anstelle von drei IOCs zu exportieren.
Bewertung und Prioritätensetzung
Die schiere Menge der heutzutage veröffentlichten Indikatoren führt dazu, dass es unmöglich – und auch nicht wünschenswert – ist, alle zu überwachen. Deshalb stellt die Bewertung und Prioritätensetzung ein wesentliches Merkmal einer wirksamen TIP dar. Die Teams benötigen einen Mechanismus, mit dem sie Prioritäten setzen können, welche Indikatoren entdeckt und untersucht, blockiert oder als nicht bedrohlich eingestuft werden sollen.
Die Bewertung erfolgt sehr spezifisch für das einzelne Unternehmen und sollte nicht einfach die Meinung des Plattformanbieters oder der Community widerspiegeln. Mit einer fortschrittlichen TIP lässt sich ein eigener Bewertungsalgorithmus auf der Grundlage beliebiger Daten im System festlegen, was es zu einem maßgeschneiderten und präzisen Werkzeug für das Bedrohungsmanagement macht.
Integrationsmöglichkeiten und datengesteuerte Automatisierung
Die Verzahnung mit dem gesamten Ökosystem von Sicherheitswerkzeugen ist von zentraler Bedeutung für das Wertversprechen einer Threat-Intelligence-Plattform. Je enger die Integration ausfällt, desto weniger manuelle Arbeit ist für die Analysten erforderlich und desto effizienter sind die Betriebsteams.
Die Integration in eine Richtung – zum Beispiel von der TIP in eine Endpunktlösung – ist eine Selbstverständlichkeit. Dabei handelt es sich um eine rein defensive Strategie und die häufigste Integration, bei der die automatisch bewerteten höchsten Bedrohungen von der Plattform in das Sicherheitsnetzwerk des Unternehmens zur Erkennung und / oder Blockierung gelangen. Die nächste Welle der TIP-Integration ist bidirektional, das heißt Daten werden aus dem Tool extrahiert und wieder hineingezogen. Wichtige Anwendungsfälle für die bidirektionale Integration sind SIEM oder Log Repository, Ticketingsysteme, Schwachstellenmanagement-Software und SOAR-Tools. Die Anbieter sollten Software Development Kits (SDKs) und offene APIs anbieten, um leistungsstarke Integrationen zu ermöglichen.
Für die Sicherheitsteams, die immer mehr unter Zeitdruck stehen, ist es unerlässlich, repetitive, zeitraubende Aufgaben auf niedriger Ebene automatisieren zu können. Es ist von Vorteil, wenn ein Werkzeug diese Automatisierung mit den Echtzeitdaten und dem Kontext kombinieren kann, um die Analysten in die Lage zu versetzen, zeitkritische Vorfälle mit hohen Auswirkungen zu untersuchen. Die Teams brauchen ein Gleichgewicht zwischen Automatisierung und manueller Untersuchung und die TIP sollte dies mit einem nativen, datengesteuerten Ansatz ermöglichen.
Wirtschaftliche Überlegungen bei der Auswahl einer TIP
Neben den technischen Überlegungen sind für Unternehmen geschäftliche Faktoren zu berücksichtigen. Die Preisgestaltung erfolgt in der Regel auf der Grundlage eines Abonnements und einer Lizenz pro Benutzer, was eine einfache anfängliche Berechnung auf der Grundlage der Anzahl der taktischen Benutzer darstellt. Bei einer erfolgreichen Implementierung sollte jedoch ein breiterer Kreis von Interessengruppen den Wert des Zugangs zur Plattform erkennen, sodass es sich lohnt, den Zugang von Teams wie dem Risikomanagement einzuplanen.
Wie bereits erwähnt, ist die Integration ein zentrales Element und die Anbieter sollten ein SDK und offene APIs zur Verfügung stellen. Einige Dienstleister verlangen jedoch eine Gebühr pro Integration. Dies kann das Budget bei einer höheren Anzahl verschiedener zu integrierender Tools aber beträchtlich erhöhen. Auch bei Fusionen gilt es, die Werkzeuge des übernommenen Unternehmens in die TIP zu integrieren, was kostspielig ist, wenn jedes Mal eine Gebühr anfällt.
Nicht zuletzt sind die Kosten für das Hosting der TIP vor Ort oder in der Cloud zu beachten. Wenn ein cloudbasierter Dienst in Erwägung gezogen wird, ist die Bereitstellung einer privaten Cloudinstanz notwendig, was mit zusätzlichen Kosten und Kompromissen bei der Funktionalität verbunden sein kann. Eine TIP, die für den Betrieb in der Cloud entwickelt wurde, kann vor Ort oft nicht die volle Bandbreite an Funktionen bieten.
Fazit
Die richtige Threat Intelligence-Plattform hat das Potenzial, die Leistung des SOC enorm zu steigern, weshalb die Auswahl einer solchen Plattform eine sorgfältig abgewogene Entscheidung sein sollte. Unternehmen müssen ihre Verteidigungsstrategien gegen massiven Cyberbedrohungen optimieren. Hierbei ist die Priorisierung der Reaktionen auf eingehende Bedrohungen von entscheidender Bedeutung, genauso wie die Wahl der adäquaten Maßnahmen. Eine leistungsstarke TIP ermöglicht es den Sicherheitsteams im Idealfall, das Beste aus den vorhandenen Ressourcen herauszuholen.
ln/Cyrille Badeau, Vice President, International Sales bei ThreatQuotient
Eine gute TIP kommt einer Reihe von Interessengruppen zugute: Zum einen profitieren die Geschäftsleitung, die strategische Risiken verstehen will und die CISOs, die sich auf die Verbesserung der Verteidigung bei gleichzeitiger Einhaltung des Budgets konzentrieren. Zum anderen bringt es auch für die Sicherheitsanalysten, die effektiver zusammenarbeiten und die Reaktionsteams, die von der automatischen Priorisierung von Vorfällen profitieren, enorme Vorteile mit sich. Die folgenden Schlüsselbereiche sind bei der Evaluierung von Threat Intelligence-Plattformen besonders wichtig:
Verarbeitung von strukturierten und unstrukturierten Daten
Eine TIP muss in der Lage sein, Daten aus allen möglichen Quellen zu importieren – intern und extern, proprietär und Open Source – und in jedem Format, ob strukturiert oder unstrukturiert. Dazu gehören Informationen aus dem gesamten Ökosystem moderner Sicherheitstools wie Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Cloud Detection and Response (CDR). Bei unstrukturierten Daten wie Blogs und Social-Media-Posts muss die Plattform die Daten analysieren und extrahieren können, etwa indem sie potenziell riskante URLs neutralisiert und sie für Analysten lesbar macht.
Die Bedrohungslandschaft ändert sich ständig, daher ist die Möglichkeit, neue benutzerdefinierte Verbindungen zu erstellen, um Informationen über aktuelle Bedrohungen aufzunehmen, ebenfalls von entscheidender Bedeutung. Dies gilt auch für die Funktion, zusätzliche Objekte für bestimmte Anwendungsfälle zu definieren, sodass Teams die Plattform an ihre bevorzugten Arbeitsabläufe anpassen können.
Der Kontext als Schlüssel
Der Kontext stellt das entscheidende Puzzlestück dar, das es den Sicherheitsteams ermöglicht, aus der Masse der Indikatoren die Essenz herauszukristallisieren und dann angemessen zu reagieren. Aufgrund der Bedeutung des unterstützenden Kontexts ist es wichtig, festzustellen, ob der TIP-Anbieter alle Daten importiert und / oder ob er irgendwelche Daten modifiziert. Das Modifizieren kann hilfreich sein, da eine Ebene der Normalisierung beim Bemühen um eine Verringerung der Duplizierung entscheidend ist. Das Normalisieren und Vereinheitlichen von Daten sollten jedoch unter Wahrung des Kontexts erfolgen.
Das Ziel lautet auch bei verschiedenartigen Indikatoren stets die effiziente Maximierung der Erkennungsstrategien bei minimaler Duplizierung. Die Normalisierung von Datenfeeds trägt dazu bei, die Kommentare der Analysten zu konsolidieren, die damit verbundenen Informationen besser zu organisieren und effektiv einen IOC (Indicator of Compromise) anstelle von drei IOCs zu exportieren.
Bewertung und Prioritätensetzung
Die schiere Menge der heutzutage veröffentlichten Indikatoren führt dazu, dass es unmöglich – und auch nicht wünschenswert – ist, alle zu überwachen. Deshalb stellt die Bewertung und Prioritätensetzung ein wesentliches Merkmal einer wirksamen TIP dar. Die Teams benötigen einen Mechanismus, mit dem sie Prioritäten setzen können, welche Indikatoren entdeckt und untersucht, blockiert oder als nicht bedrohlich eingestuft werden sollen.
Die Bewertung erfolgt sehr spezifisch für das einzelne Unternehmen und sollte nicht einfach die Meinung des Plattformanbieters oder der Community widerspiegeln. Mit einer fortschrittlichen TIP lässt sich ein eigener Bewertungsalgorithmus auf der Grundlage beliebiger Daten im System festlegen, was es zu einem maßgeschneiderten und präzisen Werkzeug für das Bedrohungsmanagement macht.
Integrationsmöglichkeiten und datengesteuerte Automatisierung
Die Verzahnung mit dem gesamten Ökosystem von Sicherheitswerkzeugen ist von zentraler Bedeutung für das Wertversprechen einer Threat-Intelligence-Plattform. Je enger die Integration ausfällt, desto weniger manuelle Arbeit ist für die Analysten erforderlich und desto effizienter sind die Betriebsteams.
Die Integration in eine Richtung – zum Beispiel von der TIP in eine Endpunktlösung – ist eine Selbstverständlichkeit. Dabei handelt es sich um eine rein defensive Strategie und die häufigste Integration, bei der die automatisch bewerteten höchsten Bedrohungen von der Plattform in das Sicherheitsnetzwerk des Unternehmens zur Erkennung und / oder Blockierung gelangen. Die nächste Welle der TIP-Integration ist bidirektional, das heißt Daten werden aus dem Tool extrahiert und wieder hineingezogen. Wichtige Anwendungsfälle für die bidirektionale Integration sind SIEM oder Log Repository, Ticketingsysteme, Schwachstellenmanagement-Software und SOAR-Tools. Die Anbieter sollten Software Development Kits (SDKs) und offene APIs anbieten, um leistungsstarke Integrationen zu ermöglichen.
Für die Sicherheitsteams, die immer mehr unter Zeitdruck stehen, ist es unerlässlich, repetitive, zeitraubende Aufgaben auf niedriger Ebene automatisieren zu können. Es ist von Vorteil, wenn ein Werkzeug diese Automatisierung mit den Echtzeitdaten und dem Kontext kombinieren kann, um die Analysten in die Lage zu versetzen, zeitkritische Vorfälle mit hohen Auswirkungen zu untersuchen. Die Teams brauchen ein Gleichgewicht zwischen Automatisierung und manueller Untersuchung und die TIP sollte dies mit einem nativen, datengesteuerten Ansatz ermöglichen.
Wirtschaftliche Überlegungen bei der Auswahl einer TIP
Neben den technischen Überlegungen sind für Unternehmen geschäftliche Faktoren zu berücksichtigen. Die Preisgestaltung erfolgt in der Regel auf der Grundlage eines Abonnements und einer Lizenz pro Benutzer, was eine einfache anfängliche Berechnung auf der Grundlage der Anzahl der taktischen Benutzer darstellt. Bei einer erfolgreichen Implementierung sollte jedoch ein breiterer Kreis von Interessengruppen den Wert des Zugangs zur Plattform erkennen, sodass es sich lohnt, den Zugang von Teams wie dem Risikomanagement einzuplanen.
Wie bereits erwähnt, ist die Integration ein zentrales Element und die Anbieter sollten ein SDK und offene APIs zur Verfügung stellen. Einige Dienstleister verlangen jedoch eine Gebühr pro Integration. Dies kann das Budget bei einer höheren Anzahl verschiedener zu integrierender Tools aber beträchtlich erhöhen. Auch bei Fusionen gilt es, die Werkzeuge des übernommenen Unternehmens in die TIP zu integrieren, was kostspielig ist, wenn jedes Mal eine Gebühr anfällt.
Nicht zuletzt sind die Kosten für das Hosting der TIP vor Ort oder in der Cloud zu beachten. Wenn ein cloudbasierter Dienst in Erwägung gezogen wird, ist die Bereitstellung einer privaten Cloudinstanz notwendig, was mit zusätzlichen Kosten und Kompromissen bei der Funktionalität verbunden sein kann. Eine TIP, die für den Betrieb in der Cloud entwickelt wurde, kann vor Ort oft nicht die volle Bandbreite an Funktionen bieten.
Fazit
Die richtige Threat Intelligence-Plattform hat das Potenzial, die Leistung des SOC enorm zu steigern, weshalb die Auswahl einer solchen Plattform eine sorgfältig abgewogene Entscheidung sein sollte. Unternehmen müssen ihre Verteidigungsstrategien gegen massiven Cyberbedrohungen optimieren. Hierbei ist die Priorisierung der Reaktionen auf eingehende Bedrohungen von entscheidender Bedeutung, genauso wie die Wahl der adäquaten Maßnahmen. Eine leistungsstarke TIP ermöglicht es den Sicherheitsteams im Idealfall, das Beste aus den vorhandenen Ressourcen herauszuholen.
ln/Cyrille Badeau, Vice President, International Sales bei ThreatQuotient
