Nutzen Sie Bedrohungsanalysen für die Reaktion auf Sicherheitsvorfälle?

Wie wir haben wie bereits erwähnt In diesem Blog hat die Informationssicherheitsbranche eine Vielzahl exzellenter Erkennungslösungen entwickelt. Dank dieser Tools können sich Unternehmen nun auf die Bedrohungsanalyse konzentrieren, also auf das Wissen über bestehende oder potenzielle Angriffe auf ihre IT-Umgebung.

Obwohl Bedrohungsanalysen für Unternehmen zweifellos unerlässlich sind, besteht eines der drängendsten Probleme im heutigen Security Operations Management darin, dass sie allzu oft nicht in die Reaktion auf Sicherheitsvorfälle integriert werden. Anders ausgedrückt: Warnmeldungen zu potenziellen Bedrohungen, die mithilfe von Bedrohungsanalysen identifiziert wurden, erreichen zwar das SOC, aber es gibt keine Möglichkeit, diese Informationen schnell zu nutzen, um die Warnmeldung genauer zu analysieren und zusätzliche Kontextinformationen zu gewinnen.

Um den größtmöglichen Nutzen aus den Informationen zu ziehen, die sie bereits mit Erkennungstools sammeln, benötigen Sicherheitsteams eine Lösung, die auf Bedrohungsdaten basierende Informationen – wie beispielsweise einen Hostnamen oder eine IP-Adresse – verarbeitet und die Bedrohungsdatenspeicher einer Organisation nach Antworten auf Fragen wie die folgenden abfragt:

• Womit steht dieser Angriff in Zusammenhang?

• Wer könnte den Angriff verüben?

• Führen sie noch andere böswillige Operationen durch?

• Was ist der nächste Schritt, den ich unternehmen sollte? auf der Grundlage von Prozessen dass ein Teammitglied ein Tool oder eine Plattform verwendet hat – und dabei erwischt wurde –, um einen ähnlichen Angriff in der Vergangenheit abzuwehren?

Die Beantwortung dieser Fragen – insbesondere der letzten – ermöglicht es den Mitarbeitern im Bereich der Informationssicherheit, auf der Grundlage eines umfassenderen Lagebewusstseins umfassend auf Bedrohungen zu reagieren.

Eine einfache Möglichkeit, die Nutzung von Bedrohungsdaten für das Incident-Response-Management zu verstehen, bietet die Betrachtung von Big Data. Unternehmen aller Branchen sammeln riesige Datenmengen und suchen nach dem effizientesten Weg, irrelevante Informationen auszublenden und sich auf die Daten zu konzentrieren, die tatsächlich zur Prozessoptimierung beitragen. Auch im Bereich Security Operations Management gilt: Je schneller die relevantesten Informationen identifiziert werden können, desto früher in der Reaktionskette kann auf eine Bedrohung reagiert werden.