Worauf Sie bei einer Threat-Intelligence-Lösung achten sollten

Bedrohungsanalysen, insbesondere Cyber-Bedrohungsanalysen, entstehen durch das Sammeln, Verarbeiten und Analysieren von Daten über Bedrohungen und Bedrohungsakteure. Diese Analysen können genutzt werden, um Bedrohungen für Ihr Unternehmen zu identifizieren und zu untersuchen und so dessen Widerstandsfähigkeit zu stärken.

Der Markt für Anbieter und Lösungen im Bereich Threat Intelligence (TI) ist groß und vielfältig, und ständig drängen neue Anbieter auf den Markt. Das Angebot umfasst Threat-Intelligence-Feeds, Threat-Intelligence-Dienste und Threat-Intelligence-Plattformen. Hinzu kommen Open-Source-Lösungen (OSINT) im Vergleich zu kostenpflichtigen Angeboten, branchenspezifische Lösungen im Vergleich zu umfassenden Lösungen sowie taktische im Vergleich zu strategischen Inhalten. Die Auswahl der optimalen Lösung für Ihr Unternehmen kann daher schnell unübersichtlich werden.

Angesichts der Vielzahl an Cybersicherheitstechnologien und -lösungen kann es schwierig sein, die passende Lösung für alle Ihre Probleme zu finden. Wenn Sie sich für die Integration von Threat Intelligence entschieden haben, stellt sich die Frage: Welche Best Practices gibt es für die Bewertung und Auswahl von Anbietern und Lösungen?

Am besten beginnen Sie mit der Betrachtung Ihrer Anwendungsfälle. Lösungen sollten zu Ihren Anwendungsfällen passen und nicht umgekehrt. Zu den häufigsten Anwendungsfällen gehören:

• Phishing-Erkennung: Phishing ist allgegenwärtig, lästig und potenziell sehr schädlich. Targeting (TI) ist entscheidend, um schädliche IP-Adressen und andere Elemente von Phishing-Angriffen zu identifizieren und so Ihre Erkennung und Reaktion zu beschleunigen.
• Bedrohungsjagd: Bis eine akute Bedrohung erkannt, isoliert und behoben ist, ist es oft schon zu spät. Sicherheitsteams müssen proaktiv neue Risiken identifizieren und aufspüren. Regelmäßig aktualisierte Bedrohungsdaten können in Ihre Systeme zur Bedrohungserkennung integriert werden, um Ihre Umgebung zu schützen. Sie können Ihre Bedrohungsdatenlösung auch nutzen, um neue Taktiken und Trends zu erkennen.
• Priorisierung von Schwachstellen: Die Integration von Threat Intelligence (TI) hilft Unternehmen zu verstehen, welche Schwachstellen von Angreifern ausgenutzt werden. Dies macht sie zu einem der wertvollsten Anwendungsfälle für Threat Intelligence in modernen Unternehmen. Dieses praxisrelevante Wissen liefert entscheidende Einblicke in die Bedrohungslandschaft eines Unternehmens.

Sobald Sie Ihre Anwendungsfälle definiert haben, suchen Sie nach IT-Sicherheitslösungen, die diese Bereiche abdecken. Beachten Sie, dass einige Ihrer bestehenden Sicherheitstechnologien, wie z. B. SIEM, Firewalls und Endpoint Detection and Response (EDR), möglicherweise Zusatzabonnements für IT-Sicherheitsinhalte anbieten. Es kann Überschneidungen bei den Informationsangeboten verschiedener Anbieter geben, da einige Anbieter ihre IT-Sicherheitslösungen als OEM-Produkte anbieten, während andere Inhalte teilen. Dies ist normal und zu erwarten, dennoch sollten Sie sicherstellen, dass Ihre IT-Sicherheitslösungen diversifiziert und nicht redundant sind.

Wie bei jedem neuen Tool sollten Sie sicherstellen, dass Sie über die nötigen Ressourcen für dessen Verwaltung verfügen. Der Nutzen dieser Lösungen hängt von der Fähigkeit Ihres Teams ab, die von Ihren Anbietern bereitgestellten Informationen umzusetzen. Es ist daher unerlässlich, im Vorfeld zu planen, wer in Ihrem Unternehmen welche Tools oder Prozesse nutzen wird und wie diese Informationen verwendet werden.

Apropos Budget: Die Preisgestaltung von TI orientiert sich typischerweise eher an großen Unternehmen, obwohl der Mittelstand als TI-Nutzer wächst. Die Preise für einen Basisservice liegen im unteren fünfstelligen Dollarbereich, während fortgeschrittenere, strategische oder maßgeschneiderte Inhalte mehrere Hunderttausend Dollar oder mehr kosten können.

Um von TI zu profitieren, müssen Endnutzer mehrere Dinge gleichzeitig tun. Diese lassen sich wie folgt gruppieren:

• Erwerben. Es gibt viele Anbieter auf dem Markt, die sich jedoch meist auf bestimmte Bereiche wie Malware-IOCs, Internet-Domain-Informationen oder Darknet-Überwachung spezialisieren. Es ist selten, einen Anbieter zu finden, der in allen Bereichen herausragend ist. Daher ist es entscheidend, die richtige Kombination an Bedrohungsinformationen für Ihr Unternehmen zu finden. Je nach Anwendungsfall und Budget können öffentlich zugängliche Quellen für Bedrohungsinformationen, wie Open-Source-Intelligence (OSINT), Ihre Bedürfnisse ausreichend erfüllen. Achten Sie bei der Auswahl von Bedrohungsinformationslösungen unbedingt auf deren Abdeckungsumfang, die Tiefe und Genauigkeit der Informationen sowie deren Erweiterbarkeit, falls Sie die Lösungen in mehreren Tools und Prozessen einsetzen möchten.
• Aggregat. Sobald Ihre TI-Daten in ihren verschiedenen Formaten und Typen vorliegen, ist die Aggregation der nächste Schritt. Hier kommen Lösungen wie … zum Einsatz. Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) SOAR sammelt große Mengen an Bedrohungsdaten, entfernt Duplikate, reichert sie mit weiteren Daten an, macht sie durchsuchbar und nutzt sie für nachgelagerte Automatisierungsanwendungen. SOAR kann auch Ihre Bedrohungsdatenquellen vergleichen und so Überschneidungen und potenzielle Redundanzen von Bedrohungsinhalten aufdecken.
• Aktion. Informationen nützen nichts, wenn man sie nicht nutzt. Man muss sie auch in konkrete Maßnahmen umsetzen: Es braucht einen Prozess, um auf Grundlage der bereitgestellten Informationen Entscheidungen zu treffen, und es muss klar sein, wer diese Entscheidungen trifft und wie.

Die Auswahl der richtigen Threat-Intelligence-Lösung und deren optimale Nutzung ist komplex. Fordern Sie noch heute eine Demo an, um mehr darüber zu erfahren, wie Sie die passende Lösung finden und sich nicht mit einer “ausreichenden” Sicherheitsautomatisierung zufriedengeben.