Lesen Sie, welche Prozess-Bottlenecks Ihr gesamtes Threat-Intelligence-Programm bedrohen. Probleme bei der Bedrohungserkennung? Bottlenecks im Threat-Intelligence-Lifecycle könnten ursächlich sein. Foto: PeopleImages.com – Yuri A – shutterstock.comIn Zusammenhang mit Threat Intelligence (TI) erwarten Unternehmen einige Herausforderungen. Zum Beispiel: viele manuelle Prozesse, verrauschte Threat-Intelligence-Feeds oder unklare ROI-Benefits.Angesichts dieser allgegenwärtigen Herausforderungen stellt sich die Frage: Wie sieht ein starkes Threat-Intelligence-Programm aus?Die 6 Phasen effektiver Threat IntelligenceAuch wenn die Antwort auf diese Frage je nach Unternehmen variiert – eines haben effektive TI-Initiativen stets gemeinsam: Sie folgen einem Threat-Intelligence-Lifecycle, der aus sechs (manchmal auch nur fünf) Phasen besteht: Planung und Ausrichtung: Zu Beginn eines TI-Programms definieren Bedrohungsanalysten gemeinsam mit Führungskräften, Geschäftsbereichsleitern, CISOs und Sicherheitsteams die vorrangigen Anforderungen.Datensammlung: Auf Grundlage der ermittelten Prioritäten bestimmen die Bedrohungsanalysten, welche Informationen sie benötigen und wie sie diese erhalten können. Anschließend erfassen sie die Daten entsprechend.Datenverarbeitung: Sind die Daten gesammelt, müssen sie zusammengestellt, organisiert, bereinigt und hinsichtlich ihrer Integrität überprüft werden. In dieser Data-Management-Phase werden Bedrohungsdaten in für Menschen und Maschinen lesbare Informationen übersetzt.Datenanalyse: In dieser Phase geht es darum, die Bedrohungsdaten zu durchforsten und dabei Verhaltensweisen sowie Angriffs-Techniken und -Taktiken der Gegner zu untersuchen.Reporting: Im Anschluß teilen die Threat-Analysten ihre Erkenntnisse in Form von Reportings. Diese sind auf die jeweiligen Anforderungen der einzelnen Fachbereiche zugeschnitten und sollten als Grundlage für geschäftliche und technologische Entscheidungen dienen.Feedback: Künftige Bedrohungsanalysen sollten sich am Feedback der Threat-Intelligence-Konsumenten orientieren. Waren die Reportings akkurat und aktuell oder haben sie ihr Ziel verfehlt? Wie könnte man sie (kontinuierlich) verbessern?Den Threat-Intelligence-Lifecycle einzuhalten, ist eine Best Practice an die sich viele Unternehmen halten. Einer aktuellen ESG-Studie zufolge:verfügen 72 Prozent der befragten Unternehmen (1.000 Mitarbeiter oder mehr) über ein formelles Threat-Intelligence-Lifecycle-Modell,während 24 Prozent einem informellen Lebenszyklus-Modell folgen undvier Prozent noch keines implementiert haben, das jedoch in den nächsten 12 bis 18 Monaten planen.Was Threat Intelligence behindertSo viel zu den guten Nachrichten. Die schlechte: Viele Unternehmen laufen in einer oder mehrerer der oben beschriebenen Phasen gegen Wände. Welche der sechs Phasen Sicherheitsexperten dabei die größten Probleme bereiten, haben die Marktforscher von ESG ebenfalls untersucht:21 Prozent kämpfen mit der Analyse-Phase: Wahrscheinlich verfügen diese Unternehmen nicht über die richtigen Daten, sind mit der Informationsflut überfordert oder lassen die nötigen Analytics-Skills vermissen.18 Prozent bekommen Probleme in der Feedback-Phase: Dann erhalten die User nutzlose Reportings oder haben kein Interesse, mit dem TI-Team zu kooperieren, um den Prozess effektiver zu gestalten.17 Prozent stolpern bei der Datensammlung: In der Regel bedeutet das, dass die Bedrohungsanalysten nicht wissen, was sie sammeln sollen oder nach dem Motto “viel hilft viel” verfahren und in der Folge von den Datenmassen erdrückt werden. Probleme in dieser Phase können auch darauf hindeuten, dass die Prioritäten nicht richtig gesetzt wurden.16 Prozent haben Schwierigkeiten in der Phase der Datenverarbeitung: Am wahrscheinlichsten handelt es sich in diesen Fällen um technologische Defizite – eventuell verfügen diese Unternehmen nicht über die richtigen Tools, um in großem Umfang Bedrohungsdaten zu sammeln, zu organisieren und zu managen.15 Prozent scheitern schon an der Planung: Offensichtlich besteht in diesen Unternehmen keine gesunde Arbeitsbeziehung zwischen Bedrohungsanalysten und ihren Kunden, so dass sie nie die richtigen Prioritäten setzen können. Diese Programme sind folglich von Beginn an zum Scheitern verurteilt.12 Prozent sind unfähig, ihre Erkenntnisse zu verbreiten: Threat-Inteligence-Kunden erwarten zeitnahe und akkurate Reportings für ihre Entscheidungsfindung. Ist das TI-Team nicht in der Lage, die Informationen auf den Punkt und an den Mann zu bringen, verlieren sie drastisch an Wert.Wenn Sie als CISO stolz darauf sind, in Threat-Intelligence-Lebenszyklen investiert zu haben, sollten Sie sich nicht auf ihren Lorbeeren ausruhen: Ein effektives und erfolgreiches Threat-Intelligence-Programm muss über alle seine Phasen hinweg auf der Grundlage von Prioritäten und Feedback gut koordiniert und kontinuierlich optimiert werden. Um den Nutzen Ihres TI-Programms zu optimieren, sollten Sicherheitsentscheider die Lebenszyklen im Detail bewerten, um Prozess-Engpässe in sämtlichen Phasen aufdecken und beheben zu können. (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.Jetzt CSO-Newsletter sichern Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren