Unternehmen stehen vor großen Herausforderungen. Trends wie Digitalisierung, Cloud-Migration, verteiltes Arbeiten oder IoT sorgen für immer komplexere Strukturen in den Unternehmen. Immer mehr unterschiedliche Geräte greifen auf Daten und Dienste zu. Mitarbeiter arbeiten von überall auf der Welt, die immer smarter wird. Definierte Perimeter verschwimmen oder lösen sich ganz auf. Schutz moderner IT-Services und Infrastruktur bedeutet in erster Linie zu wissen, was man hat – auch die Schwachstellen.
Moderne Ansätze wie Zero Trust Access, Verhaltensanalyse von Geräten, Diensten und Anwendern oder SASE (Secure Access Service Edge) sind auf Informationen angewiesen. Was ist normales Verhalten? Wie sieht eine erlaubte Anwendung aus? Welcher User hat welche Privilegien? Was oft weniger beachtet wird, sind die so genannten IoC (Indicators of Compromise) bzw. IoA (Indicators of Attack). Zu den IoC gehören bekannte Schwachstellen, IoA umfassen aktuelle Angriffsszenarien und die eigene Anfälligkeit dafür.
Threat Intelligence ist das Sammeln und Bewerten strategischer, taktischer und politischer Informationen aus verschiedenen Quellen, um die eigene Sicherheitsstrategie an die aktuelle Bedrohungslage anzupassen und IT-Sicherheitslösungen mit neuen Informationen zu IoC/IoA, URL-Klassifizierungen, Malware- und Virensignaturen, IDS-Mustern oder Reputation von Regionen, Services oder IP-Adressen zu aktualisieren.
Recorded Future weiß, dass nur 5,5 % der Sicherheitslücken für wirkungsvolle Angriffe ausgenutzt werden. Unternehmen verschwenden enorme Ressourcen auf die Entdeckung und Absicherung von Schwachstellen mit geringem Risiko, während sie für die größte Gefahr blind bleiben. Ein Grund für diese gefährliche Schieflage liegt in der zunehmenden Komplexität. Dabei ist es für die eigene Widerstandsfähigkeit kritisch, neu veröffentlichte Schwachstellen sofort zu identifizieren und in Echtzeit zu wissen, ob mit welchen Konsequenzen man selbst davon betroffen ist. Das hilft Unternehmen auch, die so genannte Dwell-Time – das ist die Zeit, in der ein Angreifer sich unbemerkt im Unternehmensnetz bewegen kann – zu reduzieren.
Viele Unternehmen haben begonnen, eine eigene Threat-Intelligence-Abteilung aufzubauen. Das ist jedoch eine große Herausforderung, die nur wenige bewältigen können. Um ein umfassendes Bild der tatsächlichen Bedrohungslage zu erhalten, müssen sehr viele Informationen aus unterschiedlichsten Quellen gesammelt werden. Diese müssen dann bewertet und angereichert werden, um die eigene Gefahr ableiten zu können. Oft fehlt es Unternehmen aber nicht nur an der Manpower dafür. Fachkräfte, der Zugang zu wichtigen Daten und Informationen sowie ein gewisses Maß an krimineller Energie – wie soll man sonst verstehen, wie die Gegenseite tickt – sind oft schwer zu finden. Dazu kommt, dass trotz verfügbarer Frameworks und Rechenpower kaum ein Unternehmen in der Lage ist, eine künstliche Intelligenz zu programmieren und für Machine Learning oder Deep Learning zu trainieren. Unternehmen wie Recorded Future sind genau darauf spezialisiert.
Graphen kennen die Zusammenhänge
Seit über zehn Jahren sammeln und kuratieren Mitarbeiter Milliarden von externen Daten für das Herzstück der Lösung. Der Intelligence Graph ist der weltweit umfangreichsten Referenzdatensatz und wird ständig erweitert. Daten korrelieren automatisch und liefern zuverlässige Informationen in Echtzeit. Ein modularer Ansatz liefert Informationen, die auf bestimmte Rollen, Anwendungs- und Risikobereiche zugeschnitten sind, CISOs bei ihrer täglichen Arbeit unterstützen und auf operativer Ebene schnell zur Identifikation ernster Bedrohungen und für gezielte Maßnahmen genutzt werden können.
Wir sprachen auf der IT-SA 2021 mit Magnus Lundgren, dem Sales Director Nordics, Central Europe, Benelux bei Recorded Future. Dabei interessierte uns besonders, was aktuell die größten Herausforderungen für Unternehmen sind, welche Rollen Lock Head Martins Cyber Kill Chain und das MITRE ATT@CK Modell in der Threat Intelligence spielen und was das neue Identity Intelligence Modul macht.
Das Interview ist auf Englisch.
Weiterführende Informationen (in Englisch):
- Entscheidungshilfe Threat Intelligence
- Success Story Daimler
- The Security Intelligence Handbook (3. Edition)
