Bei Starbucks hören wir oft Befehle wie diesen: „Gib mir einen großen Sojamilch-Vanille-Cappuccino, halb*, superscharf.“ Wir bestellen das wahrscheinlich selbst. Tatsache ist, dass wir uns daran gewöhnt haben, dass die Dinge auf unsere Weise erledigt werden, und das spiegelt sich in etwas so Kleinem wie dem Kaffee wider, bei dem der Barista dafür verantwortlich ist, dass unsere Erwartungen erfüllt werden.
Die Technologiewelt ist ähnlich, aber anstatt den persönlichen Geschmack mit Karamell oder Vanillesirup zu befriedigen, werden Technologie und Produkte auf der Grundlage von Erfahrung, Vertrautheit und persönlichen Vorlieben ausgewählt. In der Geschäftswelt ist die Anpassung komplexer, da wir sie an Parameter wie Markenpräferenz, spezifische Erfahrung und Fachwissen des Teams, Betriebsumgebung, Prozesse und Arbeitsabläufe sowie die spezifische vorhandene Unternehmensinfrastruktur anpassen müssen, die unterstützt werden muss. Diese Nachfrage nach Individualisierung kann als „Starbucks-Effekt“ bezeichnet werden, der in der gesamten IT-Branche schwingt und sich auf Hardware, Software, Dienste und dergleichen auswirkt.
Ein typisches Beispiel ist, dass es keine universelle Sicherheit gibt. Dies lässt sich an der Entwicklungsgeschichte der Infrastruktur- und Verteidigungsebenen ablesen. Seit Jahren wählen Unternehmen aus einem ständig wachsenden Angebot an Endprodukten, um den neuesten Bedrohungen zu begegnen oder Geschäftsanforderungen zu erfüllen. Die Anforderungen jedes Unternehmens sind unterschiedlich und auch die daraus resultierende Sicherheitsinfrastruktur ist unterschiedlich.
Die gleiche Situation spiegelt sich in den Bedrohungsinformationen wider. Nicht alle Bedrohungsdaten sind gleich wichtig, und einige Daten sind für Ihr eigenes Unternehmen relevant, für andere Unternehmen jedoch nicht wichtig. Darüber hinaus variiert die Art und Weise, wie Bedrohungsinformationen genutzt werden, je nach Infrastruktur und Personal. Beispielsweise verfügen große Unternehmen mit ausreichend Arbeitskräften über die Ressourcen, Bedrohungsdaten (z. B. Downstream-IP-Adressen, Domänennamen-Registranten usw.) auf zwei oder sogar drei Trennungsstufen zu verfolgen. Unternehmen ohne solche Ressourcen müssen selektiv vorgehen und nur aktuell aktive Bedrohungsdaten untersuchen, die auf ihre Branche abzielen oder mit bekannten Angreifern in Zusammenhang stehen.
Der Aufbau eines umfassenden Threat-Intelligence-Projekts beginnt normalerweise mit der Auswahl verschiedener Quellen für Bedrohungsdaten, die abonniert werden sollen. Dabei kann es sich um kommerzielle Quellen, Open Source oder Branchenquellen handeln, oder Sie können Bedrohungsdatenquellen von bestehenden Sicherheitsanbietern einbeziehen und kombinieren Die Daten werden in ein zentrales Repository integriert. Anschließend müssen Sie jedes Endprodukt innerhalb Ihrer Verteidigungsschicht und Ihres SIEM mit einem Kanal für die Kommunikation mit diesem zentralen Repository ausstatten, damit Sie globale Bedrohungsdaten mit den riesigen Mengen an Protokoll- und Zeitdaten kombinieren können, die von diesen Lösungen generiert werden.
Eine Fülle von Daten ist natürlich eine gute Sache, aber sie enthalten auch viel Rauschen. Einige Bedrohungsdaten-Feeds und Sicherheitsanbieter versuchen durch die Veröffentlichung von Bedrohungsbewertungen Abhilfe zu schaffen. Diese Bewertungen sind jedoch universell. Was Sie wirklich wollen, ist eine Bewertung, die für Ihre Umgebung relevant ist. Genau wie bei einer Kaffeebestellung wissen nur Sie, was Sie mögen und brauchen. Sie müssen in der Lage sein, Bedrohungsbewertungen anzupassen und Bedrohungsinformationen nach Bedrohungsindikatorquellen, -typen, -attributen und -kontext sowie nach Gegnerattributen zu sortieren, damit Sie das tatsächliche Rauschen herausfiltern können.
Benutzerdefinierte Bedrohungsinformationen allein reichen nicht aus, Sie müssen auch in der Lage sein, Bedrohungsinformationen auf personalisierte Weise zu nutzen. Dies erfordert Lösungen, die in beide Richtungen kommunizieren können – nicht nur Daten von internen Systemen empfangen, sondern auch kuratierte Bedrohungsinformationen von einem zentralen Repository an alle notwendigen Tools in der Umgebung senden. Durch die Übermittlung von Bedrohungsinformationen an bestehende Incident-Management- oder SIEM-Lösungen können diese Technologien beispielsweise ihre Funktionen effizienter erfüllen und Fehlalarme reduzieren. Diese Bedrohungsinformationen können auch verwendet werden, um zukünftige Angriffe vorherzusagen und zu verhindern – indem Bedrohungsinformationen automatisch an Verteidigungsebenen (Firewalls, Antivirus, IPS/IDS, Web- und E-Mail-Sicherheit, Endpunkterkennung und -reaktion, Netzwerkverkehrsanalyse usw.) gesendet werden, um sie zu generieren und wenden Sie aktualisierte Richtlinien und Regeln an, um Risiken zu mindern.
Mit einer Lösung, die die Bedrohungsinformationen selbst und deren Integration anpassen kann, können Sie Bedrohungsinformationen „anordnen“. Allerdings kann nicht jedes Unternehmen diesen Anpassungsprozess alleine durchführen.
Der weltweite Fachkräftemangel im Bereich Cybersicherheit verschlimmert sich weiter und es wird erwartet, dass es bis 2019 2 Millionen offene Stellen im Sicherheitsbereich geben wird. Was ist, wenn Sie keinen Sicherheitsexperten haben, der ein Threat-Intelligence-Programm entwickelt oder implementiert? Ein Managed Security Services Provider (MSSP) kann helfen. MSSP bietet Ihnen eine Reihe von Optionen, mit denen Sie problemlos die Dienste erhalten, die Sie benötigen. Sie können den individuellen Prozess für Sie abschließen, die Daten in umsetzbare Bedrohungsinformationen umwandeln und diese in Ihre Infrastruktur und Abläufe integrieren. Sie können auch Ihre gesamten Sicherheitsabläufe mit für Ihr Unternehmen relevanten Bedrohungsinformationen verbessern und so direkt auf die Bedrohungen abzielen, die für Sie am wichtigsten sind.
Der Starbucks-Effekt ist in der IT-Branche weit verbreitet und auch Threat Intelligence ist von dieser Bewegung betroffen. Mit der richtigen Technologie und den richtigen Diensten kann jedes Unternehmen relevante Bedrohungsinformationen zur richtigen Zeit, am richtigen Ort und auf die richtige Weise erhalten und sortieren