Erstellung eines Cyber-Bedrohungsanalyseprogramms
Was ist ein Cyber-Bedrohungsanalyseprogramm?
Das Cyber-Bedrohungsanalyseprogramm fasst Tausende von Bedrohungsdaten in einem einzigen Feed zusammen, anstatt sie einzeln zu betrachten, um eine einheitliche Charakterisierung und Kategorisierung von Cyber-Bedrohungsereignissen zu ermöglichen und Trends oder Veränderungen in den Aktivitäten von Cyber-Gegnern zu erkennen. Das Programm beschreibt die Aktivitäten von Cyber-Bedrohungen in einer Weise, die einen effizienten Informationsaustausch und eine effiziente Bedrohungsanalyse ermöglicht. Es unterstützt das Bedrohungsanalyse-Team, indem es den Feed mit internen Telemetriedaten vergleicht und Warnmeldungen erstellt.
Schaffen einer Bedrohungsanalysefunktion, die einen messbaren Wert liefert
Wie implementieren Sie Cyber-Bedrohungsanalyse?
Wenn relevante Cyber-Bedrohungsinformationen aus den Bedrohungsdaten extrahiert werden, durchlaufen sie einen Prozess der gründlichen Analyse und strukturierten Verarbeitung mit den erforderlichen Technologien und Techniken, gefolgt von der Weitergabe an die erforderlichen Interessengruppen, um die Sicherheitskontrollen zu verstärken und künftige Cyber-Angriffe zu verhindern.
Unternehmensziele für Cyber Intelligence-Programme
Die Ausrichtung der Unternehmensziele bei der Erstellung des Bedrohungsintelligenzprogramms legt den Fahrplan für die Bedrohungsintelligenz fest. Die Daten, Anlagen und Geschäftsprozesse, die geschützt werden müssen, sollten zusammen mit der Analyse der Auswirkungen des Verlusts solcher Anlagen genau definiert werden. Es hilft dabei, zu umreißen, welche Art von Bedrohungsanalyse erforderlich ist und wer alles daran beteiligt sein sollte.
Rolle des Bedrohungsanalysten im Lebenszyklus der Bedrohungsanalyse
Cyber-Intelligence-Analysten, auch bekannt als „Cyber-Bedrohungsanalysten“, sind Informationssicherheitsexperten, die ihre Fähigkeiten und ihr Hintergrundwissen nutzen, um Bedrohungsdaten zu sammeln und zu analysieren, um Informationen in Form von Berichten zu erstellen und mit der jeweiligen Abteilung zu teilen. Für die Erstellung eines Bedrohungsanalyseprogramms ist ein zertifizierter Cyber-Intelligence-Analyst erforderlich.
Bedrohungsanalyse-Strategie und -Fähigkeiten
Die Bedrohungsanalyse-Strategie umfasst eine solide Planung mit der Anwendung von Werkzeugen, Techniken und Methoden, gefolgt von einer Überprüfung, um die Wirksamkeit des Plans zu überprüfen. Bei der Ausarbeitung der Strategie sollten auch die Bedrohungsermittlungskapazitäten berücksichtigt und das Programm entsprechend strukturiert werden, einschließlich der Unterstützung durch verschiedene Abteilungen.
Cyber-Bedrohungen und fortgeschrittene anhaltende Bedrohungen (APTs)
Das Verständnis von Cyber-Bedrohungen und fortgeschrittenen anhaltenden Bedrohungen ist der wichtigste Aspekt des Bedrohungsermittlungsprogramms.
Was sind fortgeschrittene anhaltende Bedrohungen (Advanced Persistent Threats, APT)?
Eine fortgeschrittene anhaltende Bedrohung ist ein Angriff, bei dem sich ein unbefugter Benutzer Zugang zu einem Netzwerksystem verschafft und dort für lange Zeit unentdeckt bleibt. Advanced Persistent Threats sind für Unternehmen sehr bedrohlich, da die Angreifer ständig Zugriff auf die Daten des Unternehmens haben. Fortgeschrittene anhaltende Bedrohungen werden in mehreren Phasen ausgeführt, die das Hacken des Netzwerks, das Verstecken, um an so viele Informationen wie möglich zu gelangen, die Planung eines Angriffs, das Studieren der Informationssysteme des Unternehmens, die Suche nach einem einfachen Zugang zu sensiblen Daten und das Exfiltrieren dieser Daten umfassen.
Cyber Threat Intelligence Frameworks
Cyber Threat Intelligence Frameworks schaffen Informationen, um auf Cyberangriffe zu reagieren, indem sie Sicherheitsexperten verwalten, erkennen und vor potenziellen Bedrohungen warnen. Es bietet einen Aktionsplan zur Abschwächung der Angriffe, indem es die neuesten Informationen über Bedrohungsquellen sammelt und Bedrohungsmodelle erstellt.
Understanding Cyber Kill Chain & IOCs
Die Cyber Kill Chain ist eine Reihe von Schritten, die die Phasen eines Cyberangriffs von den frühen Aufklärungsphasen bis zur Exfiltration von Daten nachzeichnen. Die Kill Chain hilft uns, Ransomware, Sicherheitsverletzungen und Advanced Persistent Attacks (APTs) zu verstehen und zu bekämpfen.
Die Cyber Kill Chain identifiziert die Phasen eines Cyberangriffs von der frühen Aufklärung bis zum Ziel der Datenexfiltration und dient als Instrument zur Verbesserung der Sicherheit einer Organisation.
Indicators of Compromise (IOCs) sind Beweise wie URLs, IP-Adressen, Systemprotokolle und Malware-Dateien, die zur Erkennung zukünftiger Einbruchsversuche mit Hilfe von Intrusion Detection Systemen (IDS) und Antivirensoftware verwendet werden können.
Die aktuelle Bedrohungslandschaft einer Organisation
Dazu gehören die Identifizierung kritischer Bedrohungen für eine Organisation, die Bewertung der aktuellen Sicherheitslage der Organisation, die Struktur und die Kompetenzen des Sicherheitsteams. Das Verständnis der aktuellen Sicherheitsinfrastruktur und -abläufe des Unternehmens hilft den Sicherheitsexperten bei der Bewertung der Risiken für identifizierte Bedrohungen.
Anforderungsanalyse
Bei der Anforderungsanalyse geht es darum, den idealen Zielzustand des Unternehmens abzubilden, den Bedarf und die Anforderungen an Cyber Intelligence zu ermitteln, Anforderungen und Kategorien zu definieren, die Anforderungen von Geschäftseinheiten, Interessengruppen und Dritten abzustimmen, die Anforderungen an die Intelligence nach Prioritäten zu ordnen, den Umfang des Cyber Threat Intelligence-Programms zu bestimmen, Regeln für die Zusammenarbeit festzulegen, Vertraulichkeitsvereinbarungen zu treffen und allgemeine Risiken für das Cyber Threat Intelligence-Programm zu ermitteln.
Einrichten der Unterstützung durch das Management
Erstellen und Dokumentieren des Projektplans in Übereinstimmung mit den Richtlinien zur Initiierung des Programms und zur Abdeckung der Strategien zur Sicherstellung der Unterstützung durch das Management und zur detaillierten Beschreibung des Ergebnisses und des Ziels des Programms sowie der Ausrichtung der Unternehmensziele.
Aufbau eines Bedrohungsanalyse-Teams
Aufbau eines Teams von Cyber-Bedrohungsanalyse-Analysten und Festlegung ihrer Rollen und Verantwortlichkeiten auf der Grundlage ihrer Kernkompetenzen und Fähigkeiten. Erarbeitung einer Strategie zur Gewinnung von Talenten und Festlegung der erforderlichen Fähigkeiten, Qualifikationen und beruflichen Zertifizierungen sowie Positionierung des Bedrohungsanalyse-Teams.
Überprüfung des Bedrohungsanalyse-Programms
Überprüfung der Struktur des Bedrohungsanalyse-Programms zur Ermittlung von Erfolg und Misserfolg. Die bei der Überprüfung gewonnenen Erkenntnisse helfen dabei, das aktuelle Programm zu verbessern und die erforderlichen Aktualisierungen vorzunehmen.
Datensammlung für Bedrohungsdaten & Verarbeitung
Datensammlung und -beschaffung für Cyber-Bedrohungsdaten
Das Sammeln relevanter Bedrohungsdaten für die Analyse und Verarbeitung ist ein wichtiger Schritt zur Erstellung von Cyber-Bedrohungsdaten. Die Daten werden mit Hilfe vordefinierter TTP (Tactics, Techniques and Procedures) aus verschiedenen Quellen gesammelt. Nur wenige Datenquellen sind intern, wie Netzwerkprotokolle, vergangene Cybervorfälle und Sicherheitslandschaften. Zu den externen Quellen gehören Bedrohungs-Feeds, Communities, Foren, Open Web und Dark Web.