Cyber Threat Intelligence als Würze im Rezept der Risikobewertung
Oft fehlen Kennzahlen, um die Cyber-Risikolage im Unternehmen zu bewerten und die richtigen Entscheidungen zu treffen, sagt Jamie Collier von Mandiant.
Cyber-Risikobewertung ist für eine passende Security-Strategie essenziell. Sie kann Entscheidern helfen, Bedrohungen im Voraus zu verstehen und zu reagieren. Trotzdem wird sie von vielen Unternehmen zu einseitig hinsichtlich aufgabenkritischer Kategorien durchgeführt. Verlässliche Metriken zu organisationsweiten Cyber-Bedrohungen fehlen hingegen. Um Risikobewertungen effektiver, relevanter und einfacher zu kommunizieren zu gestalten, empfiehlt sich daher Cyber-Threat-Intelligence (CTI) in das Risikomanagement zu implementieren.
Vor allem wenn im Rahmen des digitalen Transformationsprozesses neue Software-Technologien in Unternehmensprozesse implementiert werden oder eine Entwicklungsabteilung von Grund auf aufgebaut wird, hilft Threat Intelligence bei der Risikobewertung für die Software-Supply-Chain. Schwachstellen in der Software-Lieferkette haben in den letzten Jahren einigen schwerwiegenden Cyberangriffen geführt. Darunter war auch die Log4j-Schwachstelle, die von einer Vielzahl von Bedrohungsakteuren ausgenutzt wurde und zahlreiche verschiedene Technologien betraf. Cyberbedrohungen für die Lieferkette sind also alles andere als rein theoretisch.
Cybersecurity individuell abstimmen
Cyber Threat Intelligence hilft hier bei der Risikobewertung und unterstützt die Formulierung von Strategien für ein besseres Risikomanagement. Natürlich besitzt jedes Unternehmen eigene Prozesse und andere Werkzeuge im Rahmen der Software-Entwicklung. Dazu gehören etwa Open-Source-Tools oder spezifische Software-Dependenzen. Demnach muss auch die Cybersecurity individuell abgestimmt werden.
Dazu sollten Unternehmen eine Software-Inventarliste (Software Bill of Materials, SBOM) verwenden, um die mit der Softwarentwicklung verbundenen Build-Komponenten zu dokumentieren, zu verstehen und nachzuvollziehen. Weiterhin sollte ein Änderungskontrollprozess und ein Gremium für alle Hardware- und Software-Änderungen installiert werden, ergänzt um eine Endpoint-Sicherheitslösung, um bösartiges Verhalten zu erkennen. Schließlich folgen Sicherheitsbewertungen und -prüfungen als fester Bestandteil des Softwareentwicklungszyklus oder der kontinuierlichen Integrations- und Bereitstellungspipeline (CI/CD) für jede intern entwickelte Software sein.
Verständnis der Cyber-Bedrohungslandschaft
CTI spielt auch eine Rolle für Führungskräfte bei der breiteren strategischen Entscheidungsfindung. Sie unterstützt etwa bei der Analyse vieler Situationen – zum Beispiel beim Verständnis von Risiken, die mit dem Eintritt in einen neuen Markt, der Fortführung eines Cloud-Projekts oder der Zusammenarbeit mit Dritten verbunden sind.
Cyber-Risiko- und Cyber-Bedrohungsdaten bieten Unternehmen bereits unabhängig voneinander klare Vorteile. Ihr Wert vervielfacht sich jedoch exponentiell, wenn sie miteinander korreliert werden. Ein umfassendes Verständnis der Cyber-Bedrohungslandschaft durch Threat Intelligence ist dabei für das Risikomanagement aus drei Gründen unerlässlich:
- Die hohe Dynamik der Bedrohungslandschaft kann statische Cyber-Risikobewertungen schnell überflüssig machen. Beispiele dafür sind etwa die massive Zunahme von Ransomware-Attacken während der Pandemie oder der deutliche Anstieg feindlicher Cyberoperationen während des Russland-Ukraine-Konflikts.
- Bedrohungsmetriken helfen durch präzisere und evidenzbasiertere Strategien den Unternehmen dabei, sich auf die wesentlichen Bedrohungen für ihr Geschäft zu konzentrieren – und nicht auf die Bedrohungen, die in den Headlines der Medien zu finden sind. Dazu gehören etwa Metriken zu regionalen Bedrohungen oder Threat-Analysen, die einen bestimmten unternehmenswichtigen Sektor betreffen.
- Ein genaues Bedrohungsbild hilft den Sicherheitsfunktionen, ihre Effizienz zu maximieren. Zum Beispiel fällt die Priorisierung des Patchings von bereits genutzten Schwachstellen deutlich leichter. Außerdem können Warnungen im Zusammenhang mit aktiven Bedrohungen schneller eskaliert werden.
Die Vorteile eines Cyber-Bedrohungsprofils ausschöpfen
Unternehmen können auf Basis der CTI ein Bedrohungsprofil erstellen lassen, dass akkurat die tatsächliche Bedrohungslandschaft widerspiegelt. So erhalten sie einen ganzheitlichen Überblick über externe Cyber-Bedrohungen, die für das eigene Unternehmen relevant sind.
Ein Cyber-Bedrohungsprofil kombiniert Analysen über die externe Bedrohungslandschaft mit einer introspektiven Überprüfung der internen Betriebsumgebung (einschließlich ihrer Mitarbeiter, Prozesse und Technologien). Das Bedrohungsprofil dokumentiert dabei nicht nur Unternehmens-relevante Bedrohungen, sondern kann auch als Katalysator für die weitere Zusammenarbeit zwischen CTI- und Cyber-Risiko-Verantwortlichen dienen.
Kooperative Arbeitsabläufe zwischen CTI und Cyber-Risiko
Es gibt viele Möglichkeiten, Erkenntnisse über Cyber-Bedrohungen in die Arbeitsabläufe des Risikomanagements einzubinden. Threat Modeling ist eine der offensichtlichsten und fruchtbarsten Möglichkeiten für die Zusammenarbeit. Im Rahmen dieser Kollaboration werden die Sicherheitskontrollen eines Unternehmens bewertet, um unbekannte Risiken und Schwachstellen in den Systemen aufzudecken.
Threat Modeling gibt dabei Aufschluss über die Arten von Cyber-Bedrohungsakteuren, mit denen eine Organisation konfrontiert ist und verdeutlicht deren potenzielle Auswirkungen. Threat Modeling ist zudem ein zentraler Bestandteil mehrerer Frameworks, darunter Factor Analysis of Information Risk (FAIR) oder Vocabulary for Event Recording and Incident Sharing (VERIS).
Fazit: CTI hilft, das richtige Sicherheitsrezept zu kommunizieren
Die Sprache und Logik von Risikobewertungen mithilfe von CTI kann den Sicherheitsverantwortlichen dabei helfen, die potenzielle Gefahr, die mit einer Bedrohungsentwicklung oder einer Geschäftsentscheidung verbunden ist, besser in Begriffen zu kommunizieren, die von Vorständen, Geschäftsführern und Führungskräften verstanden werden. Diese ganzheitlichen Risikobewertungen ermöglichen es den Beteiligten im gesamten Unternehmen, bessere Strategien zur Risikominderung, -vermeidung, -akzeptanz und -übertragung vorzuschlagen. Letztendlich können sie Führungskräften helfen, besser informierte Pläne für den zukünftigen Erfolg ihres Unternehmens zu machen. So wird in Gemeinschaft das richtige und schmackhafteste Sicherheits- und Zukunftsrezept für das Unternehmen gefunden.
Jamie Collier
ist Senior Threat Intelligence Advisor bei Mandiant.