Cyber Threat Intelligence

Überarbeitete ISO 27002 setzt auch auf Threat Intelligence

Die internationale Organization for Standardization (ISO) hat im Februar 2022 die lange erwartete Überarbeitung der ISO/IEC 27002 Norm veröffentlicht. Zusammen mit der ISO/IEC 27001 gehört die ISO/IEC 27002 zu den akzeptierten Standards, um ein Information Security Management System (ISMS) aufzubauen. Die ISO/IEC 27002:2022 beschreibt 93 Informationssicherheitskontrollen und erklärt, wie diese implementiert werden können. Eine der 11 neu eingeführten Kontrollen ist «Threat Intelligence». Doch was versteht man darunter?

‍Die Möglichkeiten Computersysteme und Netzwerke anzugreifen, entwickeln sich ständig weiter und Cyber-Kriminelle finden laufend neue Schwachstellen, die sie für ihre unlauteren Zwecke nutzen können. IT- und Sicherheitsverantwortliche in Unternehmen sind gefordert, sich über die Entwicklungen auf dem Laufenden zu halten und zeitnah die nötigen Schritte zur Vermeidung oder Minimierung der Risiken zu ergreifen. Ausserdem muss die Belegschaft regelmässig zu neuen Bedrohungsarten geschult werden, um Angriffe zuverlässig als solche zu entlarven.

‍Versucht man sich online über das Ausmass der Bedrohung für seine Unternehmung oder Branche zu informieren, stellt man fest, dass es eher zu viele als zu wenige Inhalte gibt. Ausserdem sind die verfügbaren Informationen oft nicht zentral verfügbar, so dass Spezialisten die relevanten Fakten erst finden, verifizieren, konsolidieren und nutzbar machen müssen. Da diese Informationsbeschaffung sehr zeit- und arbeitsintensiv ist, bieten vertrauenswürdige Anbieter wie IT-Dienstleister oder IT-Sicherheitsfirmen umfassende Threat Intelligence Services an., ,

Warum ist Threat Intelligence heute wichtig?

Mit Threat Intelligence kann ein Unternehmen Cyber-Angriffen präventiv begegnen. Eine wirksame Verteidigung gegen Cyber-Angriffe bedingt Wissen über neue und bestehende Sicherheitslücken, aktuelle Bedrohungsindikatoren und sich wandelnde Angriffsmuster. All diese Informationen befähigen die Security-Experten Angriffe zu verhindern, oder solche zumindest schneller zu erkennen und einzudämmen. Damit schützen sie die Unternehmung vor Schaden. Langfristig unterstützt Threat Intelligence das Management dabei, nötige und sinnvolle Anpassungen an der Security-Strategie des Unternehmens vorzunehmen und damit die limitierten Ressourcen optimal einzusetzen.,

Die 4 Arten von Threat Intelligence

Unterteilt man Threat Intelligence nach kurz- und langfristiger Relevanz und nach detailliertem und allgemeinerem Informationsgrad, dann erhält man vier Arten von Threat Intelligence, die für unterschiedliche Anspruchsgruppen und Zwecke interessant sind:, ,

Implementation: Herausforderungen und Tipps

ISO/IEC 27002:2022 fordert, dass Hinweise über Information-Security-Bedrohungen gesammelt und analysiert werden um zu bestimmen, wie man sich gegen relevante Bedrohungen schützen will.

‍Die unterschiedlichen Arten von Threat Intelligence verlangen ein differenziertes Vorgehen bei der Beschaffung und der Analyse von Daten. Weitere Unterschiede sind die benötigten Fähigkeiten, der Aufwand für den Aufbau und Betrieb benötigter Tools sowie die anfallenden Kosten.

‍Die in den Kategorien Strategisch und Operativ benötigten high-level-Informationen lassen sich nicht automatisiert sammeln und auswerten. Typische Quellen sind Whitepapers aus den Bereichen Information Security, Datenschutz und IT, sowie Bewertungen und Hintergrundberichte über die jeweilige Branche, die Wirtschaft und die Politik. Nicht nur die Beschaffung all dieser Daten ist aufwendig. Es ist auch herausfordernd, die gesammelten Daten zu verarbeiten und in für die Unternehmung umsetzbare Massnahmen zu überführen.

‍Für viele Unternehmungen kann es sinnvoll sein, dieses Wissen mit einem Threat Intelligence Service einzukaufen. Damit lagert man die Problematik der Datenbeschaffung, -beurteilung und -aufbereitung aus und erhält eine konsolidierte Sammlung von Fakten zur Entscheidungsfindung oder Umsetzung. Abhängig von den gewünschten Informationen können die Kosten signifikant unterschiedlich sein; ein selektives oder iteratives Vorgehen bei der Umsetzung ist ressourcenschonend.

‍Bei den Kategorien Taktisch und Technisch bieten sich automatisierte Lösungen zur Sammlung, Verwaltung und Bearbeitung der Daten an. Je nach Budget und Präferenz kann man dabei kommerzielle oder Open-Source-Quellen und -Tools verwenden.

‍Falls aufgrund der Threat-Intelligence-Daten automatisierte Aktionen, wie z.B. Sperrungen von Websites, ausgelöst werden sollen, ist eine hohe Datenqualität der verwendeten Listen nötig um Umtriebe durch «false positives» zu minimieren. Es gibt Open-Source-Quellen, die diesen Ansprüchen genügen. Kommerzielle Tools versprechen die professionelle Verwaltung der Listen und eine schnelle Reaktion bei Problemen.

‍Will eine Unternehmung ganz oder teilweise auf automatisierte Reaktionen verzichten, dann sollte sie sicherstellen, dass kompetente interne Ressourcen die Informationen verifizieren und zeitnah nötige Reaktionen auslösen., Ein kleiner aber wertvoller Hinweis, falls der Impuls in Ihrem Unternehmen für den Aufbau von Threat Intelligence durch die frisch überarbeitete ISO/IEC 27002:2022 ausgelöst wird: Bestehende Zertifizierungen haben nun drei Jahre Zeit, die neuen Anforderungen umzusetzen. Eine gestaffelte Implementation schont nicht nur die wertvollen Ressourcen Ihrer Unternehmung, sondern erhöht auch die Chance, dass die Lösung besonders nachhaltig eingeführt wird.