Investitionen in Cyber Threat Intelligence steigen
19. März 2021Die sprunghafte Zunahme von Cyber-Sicherheitsverletzungen im vergangenen Jahr, die durch COVID-bezogene Angriffe noch verstärkt wurde, hat die Bedeutung von Cyber Threat Intelligence (CTI) im vergangenen Jahr nur noch erhöht. Der von ThreatQuotient gesponserte SANS Cyber Threat Intelligence Report 2021 untersucht den aktuellen Stand der weltweiten Nutzung von CTI und zeigt auf, warum die Schwierigkeiten des vergangenen Jahres zum weiteren Wachstum und zur Reife von CTI beigetragen haben.
In der Umfrage aus dem Jahr 2021 stieg die Zahl der Befragten, die angaben, CTI entweder zu produzieren oder zu konsumieren, um 7 Prozent. Noch bemerkenswerter ist, dass die Zahl der Befragten, die nicht planen, CTI zu konsumieren oder zu produzieren, zum ersten Mal bei null lag – im Jahr 2020 waren es noch 5,5 Prozent. Die Analyse von CTI hilft Unternehmen, die Fähigkeiten, Möglichkeiten und Absichten (TTPs) von Gegnern zu verstehen, die bösartige Cyber-Aktivitäten durchführen.
Dies wiederum zeichnet ein Bild davon, wie Bedrohungsakteure die Systeme, Informationen und Mitarbeiter eines Unternehmens ins Visier nehmen. Es sind diese kontextbezogenen Informationen, die Sicherheitsteams dabei helfen, auf Bedrohungen zu reagieren, Risiken zu verstehen, bessere Cyber-Abwehrmaßnahmen zu entwickeln und ihre Organisation zu schützen.
CTI in einer veränderten Bedrohungslandschaft
Fast 20 Prozent der Befragten gaben an, dass sich ihre CTI-Implementierung infolge der Pandemie verändert hat. Angreifer haben sich die Situation zunutze gemacht und zunehmend COVID-bezogene Phishing- und Ransomware-Angriffe auf Unternehmen aller Branchen verübt. Die massenhafte Umstellung auf Homeoffice vergrößerte die Angriffsfläche von Unternehmen, da die Mitarbeiter die Grenzen des Cyber-Schutzes ihres Unternehmens verlassen.
Die Befragten nennen Bedrohungen bei der Arbeit von zu Hause aus wie Phishing, verlorene oder gestohlene Geräte, Heimnetzwerke, Malware, versehentliche Freigabe sensibler Dateninformationen und Mitarbeiter, die unbefugten Zugriff auf Unternehmensressourcen haben, als wichtige Faktoren, die ihre Implementierung von CTI veränderten.
Die Ergebnisse zeigen, dass Remote-Arbeit die Art und Weise, wie CTI-, Incident-Response- und Security-Operations-Center-Teams miteinander kommunizieren, verändert hat – mit positiven und negativen Auswirkungen. Laut den Antworten hilft Remote-Arbeit den Teams oft dabei, konzentrierter zusammenzuarbeiten, unter anderem da die Verwendung von textbasierten Plattformen die Kommunikation zwischen den Teams erleichtert.
Einige Befragte gaben jedoch an, dass der Verlust von persönlichen Gesprächen den Austausch zwischen den Teams behindert. Unternehmen berichteten auch von einem gestiegenen Bewusstsein dafür, wie sich die Krise auf ihre Mitarbeiter auswirkt – scheinbar wächst das Verständnis dafür, dass viele zwar gerne von zu Hause aus arbeiten, CTI-Analysten es jedoch schwierig finden, abzuschalten und Pausen zu machen, wenn sie von Zuhause aus arbeiten. Die CTI- und Sicherheitsexperten sehen einen weiteren Vorteil des virtuellen Arbeitens in der Möglichkeit, an virtuellen Veranstaltungen, Konferenzen oder Meetings teilzunehmen, wodurch nicht nur Reise- und Kostenbarrieren überwunden werden, sondern auch der Austausch von Informationen und Bedrohungen verbessert wird.
CTI offenbart seinen Wert auch für KMU
CTI wird nicht mehr nur als Technologie für Großunternehmen wahrgenommen, sondern bietet einen Mehrwert für Unternehmen aller Größen in einer Reihe von Branchen, wobei Cybersicherheit, Banken & Finanzen, Behörden und Technologie die führenden Branchen in den Antworten der Umfrage waren. Die Ergebnisse zeigen, dass die Anzahl der Unternehmen, die die Vorteile von CTI erkannt haben und die Investition in CTI für ihre taktischen und strategischen Cyber-Response-Entscheidungen als lohnenswert erachten, deutlich gestiegen ist.
Auf die Frage nach dem Einsatz, dem Wert und den Hemmnissen von CTI gaben 77 Prozent der Befragten an, dass CTI ihre Erkennungs- und Reaktionsfähigkeiten verbessert. 78 Prozent bezeichneten CTI-Daten und -Informationen als nützlich für die Erkennung von Bedrohungen und Angriffen, 70 Prozent nutzen CTI zur Abwehr von Bedrohungen und 66 Prozent zur Unterstützung ihrer Incident Response.
Die zunehmende Nutzung von CTI in Unternehmen aller Größenordnungen zeigt sich sowohl in den 85 Prozent der Befragten, die angaben, CTI bereits zu nutzen, als auch in den 15 Prozent, die dies noch nicht tun, aber planen einzuführen. 24 Prozent der Befragten arbeiten in Unternehmen mit weniger als 500 Mitarbeitern und 47 Prozent in Unternehmen mit weniger als 5.000 Mitarbeitern. Diese Zahlen zeigen das große Potenzial von CTI für alle Organisationen, die durch eine verstärkte CTI-Implementierung über das gesamte Reifespektrum hinweg Fortschritte in der Weiterentwicklung ihrer Sicherheitsstrategie machen.
Darüber hinaus konzentrieren sich die Unternehmen jetzt deutlich stärker auf die Messung der Effektivität ihrer CTI-Implementierung, wie der Sprung in diesem Bereich von 2020 auf 2021 zeigt: 38 Prozent der Befragten messen die Effektivität von CTI, im Vergleich zu 4 Prozent im Jahr 2020. Dies zeigt, wie sich der Stellenwert von CTI-Funktionen in Organisationen aller Größenordnungen fortsetzt.
Automatisierung sorgt für mehr Zeit und Ressourcen
Da die CTI-Tools und -Prozesse für immer mehr Automatisierung sorgen, können Analysten mehr Zeit für wichtige Tätigkeiten aufwenden und die in stumpfe Sammel- und Verarbeitungsaufgaben investierte Zeit reduzieren. Von CTI-Analysten wird heutzutage mehr denn je verlangt, Informationen aus diversen Quellen in ihre Analysen zu integrieren. Die Verarbeitung dieser Daten ist eine Aufgabe, die enorm von Automatisierungsfunktionen profitiert.
Hierbei zeigt sich, dass weiterhin ein großer Bedarf an optimierten CTI-Tools und -Prozessen besteht, die die Analyse unterstützen und helfen, irreführende Informationen zu identifizieren, die die Analyse der Auswirkungen verzerren können. Während 65 Prozent der Befragten angaben, dass sie insgesamt mit der Automatisierung und Integration von CTI-Informationen in Erkennungs- und Reaktionssysteme zufrieden sind – ein Anstieg gegenüber der Umfrage von 2020 (62%) –, gab fast die Hälfte der Befragten (45%) an, dass fehlende Automatisierung oder Interoperabilitätsprobleme ihre Organisationen daran hindern, CTI effektiv zu implementieren.
Die Bedeutung der Automatisierung wird noch verstärkt durch den Mangel an geschultem Personal, der laut 53 Prozent der Befragten nach wie vor eines der größten Hindernisse bei der Implementierung von CTI darstellt. Dies unterstreicht die Notwendigkeit für Unternehmen, geschulte und fähige CTI-Analysten zu beschäftigen, unabhängig davon, ob sie Informationen produzieren oder konsumieren. Die Umfrage ergab auch, dass sich der Trend zu Teams mit Hybridmodellen in den letzten 5 Jahren zurückverlagert hat und Organisationen zunehmend die Verantwortung für das Management ihrer CTI-Funktionen übernehmen, wobei die Zahl der Inhouse-Teams bis 2020 um 5 auf 37 Prozent steigt und die der Hybridmodelle um 5 auf 56 Prozent sinkt.
Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient.