24 November 2021
Da sich Cyber Threat Intelligence (CTI)-Aktivitäten als Kernkomponente zur Minderung des Risikos von Cyberangriffen entwickelt zu haben scheinen, stehen Unternehmen vor der Entscheidung, die letztlich auf das Dilemma "build or buy" hinausläuft. Welche Sicherheitsfunktionen sollten ausgelagert werden? Welchen geschäftlichen Wert hat die Entwicklung eigener CTI? Sind diese technischen und personellen Ressourcen auf lange Sicht haltbar? Dies sind Fragen, die sich jeder Manager stellen sollte, wenn er entscheidet, ob er eine Sicherheitsfunktion aufbauen oder auslagern will. Dieser zweiteilige Artikel befasst sich mit den allgemeinen und vertikalen marktbezogenen Argumenten für die Auslagerung oder den Aufbau einer eigenen CTI.
Cyber Threat Intelligence (CTI) ist eine Form von Threat Intelligence, die von Gartner definiert wird als "[...] evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und handlungsorientierter Ratschläge über eine bestehende oder aufkommende Bedrohung oder Gefahr für Assets".
CTI-Aktivitäten können auf drei Ebenen durchgeführt werden, nämlich auf strategischer, operativer und taktischer Ebene, wobei jede Ebene einen anderen Wert für eine Organisation hat. Die taktische und operative CTI kann die Security Operations Centers (SOCs) bei der Triage und Priorisierung von Sicherheitswarnungen unterstützen. Die strategische CTI erstellt Informationsberichte für Entscheidungsträger, die einen Überblick über die Bedrohungslandschaft benötigen, um fundierte Entscheidungen treffen zu können.
Der geschäftliche Nutzen des Zugangs zu verwertbaren Informationen ist der Schlüssel zum Verständnis der stetigen Entwicklung dieser Aktivitäten in Unternehmen. Dieses Wachstum wird vom SANS Institute in einer jährlichen Umfrage beobachtet, in der die Trends und Entwicklungen der CTI-Aktivitäten erfasst werden. Die Ergebnisse der Anfang 2021 veröffentlichten Umfrage zeigen einen enormen Fortschritt bei der Nutzung von CTI, die für 85 % der Befragten Realität geworden ist, während es 2017 nur 60 % waren. Außerdem zeigt die Zusammensetzung des Panels mit einem beträchtlichen Anteil an kleinen Unternehmen (24 % der Befragten arbeiten in einer Organisation mit weniger als 500 Mitarbeitern), dass CTI als Norm für Unternehmen, die ihre Vermögenswerte schützen wollen, weithin anerkannt zu sein scheint. Diese Zahlen sind jedoch insofern mit Vorsicht zu genießen, als die Sektoren mit dem höchsten Reifegrad und Bewusstsein für Cyber-Bedrohungen (MSSPs, Informationssektor) überrepräsentiert sind. Anbieter von Cybersicherheitsdiensten sind mit mehr als 70 Befragten, die in diesem Bereich tätig sind, die am stärksten vertretene Branche im Panel.
Cyber Threat Intelligence bedarf einer Kombination aus automatisierten Tools und Personal, das diese Tools beherrscht. Der Mangel an hochqualifizierten Analysten verstärkt den Bedarf an automatisierten Tools, die in der Lage sind, Informationen auf hohem Niveau zu verarbeiten. Dies lässt sich zum Beispiel an der Fähigkeit messen, ungültige Daten zu erkennen, die die Bewertung des Endprodukts verfälschen könnten. Der Mangel an Automatisierung kann interne CTI-Aktivitäten zum Scheitern bringen, wie die Antworten von 45 % der Befragten zeigen, die den Mangel an Automatisierung und Interoperabilität als Haupthindernis für die Implementierung von CTI in ihrem Unternehmen nannten. Durch Outsourcing wird also vermieden, dass knappe Personalressourcen für automatisierte Aufgaben verschwendet werden, die von Anbietern effizienter durchgeführt werden können.
Der Markt für CTI hat einen hohen Reifegrad erreicht, und die meisten Anbieter von Managed Security Services (MSSP) haben Angebote entwickelt, die CTI einschließen oder ganz darauf ausgerichtet sind. Kurz gesagt: CTI ist zu einem zentralen Security Service geworden. Dieser Paradigmenwechsel bietet Garantien für das Fachwissen der Anbieter, die sich sowohl auf in der Bedrohungsanalyse geschulte Mitarbeiter als auch auf hochwertige Tools stützen, die es ihnen ermöglichen, Aufgaben mit geringem Mehrwert zu automatisieren. MSSPs stützen sich auf Daten aus externen Ressourcen (z. B. Datenbankabonnements), die sie mit Primärdaten aus ihren eigenen und den Rohdaten ihrer Kunden anreichern. Diese Informationen sind sehr wertvoll für Organisationen, die einen tieferen Einblick in den Stand der Bedrohung in ihrem Tätigkeitsbereich erhalten wollen, da der Anbieter ein Panorama der Bedrohung auf der Grundlage konkreter Elemente bietet. Die Regeln zur Erkennung von Malware werden beispielsweise durch die gemeinsame Nutzung der internen Telemetrie der MSSP-Kunden bereichert. Die wichtigsten Bedrohungen für einen Kunden sind diejenigen, die auf den Sektor abzielen, in dem er tätig ist. Die Auslagerung von CTI-Aktivitäten an einen MSSP kann sinnvoll sein, wenn sich die Telemetrie und die Quellen des Anbieters auf die eigene Kernaktivität konzentrieren.
Bei jeder "Build or Buy"-Analyse sollte man sich auf die Preisgestaltung der einzelnen Optionen konzentrieren. Die Festlegung eines Preises ist von entscheidender Bedeutung, doch sagt der metrische Wert allein nicht viel über die Qualität der Dienstleistung aus. Die Durchführung einer Kosten-Nutzen-Analyse erscheint unerlässlich. Es gibt zwei Arten von Kosten, die bei der Einführung von CTI in einem Unternehmen anfallen: 1) Einrichtungskosten und 2) laufende Kosten.
Einerseits sind die internen CTI-Kapazitäten in Bezug auf Entwicklung und Wartung sehr umfangreich. Andererseits hat sich CTI zu einer Kernaktivität im Ökosystem der MSSP entwickelt. Daher ist der CTI-Markt durch niedrige Margen und Skaleneffekte gekennzeichnet (Dienstleister verteilen die Kosten auf Kunden innerhalb desselben Sektors), was die Preise für Managed CTI-Angebote unter Druck setzt.
Im Rahmen einer Differenzierungsstrategie haben die CTI-Anbieter ihre hochwertigen Angebote entwickelt, indem sie die Anpassung des Produkts an die spezifischen Bedürfnisse des Kunden ermöglichen. Dies kann zur Integration von externen Datenströmen führen.
Die Entwicklung des CTI-Marktes hat es für Unternehmen attraktiv gemacht, spezialisierte Anbieter zu nutzen. Der Reifegrad dieses Segments der Security Services hat in der Tat dazu geführt, dass Fachwissen in diesem Bereich für MSSPs unverzichtbar geworden ist, die sich durch eine attraktive Preisgestaltung und Katalogangebote, die ein höheres Maß an Serviceanpassung ermöglichen, differenzieren konnten.
Trotz einer starken Diversifizierung der Angebote von MSSPs ist die Wahl eines externen Anbieters nicht immer die Lösung mit dem höchsten Mehrwert. Die Anpassung an Kundenwünsche hat nämlich ihren Preis, der je nach Ausgereiftheit des Angebots bis zum Dreifachen variieren kann.So können die finanziellen Einschränkungen eines Unternehmens dazu führen, dass es sich für ein allgemeines Angebot entscheidet, das nicht unbedingt den Sicherheitsanforderungen des Unternehmens entspricht. Ein kleines privates Unternehmen in der Verteidigungsindustrie oder eine öffentliche Verwaltung kann die Verpflichtung haben, CTI zu betreiben, ohne über das entsprechende Budget zu verfügen. In diesem Fall kann die Implementierung interner CTI-Kapazitäten die Bedürfnisse besser erfüllen, indem sie auf präzisere Anforderungen ausgerichtet werden, die an den Sektor, in dem das Unternehmen konkurriert, angepasst sind.
Für kleine und mittlere Unternehmen sind die Pakete von MSSPs der unteren Kategorie möglicherweise unerreichbar. Die Durchführung von CTI-Aktivitäten erfordert jedoch nicht zwangsläufig große Teams und hochentwickelte Tools. Laut der Umfrage des SANS-Instituts, in der Unternehmen aller Größen in relativ ausgereiften Branchen befragt wurden, verfügt weniger als die Hälfte der befragten Unternehmen (44,4 %) über ein eigenes CTI-Team, und 13,8 % verwalten CTI mit einer einzelnen Person. Mit unternehmensinternen CTI-Aktivitäten kann dem Sicherheitsbedürfnis besser entsprochen werden, und die Unternehmen können in ihrem eigenen Tempo wachsen.
Cyber Threat Intelligence ist wie jede Form der Aufklärung ein Zyklus, der aus verschiedenen Phasen besteht (Planung, Sammlung, Verarbeitung, Analyse und Verbreitung). In der Analysephase werden fertige Intelligence-Berichte erstellt, die dann im gesamten Unternehmen verbreitet werden können. Mit internen Cyber Threat Intelligence-Fähigkeiten lassen sich Intelligence-Berichte besser über die verschiedenen Sicherheitsebenen, einschließlich SOC-Analysten, CISO und Incident Response-Teams, verbreiten. Letztlich profitieren alle Beteiligten in diesen Bereichen von der Zusammenarbeit mit CTI-Analysten. Unternehmen, die in großem Umfang im Ausland tätig sind, nutzen die von CTI-Analysten übermittelten Informationen, um ihre Mitarbeiter über zahlreiche Cyberrisiken aufzuklären. Ebenso kann die Verbreitung von Informationen über verschiedene Vertriebskanäle dazu beitragen, eine Kultur der Cybersicherheit aufzubauen, indem das Bewusstsein der Mitarbeiter für die Cyberbedrohungen geschärft wird, die auf das Unternehmen abzielen, für das sie arbeiten. Und schließlich können die Unternehmensakteure von einer größeren Flexibilität bei der Anpassung der CTI-Anforderungen im Falle einer Neuorientierung profitieren. Ein Unternehmen kann daran interessiert sein, seine derzeitige Threat Intelligence-Ausrichtung geheim zu halten.
Die wichtigsten theoretischen Argumente zu diesem Build/Buy-Dilemma werden in diesem ersten Teil dargelegt. Im zweiten Teil wird die Komponente Return on Investment (ROI) beleuchtet, um einen vertikalen, marktbasierten Ansatz zu diesem Thema zu bieten.