Threat Intelligence-Teams nutzen verstärkt Information Sharing and Analysis Center (ISACs)

Herbert Abben

Umfrage des SANS Institutes zum CTI Report 2021 zeigt, dass Unternehmen letztes Jahr stärker in den Aufbau von eigenen Teams (Anstieg von 5%) und weniger stark in externe Dienstleister (Abnahme um 5%) investiert haben. Der Anteil von Bedrohungsinformationen aus externen Ressourcen wie Medien und ISACs steigt darüber hinaus an.

SANS Institute, weltweit führender Anbieter von Cybersicherheitsschulungen und -zertifizierungen, veröffentlicht die Ergebnisse zum Cyber Threat Intelligence (CTI) Report 2021. Die Umfrage zur Studie wird seit 2017 durchgeführt und zeigt dadurch auf, wie sich der Austausch und die Aufbereitung von Bedrohungsinformationen seitdem entwickelt haben. Einige der Trends kehrten sich 2020 um.

So konnten die Studienautoren in den letzten fünf Jahren beobachten, dass der Prozentsatz der reinen Inhouse-Teams langsam abnahm, während der Anteil der Teams unterstützt von externen Dienstleistern zunahm. In diesem Jahr hat sich dieser Trend umgekehrt: Der Anteil der Inhouse-Teams stieg um 5 auf 37 Prozent, während der Anteil der Hybrid-Modelle um 5 auf 56 Prozent zurückging.

Die Umkehrung vergangener Trends ist nicht nur ein Indiz dafür, wie die Belegschaft durch das Coronavirus geprägt wurde. Die Ergebnisse zeigen auch eine stetig wachsende Professionalisierung und den Reifegrad der Profession. Darüber hinaus kommen auch kleinere Unternehmen hinzu, die damit beginnen CTI-Fähigkeiten zu entwickeln. Es sind also nicht immer nur die großen Unternehmen, die in dieses Feld investieren. Die meisten Umfrageteilnehmer (125) rekrutierten sich aus Unternehmen mit weniger als 1.000 Mitarbeitern.

Die Art und Weise, wie CTI-Analysten arbeiten, hat sich zum großen Teil aufgrund des Coronavirus verändert. Beispielsweise haben Automatisierungsverbesserungen in vielen Bereichen der CTI-Erfassung und Informationsverarbeitung Teile des gestiegenen Arbeitsaufkommens handhabbarer gemacht. CTI-Tools und -Prozesse werden immer stärker automatisiert, so dass Analysten mehr Zeit für übergeordnete analytische Aktivitäten haben, anstatt sich wiederholende Erfassungs- und Verarbeitungsaufgaben zu erledigen. In diesem Jahr konnten wir beobachten, dass CTI-Analysten mehr Informationen von dritten Stellen und aus staatlichen Sicherheitsbulletins (ISACs und CERTs) und Medienberichten in ihre Analysen integrieren. Diese Veränderung zeigt einen Bedarf an Tools und Prozessen, die die Einbeziehung dieser Datenquelle zur Unterstützung der Analyse besser unterstützen und helfen, potenzielle Fehlinformationen oder Desinformationen zu identifizieren, die die Analyse negativ beeinflussen könnten.

„Die diesjährige Studie ist durch die weltweite COVID-19 Lage stark beeinflusst, nichts desto weniger können wir feststellen, dass sich CTI kontinuierlich weiterentwickelt und in den Unternehmen an Bedeutung gewinnt. Vor allem der große Anteil an kleineren Firmen, die nun mit CTI beginnen, ist spannend, lautet doch stets ein Vorurteil, dass sich nur große Firmen eine kontextbasierte Bedrohungsanalyse leisten können und wollen. CTI ist für jedes Unternehmen wichtig, dass seine Assets vor Fremdzugriffen schützen muss und dass der Austausch der Informationen und die Einbindung von externen Quellen mehr genutzt wird, ist eine weitere wichtige Erkenntnis für den Reifegrad der eigenen IT-Sicherheitsstrategie“, erläutert Mathias Fuchs, SANS-Instructor für FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics beim SANS Institute.

Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient, kommentiert: „Angesichts der ständig wachsenden Zahl von Bedrohungsdaten aus immer mehr Quellen ist es wichtig, dass diese Datensätze über eine Plattform verwaltet werden, die den Sicherheitsanalysten die Arbeit erleichtert. Es gibt noch viel zu tun, um die verschiedenen Prozesse der Datenanalyse zu automatisieren. Die Branche bewegt sich vorwärts, die Unternehmen folgen, aber das Ziel ist noch weit entfernt.“

An der Online-Umfrage nahmen im letzten Jahr 1.006 Experten aus aller Welt teil. Sie arbeiten vor allem in der IT-Sicherheitsindustrie, bei Behörden, im Finanzsektor und in der Fertigung. Die Umfrage wurde von Anomali, Cisco, DomainTools, Infoblox, Sixgill und ThreatQuotient gesponsert.

Weiterführende Informationen: