Im Mittelpunkt der diesjährige Studie des SANS Institutes stehen der erhebliche Einfluss geopolitischer Ereignisse, die wachsende Rolle künstlicher Intelligenz und die zunehmende Dominanz des Threat Huntings innerhalb von CTI-Teams. Angesichts der dramatischen Zunahme von verdeckten Aktivitäten, Cloud-Angriffen und KI-gesteuerten Angriffen sind die Erkenntnisse der Studie für CISOs, CIOs und Sicherheitsexperten von entscheidender Bedeutung.
Die Cyber Threat Intelligence (CTI) Studie 2024 wurde von den Cybersicherheitsexperten Rebekah Brown, SANS Certified Instructor, und Andreas Sfakianakis, SANS Instructor Candidate verfasst.
Geopolitische und regulatorische Einflüsse
Geopolitische Entwicklungen und neue Regulierungen beeinflussen die Arbeit der CTI-Teams stark. „Die zunehmende Häufigkeit und Komplexität globaler Konflikte macht es für CTI-Teams unerlässlich, ihren Fokus über interne Themen hinaus zu erweitern“, sagt Brown. „Unsere Umfrage zeigt, dass 77,5 Prozent der Befragten den bedeutenden Einfluss der Geopolitik auf ihre nachrichtendienstlichen Anforderungen anerkennen, was die Notwendigkeit einer anpassungsfähigen und informierten Reaktion auf externe Bedrohungen unterstreicht. Darüber hinaus betonten 74 Prozent der Befragten die Bedeutung der Anpassung an neue Vorschriften, was die Notwendigkeit unterstreicht, dass CTI-Teams mit den sich entwickelnden rechtlichen Rahmenbedingungen Schritt halten müssen.“
Anstieg der Gefahrenabwehr
Erstmals hat sich das Threat Hunting als wichtigster Anwendungsfall für CTI herauskristallisiert. Bei diesem proaktiven Ansatz zur Erkennung unbekannter Bedrohungen wird das MITRE ATT&CK-Framework in großem Umfang eingesetzt, wobei über 95 Prozent der Befragten es zur Kategorisierung und Kommunikation von Taktiken, Techniken und Verfahren (TTPs) verwenden. „Die Bedeutung von Threat Tracking spiegelt einen strategischen Wandel in der Art und Weise wider, wie Unternehmen CTI einsetzen“, sagt Sfakianakis. „Dieser Ansatz verbessert nicht nur die Aufklärungsfähigkeiten, sondern stärkt auch die allgemeine Sicherheitslage.“
Auswirkungen von künstlicher Intelligenz
Künstliche Intelligenz (KI) setzt sich in der CTI immer mehr durch: Fast ein Viertel der Befragten nutzt bereits KI in ihren Programmen, weitere 38 Prozent planen die Einführung. „Künstliche Intelligenz wird zu einem wichtigen Werkzeug für CTI-Teams, das Analysten bei der Priorisierung und Verarbeitung großer Informationsmengen durch fortschrittliche Bewertungs- und Zusammenfassungstechniken unterstützt“, sagt Brown. Sie wies jedoch auch auf die wachsende Besorgnis über den böswilligen Einsatz von KI hin und betonte, wie wichtig es sei, sich auf KI-gesteuerte Bedrohungen vorzubereiten.
Integration durch Threat Intelligence Plattformen (TIPs)
Die Umfrage unterstreicht die entscheidende Rolle von Threat Intelligence-Plattformen (TIPs) bei der Integration von CTI in den Sicherheits-Stack. Bemerkenswerte 58 Prozent der Befragten gaben an, dass sie CTI über die integrierten Integrationsfunktionen von TIPs in ihre Erkennungs- und Reaktionskontrollen eingebunden haben. „Der Reifegrad von TIPs zeigt, wie effektiv sie Bedrohungsdaten über Sicherheitstools hinweg verteilen und so die Gesamteffizienz von CTI-Programmen verbessern“, erläutert Sfakianakis.
CTI im Schwachstellen-Management
Schwachstellenmanagement hat deutlich zugenommen: 66 Prozent der Befragten nutzen CTI, um aktiv ausgenutzte Schwachstellen zu identifizieren. Dies ist ein Anstieg gegenüber 54 Prozent im Jahr 2017 und zeigt die zentrale Rolle von CTI bei der Priorisierung von Patches und der Unterstützung von Maßnahmen zur Behebung von Schwachstellen. „Unsere Ergebnisse unterstreichen die wachsende Abhängigkeit von CTI für operative Zwecke im Schwachstellenmanagement. 83 Prozent der Befragten halten CTI für unverzichtbar, um kritische Schwachstellen zu identifizieren und zu beheben“, erklärt Brown.