Das SANS Institute stellt die Ergebnisse seiner jährlichen Cyber Threat Intelligence Studie 2018 vor. Die Studie zeigt, wie weit Cyber Threat Intelligence (CTI) in Unternehmen bereits entwickelt ist. Befragt wurden mehr als 300 Cybersicherheitsexperten aus den unterschiedlichsten Branchen.
81 Prozent der Teilnehmer gaben an, dass durch die Einführung von CTI ihre Möglichkeiten zur Prävention, Erkennung und Reaktion verbessert wurden. 2017 waren es nur 78 Prozent und in 2016 sogar nur 64 Prozent. CTI ist in den Unternehmen angekommen und konnte sich in den letzten Jahren deutlich etablieren.
68 Prozent der Befragten haben in diesem Jahr angegeben, dass sie CTI in ihrer Cybersicherheit implementiert haben, und weitere 22 Prozent planen die Einführung in der Zukunft. Nur noch 11 Prozent der Unternehmen hat keine entsprechenden Pläne, womit ihr Anteil im Vergleich zum Vorjahr sank (15 Prozent).
„Die Gefahrenlandschaft verändert sich stetig und es gibt mehr fortgeschrittene Angreifer als je zuvor, Sicherheitsteams brauchen deshalb jede Unterstützung, die sie bekommen können, um ihre Unternehmen zu schützen, Gefahren zu erkennen und darauf zu reagieren,“ sagt Dave Shackleford, SANS-Analyst und Senior Instructor.
Schwierige Personaltrends zeigen die Grenzen der CTI auf
Die Mehrheit der Befragten gab an, dass der Fachkräftemangel eines der größten Hindernisse dabei ist, CTI in ihrem Unternehmen zu implementieren. Der Anteil der Befragten, denen die Fachkräfte mit der notwendigen Erfahrung und Ausbildung fehlen würden, um diese Aufgabe zu übernehmen, stieg von 53 Prozent 2017 auf 62 Prozent in diesem Jahr an.
An zweiter Stelle steht außerdem der Zeitmangel der überlasteten Sicherheitsteams. Dies zeigt, je mehr die CTI eingesetzt wird, desto mehr Fähigkeiten werden den Fachleuten abverlangt. Deshalb wird es immer schwieriger die richtigen Mitarbeiter mit der gewünschten Erfahrung zu finden, um CTI-Programme aufzubauen und in Betrieb zu nehmen. Darüber hinaus gaben 39 Prozent der Befragten an, dass ihnen momentan die technischen Möglichkeiten fehlen, um CTI-Tools im Unternehmen zu integrieren.
Besserer Überblick und verbesserte Security Operations
Als Ergebnis der CTI-Programme berichten die Umfrage-Teilnehmer von besseren Einblicken in die eigene IT-Infrastruktur und verbesserten Security Operations. In Zahlen ausgedrückt, zeigten sich 71 Prozent mit dem Überblick über Gefahren zufrieden, 70 Prozent waren mit den Security Operations zufrieden, während 66 Prozent nun besser unbekannte Bedrohungen erkennen können.
Die drei beliebtesten Einsatzszenarien sind Bedrohungen und Angriffen zu erkennen (79 Prozent), entdeckte Bedrohungen zu blockieren (70 Prozent) und die verfügbaren Daten für das Incident Response Team zu nutzen (71 Prozent). Allerdings sind auch Aufgaben wie das Threat Management (62 Prozent) sowie das Schwachstellenmanagement (61 Prozent) und der Einsatz der Daten für die Security Awareness (60 Prozent) beliebt, womit aber lediglich ein Teil der Möglichkeiten abgedeckt ist.
„Glücklicherweise teilen Unternehmen Details über Attacken und Angreifer und es gibt zahlreiche Open Source aber auch kommerzielle Tools, mit denen sich wertvolle Informationen sammeln und in die eigene CTI überführen lassen. All das hat zu Verbesserungen in den Unternehmen geführt, um Security Operations zu verbessern und zuvor unbekannte Attacken zu erkennen,“ führt Shackleford aus.
Zusammenfassend erklärt er: „Die Ergebnisse unserer Umfrage zeigen einen klaren Trend, dass CTI mit SOC zusammenhängt und in Aktivitäten wie Security Monitoring, Threat Hunting und Incident Response einzahlt.“