Das Team zu Cyber Threat Intelligence (CTI) des Sans Institute stellt die Ergebnisse seiner Studie rund um Cybersicherheit vor. Angesichts der starken Zunahme von verdeckten Aktivitäten sowie Cloud- und KI-gesteuerten Angriffen sollen die Erkenntnisse besonders für CISOs, CIOs und Sicherheitsexperten relevant sein. Verfasst wurde die Studie von Rebekah Brown, Sans Certified Instructor, und Andreas Sfakianakis, Sans Instructor Candidate.
Geopolitische und regulatorische Einflüsse
Geopolitische Entwicklungen und neue Regulierungen beeinflussen die Arbeit der CTI-Teams stark. „Die zunehmende Häufigkeit und Komplexität globaler Konflikte macht es für CTI-Teams unerlässlich, ihren Fokus über interne Themen hinaus zu erweitern“, sagt Brown. „Unsere Umfrage zeigt, dass 77,5 Prozent der Befragten den bedeutenden Einfluss der Geopolitik auf ihre nachrichtendienstlichen Anforderungen anerkennen, was die Notwendigkeit einer anpassungsfähigen und informierten Reaktion auf externe Bedrohungen unterstreicht. Darüber hinaus betonten 74 Prozent der Befragten die Bedeutung der Anpassung an neue Vorschriften, was die Notwendigkeit unterstreicht, dass CTI-Teams mit den sich entwickelnden rechtlichen Rahmenbedingungen Schritt halten müssen.“
Anstieg der Gefahrenabwehr
Erstmals hat sich das Threat Hunting als wichtigster Anwendungsfall für CTI herauskristallisiert. Bei diesem proaktiven Ansatz zur Erkennung unbekannter Bedrohungen wird das Mitre-ATT&CK-Framework in großem Umfang eingesetzt, wobei über 95 Prozent der Befragten es zur Kategorisierung und Kommunikation von Taktiken, Techniken und Verfahren (TTPs) verwenden. „Die Bedeutung von Threat Tracking spiegelt einen strategischen Wandel in der Art und Weise wider, wie Unternehmen CTI einsetzen“, sagt Sfakianakis. „Dieser Ansatz verbessert nicht nur die Aufklärungsfähigkeiten, sondern stärkt auch die allgemeine Sicherheitslage.“
Auswirkungen von Künstlicher Intelligenz
Künstliche Intelligenz setzt sich in der CTI immer mehr durch: Fast ein Viertel der Befragten nutzt bereits KI in ihren Programmen, weitere 38 Prozent planen die Einführung. „Künstliche Intelligenz wird zu einem wichtigen Werkzeug für CTI-Teams, das Analysten bei der Priorisierung und Verarbeitung großer Informationsmengen durch fortschrittliche Bewertungs- und Zusammenfassungstechniken unterstützt“, sagt Brown. Sie weist jedoch auch auf die wachsende Besorgnis über den böswilligen Einsatz von KI hin und betonte, wie wichtig es sei, sich auf KI-gesteuerte Bedrohungen vorzubereiten.
Integration durch Threat-Intelligence-Plattformen
Die Umfrage hebt die Rolle von Threat-Intelligence-Plattformen (TIPs) bei der Integration von CTI in den Sicherheits-Stack hervor. 58 Prozent der Befragten gaben an, dass sie CTI über die integrierten Integrationsfunktionen von TIPs in ihre Erkennungs- und Reaktionskontrollen eingebunden haben. „Der Reifegrad von TIPs zeigt, wie effektiv sie Bedrohungsdaten über Sicherheitstools hinweg verteilen und so die Gesamteffizienz von CTI-Programmen verbessern“, erläutert Sfakianakis.
CTI im Schwachstellen-Management
Das Schwachstellen-Management hat deutlich zugenommen: 66 Prozent der Befragten nutzen CTI, um aktiv ausgenutzte Schwachstellen zu identifizieren. Dies ist ein Anstieg gegenüber 54 Prozent im Jahr 2017 und zeigt die zentrale Rolle von CTI bei der Priorisierung von Patches und der Unterstützung von Maßnahmen zur Behebung von Schwachstellen. „Unsere Ergebnisse unterstreichen die wachsende Abhängigkeit von CTI für operative Zwecke im Schwachstellen-Management. 83 Prozent der Befragten halten CTI für unverzichtbar, um kritische Schwachstellen zu identifizieren und zu beheben“, erklärt Brown.
