Threat Intelligence in der ISO 27002
Unter Threat Intelligence kann man entweder die konkret erfassten Daten über mögliche Bedrohungen verstehen – oder den gesamten Ablauf, von der Erfassung über die Verarbeitung bis zur Analyse dieser Informationen, um ein detailliertes Verständnis einer Bedrohung zu erhalten. Die Daten im Rahmen der Threat Intelligence werden zuerst durchgesehen und kontextualisiert, um Herausforderungen zu erkennen und daraufhin zielgerichtete Lösungen zu formulieren.
Die ISO 27002 definiert in Kapitel 5.7 verschiedene organisatorische Lösungen, um mit diesen Bedrohungen umzugehen.
Sammlung und Analyse von Bedrohungsdaten
Um fundierte Maßnahmen zu treffen und die Auswirkungen von Bedrohungen zu verringern, ist es wichtig, Informationen über bestehende oder neu auftretende Bedrohungen zu sammeln und zu analysieren. Diese Informationen können in drei Ebenen unterteilt werden, die alle berücksichtigt werden sollten:
- Strategische Bedrohungsanalyse: Der Austausch von Informationen über die sich verändernde Bedrohungslandschaft ist entscheidend. Hierzu gehören beispielsweise Informationen über neue Arten von Angreifern oder Angriffsmethoden.
- Taktische Bedrohungsinformationen: Informationen über die Methoden, Werkzeuge und Technologien, die von Angreifern verwendet werden, sind von großer Bedeutung, um Schwachstellen zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen.
- Operative Bedrohungsdaten: Einzelheiten zu bestimmten Angriffen, einschließlich technischer Indikatoren, ermöglichen es einer Organisation, auf konkrete Bedrohungen zu reagieren und mögliche Schäden zu begrenzen.
Eigenschaften einer effektiven Bedrohungsanalyse
Eine effektive Bedrohungsanalyse sollte folgende Eigenschaften aufweisen:
- Relevanz: Die Bedrohungsanalyse sollte eng mit dem Schutz der Organisation verbunden sein und gezielte Maßnahmen ermöglichen.
- Aufschlussreich: Die Analyse sollte der Organisation ein genaues und detailliertes Verständnis der Bedrohungslandschaft vermitteln, um angemessene Maßnahmen ergreifen zu können.
- Kontextbezogen: Die Analyse sollte Informationen mit Kontext versehen, basierend auf dem Zeitpunkt der Ereignisse, dem Ort, an dem sie auftreten, früheren Erfahrungen und der Häufigkeit in ähnlichen Organisationen. Dadurch entsteht ein Situationsbewusstsein.
- Umsetzbar: Die Informationen aus der Bedrohungsanalyse sollten schnell und effektiv in Maßnahmen umgesetzt werden können.
Aktivitäten im Bereich der Bedrohungsanalyse
Zu den Aktivitäten im Bereich der Bedrohungsanalyse gehören:
- Festlegung von Zielen: Es sollten klare Ziele für die Erstellung von Bedrohungsdaten definiert werden.
- Ermittlung, Prüfung und Auswahl von Informationsquellen: Interne und externe Informationsquellen müssen identifiziert werden, die relevante und geeignete Informationen für die Bedrohungsanalyse liefern können. Dies können beispielsweise Fachpublikationen, Sicherheitsforen, Sicherheitsdienstleister oder Regierungsbehörden sein.
- Sammlung von Informationen: Ausgewählte Informationsquellen, sowohl intern als auch extern, sollten regelmäßig überwacht und Informationen zu aktuellen Bedrohungen gesammelt werden. Dies kann beispielsweise durch regelmäßiges Scannen von Sicherheitsbulletins oder das Abonnement von Sicherheitswarnungen geschehen.
- Verarbeitung der Informationen: Die gesammelten Informationen müssen für die Analyse vorbereitet werden. Dazu kann es notwendig sein, die Informationen zu übersetzen, zu formatieren oder ihre Echtheit zu überprüfen. Dies stellt sicher, dass die Informationen korrekt und verwertbar sind.
- Analyse der Informationen: Die gesammelten Informationen sollten analysiert werden, um ihren Zusammenhang und ihre Bedeutung für die Organisation zu verstehen. Dies ermöglicht es, die Risiken und Auswirkungen von Bedrohungen besser einzuschätzen und geeignete Gegenmaßnahmen zu ergreifen.
- Kommunikation und Weitergabe der Informationen: Die analysierten Informationen sollten in einem verständlichen Format an relevante Personen in der Organisation kommuniziert und weitergegeben werden. Dies kann in Form von Sicherheitsberichten, Warnmeldungen oder Schulungen erfolgen, um das Bewusstsein für die aktuellen Bedrohungen zu schärfen.
Nutzung von Bedrohungsdaten
Die gesammelten und analysierten Bedrohungsdaten sollten in verschiedenen Bereichen genutzt werden:
- Risikomanagement: Die Informationen aus den Bedrohungsdatenquellen sollten in das Risikomanagement für die Informationssicherheit des Unternehmens einbezogen werden. Dadurch können Risiken besser identifiziert und angemessene Schutzmaßnahmen ergriffen werden.
- Technische Kontrollen: Bedrohungsdaten können als zusätzlicher Beitrag zu technischen Präventiv- und Detektivkontrollen dienen, wie z.B. Firewalls, Intrusion Detection Systems oder Anti-Malware-Lösungen. Indem die Bedrohungsdaten in diese Kontrollen integriert werden, können Angriffe besser erkannt und abgewehrt werden.
- Informationssicherheitsprüfung: Bedrohungsdaten können auch als Input für Verfahren und Techniken der Informationssicherheitsprüfung dienen. Sie helfen dabei, Schwachstellen zu identifizieren und Sicherheitslücken zu schließen.
Austausch von Bedrohungsdaten
Es wird empfohlen, dass Organisationen Bedrohungsdaten mit anderen Organisationen auf gegenseitiger Basis austauschen. Dieser Austausch kann dazu beitragen, die Qualität und Aktualität der Bedrohungsdaten insgesamt zu verbessern. Durch den gemeinsamen Informationsaustausch können Organisationen voneinander lernen und ihre Schutzmaßnahmen effektiver gestalten.
Fazit
Die oben genannten organisatorischen Lösungen bieten einen Leitfaden für den Umgang mit intelligenten Bedrohungen gemäß der ISO 27002:2021. Indem Organisationen Informationen über Bedrohungen sammeln, analysieren und entsprechende Maßnahmen ergreifen, können sie ihre Informationssicherheit verbessern und potenzielle Schäden minimieren.
Es ist wichtig zu betonen, dass bei der Bedrohungsanalyse ausschließlich seriöse Quellen verwendet werden sollten, um genaue und zuverlässige Informationen zu erhalten. Regierungsbehörden, Sicherheitsdienstleister, Forschungseinrichtungen und anerkannte Fachpublikationen sind gute Informationsquellen, die regelmäßig über aktuelle Bedrohungen berichten.