Den meisten Bedrohungsanalysten ist es verboten, Informationen mit Kollegen zu teilen

Cyber Security News

Laut Kaspersky ist es den meisten Threat Intelligence-Analysten nicht erlaubt, Artefakte mit ihren Kollegen in professionellen Netzwerken zu teilen, was den globalen Kampf gegen Cyber-Attacken behindert.

Der russische Anti-Malware-Anbieter hat seinen neuesten Bericht “Managing Your IT Security Team” auf der Grundlage von Interviews mit über 5200 IT-Entscheidern in 31 Ländern im Juni 2020 erstellt.

Es zeigte sich, dass zwei Drittel (66 %) der Bedrohungsanalysten an einer professionellen Community teilnehmen, um Zugang zu den aktuellsten und umsetzbaren Informationen zu erhalten, die ihnen helfen, ihre Organisation zu schützen.

Dazu gehören Abonnements von Schwachstellen-Datenbanken (61 %), die Teilnahme an professionellen Foren und Blogs (45 %) und der Empfang von Bedrohungsdaten aus kostenpflichtigen (42 %) und kostenlosen (33 %) Feeds.

Allerdings sind die Arbeitgeber in der Regel dagegen, dass dieselben Analysten ihre eigenen Informationen mit externen Communities teilen. Mehr als die Hälfte (52 %) gab an, dass sie solche Aktivitäten nicht erlauben.

Das bedeutet, dass weniger als die Hälfte der Analysten (44 %) potenziell kritische Erkenntnisse über das eigene Unternehmen hinaus geteilt haben. In Unternehmen, in denen der Austausch erlaubt ist, tun dies 77 %, was die Bedeutung der Zusammenarbeit im Kampf gegen Cyber-Bedrohungen unterstreicht. Selbst in Organisationen, in denen dies verboten ist, gaben 8 % an, dass sie dennoch versuchen, Informationen zu teilen.

Zu diesen Informationen gehören laut Kaspersky typischerweise Kompromittierungsindikatoren (Indicators of Compromise, IoCs) wie Hashes oder C&C-Server sowie Informationen über Taktiken und Techniken, Motivationen und gängige Penetrationsvektoren.

“Jede Information – sei es neue Malware oder Erkenntnisse über verwendete Techniken – ist wertvoll für den Schutz vor fortgeschrittenen Bedrohungen”, argumentiert Anatoly Simonenko, Group Manager, Technology Solutions Product Management, bei Kaspersky.

“Deshalb stellen wir unsere Erkenntnisse aus der Bedrohungsforschung ständig über unsere Informationsressourcen und über unsere TI-Services zur Verfügung. Wir ermutigen Sicherheitsanalysten, auf die gleiche kollaborative Art und Weise auch anderen eine helfende Hand zu reichen.”

Diese Art der Zusammenarbeit ist nicht nur eine gute Praxis, sondern könnte auch dazu beitragen, die Arbeitslast der überlasteten Analysten zu verringern. Der Bericht fand heraus, dass 41 % derjenigen, die um Hilfe aus internen Communities gebeten hatten, das Unternehmen schließlich aufgrund der hohen Arbeitsbelastung verlassen hatten.

Allerdings muss man auch abwägen: Der Bericht warnt davor, dass ein zu frühes Teilen von Informationen über einen Angriff den Bedrohungsakteuren einen Vorteil verschaffen könnte, der es ihnen ermöglicht, ihre Taktiken anzupassen, um einer weiteren Entdeckung zu entgehen.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com