Mensch schlägt Maschine: Die Unverzichtbarkeit von Human-Generated Threat Intelligence
In einer Welt der voranschreitenden Automatisierung, die zahllose Vorteile mit sich bringt, bleibt menschlicher Austausch weiterhin ein wichtiger Bestandteil der Verteidigungsinfrastruktur von Unternehmen und öffentlichen Einrichtungen – speziell im Bereich Threat Intelligence für IT Security.
Den Überblick über sämtliche Entwicklungen im Bereich IT Security zu behalten ist schwierig. Hier sind Sicherheitsexpert:innen direkt mit mehreren Fragen konfrontiert:
- Welche Bedrohungen (z.B. Schwachstellen in Hard- und Software) existieren?
- Welche Bedrohungen betreffen die IT-Infrastruktur meiner Organisation direkt?
- Welche Systeme patche ich zuerst?
Um diese Fragen adäquat zu beantworten und so der Sicherheit der eigenen IT einen Schritt näher zu kommen, bietet Threat Intelligence (TI) eine Hilfestellung zur Problemlösung. Das Prinzip ist einfach: Bereitstellung von Nachrichten zur IT-Bedrohungslage, idealerweise auf die TI-beziehende Organisation zugeschnitten. IT-Sicherheitsexperten und Entscheider nutzen die Nachrichten als Handlungsempfehlung zum Patch-Management und zur allgemeinen Systemhärtung.
Bei Threat Intelligence kann zwischen „Machine-generated“ und „Human-generated“ unterschieden werden. Hierbei, wie im Namen enthalten, werden die Nachrichten entweder durch Maschinen (z.B. eine künstliche Intelligenz) oder durch Menschen generiert. Weiterhin wird noch zwischen den Empfängern unterschieden. Es gibt sowohl Human-readable, also für Menschen verständliche, als auch Machine-readable, also für Maschinen konzipierte, Threat Intelligence.
Wo bei durch Maschinen erstellte TI ein Algorithmus das Netz nach Informationen zu Bedrohungen durchforstet, arbeiten bei Human-generated TI eine Gruppe von IT-Security Expert:innen daran, alle Bedrohungen durch Sicherheitslücken und Hacker zu erkennen, zu analysieren, zu bewerten und entsprechende Handlungsempfehlungen zu geben.
Die großen Vorteile des Menschen gegenüber künstlicher Intelligenz sind hierbei die Interpretation des Kontexts und die Fähigkeit zur Filtrierung von Nachrichten. Die Ersteller:innen der TI kennen die zu schützende Organisation, wissen genau über die eingesetzten Hard- und Software-Produkte und sind sich darüber hinaus über die zukünftigen Umgestaltungen der IT-Landschaft bewusst. Menschliche Analyst:innen können im Voraus erahnen, welche Trends (z.B. die voranschreitende Cloudifizierung) in einigen Monaten bis vielen Jahren auf eine Organisation zukommen werden. Dies ermöglicht eine maßgeschneiderte Zusammenstellung eines Lageberichtes für das TI-beziehende Unternehmen. Die Relevanzfiltrierung ermöglicht zudem eine planbare Strukturierung des Patch-Prozesses, um die wichtigsten Systeme mit den kritischsten Sicherheitslücken am schnellsten zu schließen und so potenzielle Gefahren abzuwehren.
Ein weiteres Argument für die Nutzung von Human-generated Threat Intelligence ist der Austausch, welcher zwischen IT-Sicherheitsexpert:innen bei der Besprechung der Lageberichte entsteht. Dieser fördert die Entwicklung neuer Lösungsansätze und das gegenseitige voneinander Lernen stärkt den Wissensschatz.
Diese Erfahrungen machen wir als Erstellende von Threat Intelligence in unserer täglichen Arbeit. Complion produziert in Zusammenarbeit mit dem Bundesverband der IT-Anwender, VOICE e.V., die Inhalte des VOICE Cyber Security Competence Centers. Unsere aus dieser Erstellung von TI gewonnenen Eindrücke werden in diesem Blog in Zukunft regelmäßig geschildert.
Für weitere Informationen zum VOICE Cyber Security Competence Center, klicken Sie hier.
Verfasser: Tobias Philipsen