Threat Intelligence (TI) kann durch die Verknüpfung von Informationsbausteine helfen, einen tiefen Einblick in die Risiken und Gefahrenlagen der eigenen Systemlandschaft zu gewinnen. Die Vorteile liegen in der schnelleren Erkennung von Schwachstellen und Bedrohungen sowie in der Möglichkeit, Datenverluste oder Systembeeinträchtigungen durch Früherkennung zu vermeiden oder zumindest zu minimieren.
Was ist Cyber Threat Intelligence?
Cyber Threat Intelligence ist evidenzbasiertes Wissen einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und umsetzbare Ratschläge über eine bestehende oder aufkommende Bedrohung oder Gefahr. Bedrohungsinformationen ohne Kontext sind wenig aussagekräftig. Erst durch die Verknüpfung mit weiteren Daten, die von Cybersicherheitsforschern weltweit gesammelt werden – beispielsweise Bewertungen, Hintergrundwissen über Angreifergruppen, forensische Untersuchungen, Rekonstruktionen bösartiger Infrastrukturen oder Merkmale zur Identifizierung von Akteuren – entsteht praktischer Nutzen.
In der Praxis hat sich die Einteilung der Daten in taktische, strategische und operative Ebenen bewährt. Neben der zeitlichen und geografischen Dimension ist auch eine Kategorisierung nach Schwachstellen, Malware, Indikatoren, Techniken, betroffenen Systemen etc. von Vorteil.
Datenfeeds: Qualität und Relevanz entscheidend
Threat Intelligence verschafft Unternehmen einen entscheidenden Vorsprung bei der Erstellung von Risikoanalysen und strategischen Lagebildern, beim Monitoring und Threat Hunting, bei der Erkennung von Indicators of Compromise sowie bei der gezielten Reaktion auf Sicherheitsvorfälle.
Wesentlich sind dabei die Qualität und Relevanz der Datenfeeds. Unzureichende Daten können für häufige Fehlalarme sorgen. Dann steigt die Arbeitslast und die Reaktionsschnelligkeit sinkt. Das Ziel ist hingegen wertvoller Input, der die Priorisierung von Alarmen und Aufgaben erlaubt. Erst durch die Konzentration auf ausschließlich relevante Alerts kann der volle Mehrwert für die Präventionsarbeit und die Reaktionsfähigkeit des IT-Teams genutzt werden.
Neben externen Quellen können auch interne Daten über Malware-Funde und andere sicherheitsrelevante Ereignisse in die Threat Intelligence einfließen. Auch diese werden in einen größeren Kontext gestellt, um beispielsweise Einfallstore für Angriffe nachzuvollziehen oder typische Vorgehensweisen bestimmter Angreifergruppen zu identifizieren. So lässt sich feststellen, ob es sich bei einem Sicherheitsvorfall im Unternehmen um einen zufälligen Einzelfall oder möglicherweise um den Auftakt einer professionellen Angriffskampagne handelt.
Voraussetzungen für den effektiven Einsatz von Threat Intelligence
Voraussetzung für ein produktives Arbeiten mit Threat Intelligence sind ausreichende Ressourcen, um die Daten und die daraus gewonnenen Erkenntnisse nutzen zu können. Dazu zählen neben finanziellen Mitteln und der entsprechenden technologischen Infrastruktur auch qualifizierte Mitarbeiter*innen, die über Fachwissen in den Bereichen Cyber Security, Netzwerksicherheit und Incident Response verfügen.
Für die Verarbeitung und Analyse der großen Datenmengen können automatisierte Tools und Technologien wie SIEM (Security Information and Event Management) und Threat Intelligence Plattformen eingesetzt werden. Wesentlich ist der Zugang zu verschiedenen vertrauenswürdigen und aktuellen Datenquellen. Dazu zählen öffentliche Bedrohungsdatenbanken, Sicherheitsforen, proprietäre Datenquellen sowie kommerzielle Threat Intelligence Feeds. Ideal ist eine Kombination aus internationalen und lokalen Daten, da sie Unternehmen einen Zeitvorteil verschaffen kann.
Auswirkungen und Nutzen von Threat Intelligence
Threat Intelligence kann Aufschluss darüber geben, welche Bereiche des Unternehmens besser geschützt werden sollten, da sie als wahrscheinliche Angriffsziele gelten. Durch den Zugriff auf aktuelle und relevante Informationen können Unternehmen proaktive Maßnahmen ergreifen, um ihre Cyber-Resilienz zu verbessern.
- Die Analyse von Threat Intelligence Daten ermöglicht es, individuelle Risiken besser zu verstehen, zu bewerten und entsprechende Maßnahmen zur Risikominimierung zu ergreifen – oder zu automatisieren. Integriert in ein SIEM, kann Threat Intelligence für das Case Management genutzt werden, um individuelle Workflows für Security Incidents, Events, Incident Response und Hunting Missions zu definieren.
- Bei Sicherheitsvorfällen unterstützt Threat Intelligence IT-Teams dabei, schneller und gezielter zu reagieren, die Bedrohung zu analysieren, Gegenmaßnahmen einzuleiten und die Auswirkungen zu begrenzen. Insbesondere die Abwehr fortgeschrittener Angriffstechniken wie APTs (Advanced Persistent Threats) profitiert davon, dass Unternehmen Indikatoren erkennen und Angriffsmuster zuordnen, die Motive und Ziele hinter den Angriffen besser verstehen und gezielte Gegenmaßnahmen ergreifen können.
- Mit Hilfe von SOAR-Diensten (Security Orchestration, Automation and Response) lassen sich zudem Aktionen und Integrationen realisieren. Unter Aktionen versteht man dabei die unidirektionale Ausführung einer Aktion von der Plattform zu einer anderen Abwehrtechnologie, z.B. EDR-Containment, Firewall- oder Proxy-Regeln. Integration meint die die bidirektionale Einbindung von anderen Systemen oder Softwarekomponenten, wie z.B. MISP-Export/Import, Ticketsysteme oder CMDB.
Threat Intelligence in das eigene Unternehmen integrieren
Ob Cloud oder On-Premises, klassisch über die Integration in ein SIEM (Security Information and Event Management), über eine IT-Plattform oder für Air-Gap-Systeme – wie Threat Intelligence am besten in ein Unternehmen integriert wird, hängt einerseits von der Infrastruktur und andererseits von den spezifischen Anforderungen und Einsatzzwecken ab.
Die SIEM-Integration ermöglicht die automatisierte Überwachung und Korrelation von Ereignissen in Echtzeit. Integriert in das Case Management, kann SIEM mit Bedrohungsdaten verknüpfte Indikatoren wie IP-Adressen, Domains oder Datei-Hashes überprüfen und bei Übereinstimmungen Warnmeldungen generieren.
Auch Firewalls und Intrusion Detection/Prevention Systeme (IDS/IPS) können mit Threat Intelligence gefüttert werden, um den Datenverkehr gezielt zu überwachen. Gleiche Indikatoren aus den Feeds werden mit dem ein- und ausgehenden Datenverkehr abgeglichen, um bekannte Bedrohungen zu erkennen und abzuwehren.
Neben der automatisierten Nutzung wird Threat Intelligence für gezielte Recherchen, Threat Hunting und forensische Analysen eingesetzt. Für diese Anwendungsfälle eignen sich Plattformen, die eine Benutzeroberfläche zur Verfügung stellen und keine eigene Infrastruktur im Haus erfordern.
Das könnte Sie auch interessieren:
Experteninterview: Cyber Threat Intelligence im Praxiseinsatz
Cyber Threat Intelligence für OT und kritische Infrastrukturen
Lösungen:
Datenblatt IKARUS threat.intelligence.platform
Datenblatt IKARUS 24/7 incident.response