Threat Intelligence

Aus IT-Forensik Wiki

Der Hauptzweck von Threat Intelligence oder auch Bedrohungsaufklärung ist es Unternehmen und Organisationen dabei zu unterstützen, die Risiken der häufigsten und schwerwiegendsten Bedrohungen von außen zu verstehen und einordnen zu können. Dazu zählen beispielsweise Zero-Day-Bedrohungen, Advanced Persistent Threats (APTs) und Exploits. Obwohl zu den Bedrohungsakteuren auch Insider gehören können, liegt der Schwerpunkt auf den Arten, die am ehesten auf das Umfeld einer bestimmten Organisation auswirken können.

Service

Threat Intelligence wird häufig als Dienst angeboten, der Unternehmen mit aktuellen Informationen über potenzielle Angriffsquellen und -arten versorgt, die genau für dieses Unternehmen relevant sind. Darüber hinaus offerieren einige der Threat-Intelligence-Anbieter auch Beratungsdienstleistungen.

Ein Threat Intelligence Service ist in der Lage, Daten aus unterschiedlichen Quellen zu sammeln, zu filtern, zu analysieren und sie in einer nutzbaren Form bereitzustellen. Mögliche Formate können Data-Feeds oder Berichte für das Management und IT-Verantwortliche sein. Einige Systeme sind darüber hinaus in der Lage, technische Kontrollinstanzen der IT-Sicherheit mit Daten für automatisch generierte Aktionen zu versorgen.

Quellen

Quellen für Threat Intelligence sind die Rohdaten für die Bedrohungsaufklärung. Sie werden von einer Lösung sortiert, analysiert und in einem zweiten Schritt zu Intelligence-Feeds zusammengefasst. Für die meisten Unternehmen ist der beste Ansatz die Verwendung einer Kombination aus internen Quellen in Verbindung mit kommerziellen oder öffentlichen Feeds. Zu den typischen internen Feeds gehören Bedrohungsanalysen von einem Security Operations Center (SOC), Fachgemeinschaften, Sicherheitsmeldungen oder Blogs und Dark Web Research. Auf der anderen Seite stammen kommerzielle und öffentliche Feeds hauptsächlich aus der Kundentelemetrie, dem Dark Web, Open-Source-Datenbanken, der Malware-Verarbeitung sowie der manuellen Sicherheitsforschung und Ereignisanalyse.

Threat-Intelligence-Feed

Ein Threat-Intelligence-Feed fasst Daten aus einer oder mehreren Quellen zusammen. Die Mehrheit der Feeds konzentriert sich tendenziell auf einen Schwerpunktbereich, wie z.B. Botnet-Aktivität, Domänen oder bösartige IP-Adressen. Der Echtzeitcharakter von Threat-Intelligence-Feeds bedeutet, dass die Informationen, sobald eine neue Bedrohung oder bösartige Entität entdeckt wird, in das Feed-Format verpackt und an die Abonnenten gestreamt werden. Schnelligkeit ist hierbei von entscheidender Bedeutung, da das Hauptziel eines Benutzers natürlich darin besteht, sich gegen drohende Angriffe zu verteidigen, bevor sie passieren.

Sicherheitsexperten können diese Feeds auf vielfältige Weise nutzen. Einige Sicherheitstools, wie beispielsweise Firewalls, akzeptieren Feeds direkt, sodass jede neue Entdeckung sofort berücksichtigt werden kann. Alternativ können die Feed-Daten in einer Security Information Event Management (SIEM) oder User Entity Behavioral Analytics (UEBA) Lösung gespeichert werden, die Bedrohungsdaten mit internen Sicherheitsereignissen korrelieren und Warnmeldungen erzeugen kann, wenn relevante Bedrohungen gefunden werden. Analysten können Informationen auch manuell überprüfen, und obwohl dies nützlich sein kann, ist es oft extrem zeitaufwändig.

Herausforderungen

Obwohl die Bedrohungsaufklärung bei der Abwehr von Cyberangriffen immer wichtiger wird, ist sie nicht ohne Probleme. Zu den wichtigsten Herausforderungen gehört vor allem die Überschwemmung mit Informationen. Viele Sicherheitsanalysten versinken bereits jetzt in Daten, lange bevor Bedrohungsinformationen in den Mix aufgenommen werden. Ohne effektive Planung und Priorisierung kann die große Menge an zusätzlichen Daten sehr schnell dazu führen, dass Analysten überfordert werden. Darüber hinaus fehlt meist der benötigte Kontext. Während Bedrohungsinformationen oft wichtige Indikatoren für die Sicherheit liefern, können sie ohne den entsprechenden Kontext bedeutungslos sein. Und zu guter Letzt benötigt Threat Intelligence noch spezielle Prozesse und Fähigkeiten des Security-Teams. Die Feeds sind natürlich nicht von selbst nützlich, sie erfordern eine sorgfältige Analyse durch geschulte Fachleute, um effektiv genutzt zu werden. Der derzeitige globale Mangel an Sicherheitsexperten ist bekannt. Das bedeutet, dass viele Unternehmen Schwierigkeiten haben, ohne die benötigten Mitarbeiter das Beste aus der Bedrohungsanalyse herauszuholen. Um dieses Problem auszugleichen, bieten manche Plattformen Automatisierung und Analysefähigkeiten.

Quellen

https://www.it-daily.net/it-sicherheit/cloud-security/21441-threat-intelligence-die-grundlage-fuer-cybersicherheit https://www.fireeye.de/mandiant/threat-intelligence/what-is-cyber-threat-intelligence.html https://www.digitalshadows.com/de/cyber-threat-intelligence/ https://www.security-insider.de/was-ist-ein-threat-intelligence-service-a-629188/