Was ist Threat Intelligence?

Die verschiedenen Möglichkeiten, Computersysteme und Netzwerke anzugreifen, entwickeln sich ständig weiter, da Cyberkriminelle immer wieder neue Schwachstellen finden, die sie ausnutzen können. Mit Cyber Threat Intelligence (CTI) bleiben Unternehmen über neue Bedrohungen auf dem Laufenden, sodass sie sich schützen können. Experten für Cyber-Security organisieren, analysieren und verfeinern die über Angriffe erfassten Informationen, um daraus zu lernen und sie zum besseren Schutz von Unternehmen zu nutzen.  

Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen.

Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen. Je mehr ein IT-Team über einen Angriff weiß, desto eher kann es eine fundierte Entscheidung über dessen Bekämpfung treffen.

Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen.

Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen.

Welche Arten von Threat Intelligence gibt es?

Threat Intelligence kann von allgemeinen, nicht-technischen Informationen bis hin zu technischen Details über bestimmte Angriffe reichen. Nachstehend einige Beispiele für Threat Intelligence:

• Strategisch: Strategische Threat Intelligence sind allgemeine Informationen, die die Bedrohung in einen Kontext stellen. Es handelt sich dabei um nicht-technische Informationen, die der Unternehmensführung vorgelegt werden können. Ein Beispiel für strategische Threat Intelligence ist die Analyse, welches Risiko eine Business-Entscheidung in Bezug auf die Anfälligkeit für Cyberangriffe darstellt.  
• Taktisch: Taktische Threat Intelligence enthält Details zur Ausführung und Abwehr von Bedrohungen, einschließlich Angriffsvektoren, Tools und Infrastrukturen, die von Angreifern verwendet werden, Arten von Unternehmen oder Technologien, auf die die Angriffe abzielen, sowie Vermeidungsstrategien. Aus diesen Informationen kann ein Unternehmen auch die Wahrscheinlichkeit eines Angriffs durch verschiedene Bedrohungen ableiten. Experten für Cyber-Security treffen anhand von taktischen Informationen fundierte Entscheidungen über Sicherheitskontrollen und Verteidigung. 
•  Operativ: Operative Threat Intelligence sind Informationen, die eine IT-Abteilung im Rahmen des aktiven Bedrohungsmanagements nutzen kann, um Maßnahmen gegen einen bestimmten Angriff zu ergreifen. Diese Informationen geben Aufschluss über die Absicht hinter dem Angriff sowie über Art und Zeitpunkt des Angriffs. Im Idealfall werden die Informationen direkt bei den Angreifern erfasst, was ihre Beschaffung erschwert.
• Technisch: Technische Threat Intelligence liefert konkrete Beweise dafür, dass gerade ein Angriff stattfindet, oder Indicators of Compromise (IoCs). Einige Threat Intelligence-Tools suchen mithilfe künstlicher Intelligenz nach diesen Indikatoren, z.B. E-Mail-Inhalte aus Phishing-Kampagnen, IP-Adressen von C2-Infrastrukturen oder Artefakte bekannter Malware-Muster.

Vorteile von Threat Intelligence

Mithilfe von Tools für Threat Intelligence und zur Erkennung von Cyberbedrohungen können Unternehmen die verschiedenen Angriffsrisiken  verstehen und sich bestmöglich dagegen verteidigen. Mit Threat Intelligence lassen sich auch Angriffe abmildern, die bereits stattfinden. Die IT-Abteilung eines Unternehmens kann entweder selbst Threat Intelligence erfassen oder einen Threat Intelligence-Service in Anspruch nehmen, der Informationen sammelt und die besten Sicherheitspraktiken empfiehlt. Unternehmen, die Software-Defined Networking (SDN) einsetzen, können mit Threat Intelligence ihr Netzwerk im Handumdrehen neu konfigurieren, um sich gegen bestimmte Arten von Cyberangriffen zu verteidigen. 

Warum ist Threat Intelligence wichtig?

Mit Threat Intelligence kann ein Unternehmen Cyberangriffen proaktiv begegnen und ist nicht auf reaktive Maßnahmen beschränkt. Ohne ein Verständnis von Sicherheitslücken und Bedrohungsindikatoren sowie der Ausführungsart von Bedrohungen ist eine wirksame Verteidigung gegen Cyberangriffe unmöglich. Mit Threat Intelligence lassen sich Angriffe schneller verhindern und eindämmen. Das bedeutet unter Umständen erhebliche Einsparungen für Unternehmen. Threat Intelligence kann die Sicherheitskontrollen von Unternehmen auf allen Ebenen verbessern, einschließlich Netzwerksicherheit und Cloud-Sicherheit.

Allgemeine Indicators of Compromise (IoCs)

Das Sicherheitspersonal findet oft Hinweise auf einen gerade stattfindenden oder früheren Angriff, wenn es an den richtigen Stellen nach ungewöhnlichem Verhalten sucht. Künstliche Intelligenz ist bei diesen Bemühungen eine wertvolle Unterstützung. Einige allgemeine IoCs:

• Ungewöhnliche Aktivität eines Anwenderkontos mit erhöhten Rechten: Angreifer versuchen häufig, die Kontrolle über ein Konto mit erhöhten Rechten zu erlangen.
• Ungewöhnliche Anmeldungen: Anmeldungen nach Feierabend, die versuchen, auf nicht autorisierte Dateien zuzugreifen, Anmeldungen in schneller Folge auf dasselbe Konto über verschiedene IP-Adressen auf der ganzen Welt sowie fehlgeschlagene Anmeldungen von nicht vorhandenen Anwenderkonten sind Hinweise auf einen möglichen Angriff.
• Erhöhte Leseaktivität für Datenbanken: Die erhöhte Leseaktivität für Datenbanken könnte ein Hinweis darauf sein, dass ungewöhnlich große Datenmengen extrahiert werden, z.B. alle Kreditkartennummern in einer Datenbank.
• Auffällige Domain Name System(DNS)-Anforderungen: Große Spitzen bei DNS-Anforderungen von einem bestimmten Host sowie Muster von DNS-Anforderungen an externe Hosts sind Warnhinweise. Sie könnten bedeuten, dass Befehle und Kontrolldatenverkehr von außerhalb des Unternehmens gesendet werden.
• Große Anzahl von Anforderungen für ein und dieselbe Datei: Auf der Suche nach einer Schwachstelle führen Cyberkriminelle immer wieder neue Angriffe durch. 500 Anforderungen für dieselbe Datei könnten darauf hindeuten, dass eine Person auf unterschiedliche Weise versucht, eine Schwachstelle zu finden.
• Unerklärliche Veränderung von Konfigurations- oder Systemdateien: Es ist schwierig, ein Kreditkarten-Harvesting-Tool ausfindig zu machen. Änderungen an Systemdateien, die von dem installierten Tool ausgehen, lassen sich hingegen einfacher feststellen. 

Welche Threat Intelligence-Tools sind verfügbar?

Neben kostenpflichtigen Threat Intelligence-Tools werden auch zahlreiche kostenlose Open Source-Tools angeboten. Beim Erfassen von Threat Intelligence verfolgen sie unterschiedliche Herangehensweisen:

• Malware-Disassembler: Diese Tools versuchen durch Reverse-Engineering mehr über die Funktionsweise von Malware zu erfahren. Sie unterstützen Sicherheitsingenieure bei Entscheidungen über die Abwehr ähnlicher Angriffe in der Zukunft.
• Sicherheitsinformations- und Ereignismanagement(SIEM)-Tools: Mit SIEM-Tools überwachen Sicherheitsteams das Netzwerk in Echtzeit und erfassen Informationen über ungewöhnliches Verhalten und verdächtigen Traffic.
• Analysetools für Netzwerkverkehr: Analysetools für Netzwerkverkehr erfassen Netzwerkinformationen und zeichnen Netzwerkaktivitäten auf. Diese Informationen erleichtern das Erkennen von Eindringversuchen.
• Threat Intelligence-Communitys und Ressourcensammlungen: Frei zugängliche Websites, auf denen bekannte Indicators of Compromise und von der Community generierte Daten über Bedrohungen gesammelt werden, sind eine wertvolle Quelle für Informationen über Bedrohungen. Einige dieser Communitys unterstützen kollaborative Forschungen und geben umsetzbare Empfehlungen zum Verhindern oder Bekämpfen von Bedrohungen.

Unternehmen, die neue Bedrohungen kennen und wissen, wie sie sie vermeiden, können Maßnahmen ergreifen, um einen Angriff zu verhindern, bevor er stattfindet. Das Erfassen und Prüfen von Threat Intelligence sollte Teil jeder Unternehmenssicherheitsstrategie sein.