Was ist Threat Intelligence? | VMware-Glossar | DE

Was ist Threat Intelligence?

Threat Intelligence sind evidenzbasierte Informationen über Cyberangriffe, die von Experten für Cyber-Security geordnet und analysiert werden. Diese Informationen können die folgenden Angaben enthalten:

  • Mechanismen eines Angriffs
  • Wie werden Angriffe erkannt?
  • Beeinträchtigungen des Unternehmens durch verschiedene Arten von Angriffen
  • Maßnahmenorientierte Empfehlungen zur Verteidigung gegen Angriffe

 

Cyberangriffe treten heutzutage in vielerlei Formen auf, u.a. Zero-Day-Exploits, Malware, Phishing, Man-in-the-Middle-Angriffe und Denial-of-Service-Angriffe.

Software-Defined Networking für Dummies

SDN für Dummies

Erfahren Sie, wie Sie dank SDN eine grundlegend effizientere Infrastruktur mit integrierter Sicherheit aufbauen können. Mit diesem neuen Modell bewältigen Sie die Netzwerkkomplexität im Zeitalter von Cloud und Containern.

Weitere Informationen 

Die verschiedenen Möglichkeiten, Computersysteme und Netzwerke anzugreifen, entwickeln sich ständig weiter, da Cyberkriminelle immer wieder neue Schwachstellen finden, die sie ausnutzen können. Mit Cyber Threat Intelligence (CTI) bleiben Unternehmen über neue Bedrohungen auf dem Laufenden, sodass sie sich schützen können. Experten für Cyber-Security organisieren, analysieren und verfeinern die über Angriffe erfassten Informationen, um daraus zu lernen und sie zum besseren Schutz von Unternehmen zu nutzen.  


Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen.


Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen. Je mehr ein IT-Team über einen Angriff weiß, desto eher kann es eine fundierte Entscheidung über dessen Bekämpfung treffen.


Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen.


Threat Intelligence (oder „Security Intelligence“) hilft auch, laufende Angriffe zu stoppen oder abzuschwächen.

Welche Arten von Threat Intelligence gibt es?

Threat Intelligence kann von allgemeinen, nicht-technischen Informationen bis hin zu technischen Details über bestimmte Angriffe reichen. Nachstehend einige Beispiele für Threat Intelligence:

  • Strategisch: Strategische Threat Intelligence sind allgemeine Informationen, die die Bedrohung in einen Kontext stellen. Es handelt sich dabei um nicht-technische Informationen, die der Unternehmensführung vorgelegt werden können. Ein Beispiel für strategische Threat Intelligence ist die Analyse, welches Risiko eine Business-Entscheidung in Bezug auf die Anfälligkeit für Cyberangriffe darstellt.  
  • Taktisch: Taktische Threat Intelligence enthält Details zur Ausführung und Abwehr von Bedrohungen, einschließlich Angriffsvektoren, Tools und Infrastrukturen, die von Angreifern verwendet werden, Arten von Unternehmen oder Technologien, auf die die Angriffe abzielen, sowie Vermeidungsstrategien. Aus diesen Informationen kann ein Unternehmen auch die Wahrscheinlichkeit eines Angriffs durch verschiedene Bedrohungen ableiten. Experten für Cyber-Security treffen anhand von taktischen Informationen fundierte Entscheidungen über Sicherheitskontrollen und Verteidigung. 
  •  Operativ: Operative Threat Intelligence sind Informationen, die eine IT-Abteilung im Rahmen des aktiven Bedrohungsmanagements nutzen kann, um Maßnahmen gegen einen bestimmten Angriff zu ergreifen. Diese Informationen geben Aufschluss über die Absicht hinter dem Angriff sowie über Art und Zeitpunkt des Angriffs. Im Idealfall werden die Informationen direkt bei den Angreifern erfasst, was ihre Beschaffung erschwert.
  • Technisch: Technische Threat Intelligence liefert konkrete Beweise dafür, dass gerade ein Angriff stattfindet, oder Indicators of Compromise (IoCs). Einige Threat Intelligence-Tools suchen mithilfe künstlicher Intelligenz nach diesen Indikatoren, z.B. E-Mail-Inhalte aus Phishing-Kampagnen, IP-Adressen von C2-Infrastrukturen oder Artefakte bekannter Malware-Muster.

 

Vorteile von Threat Intelligence

Mithilfe von Tools für Threat Intelligence und zur Erkennung von Cyberbedrohungen können Unternehmen die verschiedenen Angriffsrisiken  verstehen und sich bestmöglich dagegen verteidigen. Mit Threat Intelligence lassen sich auch Angriffe abmildern, die bereits stattfinden. Die IT-Abteilung eines Unternehmens kann entweder selbst Threat Intelligence erfassen oder einen Threat Intelligence-Service in Anspruch nehmen, der Informationen sammelt und die besten Sicherheitspraktiken empfiehlt. Unternehmen, die Software-Defined Networking (SDN) einsetzen, können mit Threat Intelligence ihr Netzwerk im Handumdrehen neu konfigurieren, um sich gegen bestimmte Arten von Cyberangriffen zu verteidigen. 

 

 

Warum ist Threat Intelligence wichtig?

Mit Threat Intelligence kann ein Unternehmen Cyberangriffen proaktiv begegnen und ist nicht auf reaktive Maßnahmen beschränkt. Ohne ein Verständnis von Sicherheitslücken und Bedrohungsindikatoren sowie der Ausführungsart von Bedrohungen ist eine wirksame Verteidigung gegen Cyberangriffe unmöglich. Mit Threat Intelligence lassen sich Angriffe schneller verhindern und eindämmen. Das bedeutet unter Umständen erhebliche Einsparungen für Unternehmen. Threat Intelligence kann die Sicherheitskontrollen von Unternehmen auf allen Ebenen verbessern, einschließlich Netzwerksicherheit und Cloud-Sicherheit.

 

 

Allgemeine Indicators of Compromise (IoCs)

Das Sicherheitspersonal findet oft Hinweise auf einen gerade stattfindenden oder früheren Angriff, wenn es an den richtigen Stellen nach ungewöhnlichem Verhalten sucht. Künstliche Intelligenz ist bei diesen Bemühungen eine wertvolle Unterstützung. Einige allgemeine IoCs:

  • Ungewöhnliche Aktivität eines Anwenderkontos mit erhöhten Rechten: Angreifer versuchen häufig, die Kontrolle über ein Konto mit erhöhten Rechten zu erlangen.
  • Ungewöhnliche Anmeldungen: Anmeldungen nach Feierabend, die versuchen, auf nicht autorisierte Dateien zuzugreifen, Anmeldungen in schneller Folge auf dasselbe Konto über verschiedene IP-Adressen auf der ganzen Welt sowie fehlgeschlagene Anmeldungen von nicht vorhandenen Anwenderkonten sind Hinweise auf einen möglichen Angriff.
  • Erhöhte Leseaktivität für Datenbanken: Die erhöhte Leseaktivität für Datenbanken könnte ein Hinweis darauf sein, dass ungewöhnlich große Datenmengen extrahiert werden, z.B. alle Kreditkartennummern in einer Datenbank.
  • Auffällige Domain Name System(DNS)-Anforderungen: Große Spitzen bei DNS-Anforderungen von einem bestimmten Host sowie Muster von DNS-Anforderungen an externe Hosts sind Warnhinweise. Sie könnten bedeuten, dass Befehle und Kontrolldatenverkehr von außerhalb des Unternehmens gesendet werden.
  • Große Anzahl von Anforderungen für ein und dieselbe Datei: Auf der Suche nach einer Schwachstelle führen Cyberkriminelle immer wieder neue Angriffe durch. 500 Anforderungen für dieselbe Datei könnten darauf hindeuten, dass eine Person auf unterschiedliche Weise versucht, eine Schwachstelle zu finden.
  • Unerklärliche Veränderung von Konfigurations- oder Systemdateien: Es ist schwierig, ein Kreditkarten-Harvesting-Tool ausfindig zu machen. Änderungen an Systemdateien, die von dem installierten Tool ausgehen, lassen sich hingegen einfacher feststellen. 

 

 

Welche Threat Intelligence-Tools sind verfügbar?

Neben kostenpflichtigen Threat Intelligence-Tools werden auch zahlreiche kostenlose Open Source-Tools angeboten. Beim Erfassen von Threat Intelligence verfolgen sie unterschiedliche Herangehensweisen:

  • Malware-Disassembler: Diese Tools versuchen durch Reverse-Engineering mehr über die Funktionsweise von Malware zu erfahren. Sie unterstützen Sicherheitsingenieure bei Entscheidungen über die Abwehr ähnlicher Angriffe in der Zukunft.
  • Sicherheitsinformations- und Ereignismanagement(SIEM)-Tools: Mit SIEM-Tools überwachen Sicherheitsteams das Netzwerk in Echtzeit und erfassen Informationen über ungewöhnliches Verhalten und verdächtigen Traffic.
  • Analysetools für Netzwerkverkehr: Analysetools für Netzwerkverkehr erfassen Netzwerkinformationen und zeichnen Netzwerkaktivitäten auf. Diese Informationen erleichtern das Erkennen von Eindringversuchen.
  • Threat Intelligence-Communitys und Ressourcensammlungen: Frei zugängliche Websites, auf denen bekannte Indicators of Compromise und von der Community generierte Daten über Bedrohungen gesammelt werden, sind eine wertvolle Quelle für Informationen über Bedrohungen. Einige dieser Communitys unterstützen kollaborative Forschungen und geben umsetzbare Empfehlungen zum Verhindern oder Bekämpfen von Bedrohungen.

 

Unternehmen, die neue Bedrohungen kennen und wissen, wie sie sie vermeiden, können Maßnahmen ergreifen, um einen Angriff zu verhindern, bevor er stattfindet. Das Erfassen und Prüfen von Threat Intelligence sollte Teil jeder Unternehmenssicherheitsstrategie sein.

Produkte, Lösungen und Ressourcen von VMware für Threat Intelligence

Software zur Netzwerk- und Sicherheitsvirtualisierung für Ihre Clouds

Mit VMware NSX können Sie Ihr Virtual Cloud Network in Ihrer gesamten Rechenzentrums-, Multi-Cloud-, Bare-Metal- und Container-Infrastruktur mit Anwendungen vernetzen und diese schützen.

Sicherheitslösungen für moderne Unternehmen

Integrieren Sie Netzwerk- und Workload-Sicherheit mithilfe von VMware-Lösungen in Ihre Infrastruktur.

Lösungen für Compliance und Cyberrisiken

Die Technologien und Anleitungen von VMware Compliance and Cyber Risk Solutions (CCRS) sind direkt auf die Herausforderungen von Sicherheit und Compliance in stark regulierten Umgebungen abgestimmt.

Integrierte Informationen, Anwendungsanalysen und Automatisierung für den gesamten digitalen Arbeitsplatz

Mithilfe von VMware Workspace ONE Intelligence verbessern Sie die Anwendererfahrung und erhöhen gleichzeitig sowohl Sicherheit als auch Compliance für den gesamten digitalen Arbeitsplatz.

Networking- und Sicherheitslösungen für die Hybrid Cloud

Mit NSX Cloud stellen Sie Networking und Sicherheit einheitlich für Ihre Anwendungen bereit, die nativ in Public Clouds ausgeführt werden.

Softwarezentriertes Networking

Im Software-Defined Networking(SDN)-Modell spielt Software eine zentrale Rolle. Sie wird eingesetzt, um die nächste Generation von Herausforderungen für das Rechenzentrum zu bewältigen.