08.02.2022

Was sind Threat Intelligence Services?

Threat_Intel.jpg

Und was sind konkrete Anwendungsfälle von Threat Intelligence?

Threat Intelligence ist das Wissen, das es Ihnen ermöglicht, Angriffe zu verhindern oder zu entschärfen. Auf der Grundlage von Daten liefert Threat Intelligece Kontextinformationen, z. B. darüber, wer Sie angreift, welche Motivation und Fähigkeiten er hat und auf welche Indikatoren für eine Gefährdung Ihrer Systeme Sie achten sollten.

Warum ist Threat Intelligence wichtig?

Die Cybersicherheitsbranche sieht sich heute mit zahlreichen Herausforderungen konfrontiert: immer hartnäckigere und hinterhältigere Bedrohungsakteure, eine tägliche Datenflut voller irrelevanter Informationen und Fehlalarme über mehrere, nicht miteinander verbundene Sicherheitssysteme hinweg sowie ein gravierender Mangel an qualifizierten Fachkräften.

Eine Cyber Threat Intelligence-Lösung, oder ein Threat Intelligence Service kann jedes dieser Probleme angehen. Die besten Lösungen nutzen maschinelles Lernen, um die Datenerfassung und -verarbeitung zu automatisieren, lassen sich in Ihre vorhandenen Lösungen integrieren, nehmen unstrukturierte Daten aus unterschiedlichen Quellen auf und stellen dann den Zusammenhang zwischen den Indikatoren für eine Gefährdung (Indicators of Compromise, IoCs) und den Taktiken, Techniken und Verfahren (TTPs) der Bedrohungsakteure her.

Die Arten von Bedrohungsdaten

Bedrohungsdaten werden häufig in drei Unterkategorien eingeteilt:

  • Strategisch - umfassendere Trends, die sich in der Regel an ein nichttechnisches Publikum richten
  • Taktisch - Umrisse der Taktiken, Techniken und Verfahren von Bedrohungsakteuren für ein eher technisches Publikum
  • Operativ - Technische Details über spezifische Angriffe und Kampagnen

Strategische Bedrohungsanalyse

Strategische Bedrohungsdaten bieten einen umfassenden Überblick über die Bedrohungslandschaft eines Unternehmens. Sie sollen Führungskräfte und andere Entscheidungsträger in einem Unternehmen bei ihren Entscheidungen unterstützen. Daher ist der Inhalt in der Regel weniger technisch und wird in Form von Berichten oder Briefings präsentiert. Gute strategische Informationen sollten Einblicke in Bereiche wie die mit bestimmten Vorgehensweisen verbundenen Risiken, allgemeine Muster in den Taktiken und Zielen von Bedrohungsakteuren sowie geopolitische Ereignisse und Trends bieten.

Taktische Bedrohungsanalyse

Taktische Bedrohungsdaten beschreiben die Taktiken, Techniken und Verfahren (TTPs) von Bedrohungsakteuren. Sie sollen den Verteidigern helfen, konkret zu verstehen, wie ihre Organisation angegriffen werden könnte und wie sie sich am besten gegen diese Angriffe verteidigen oder sie abschwächen können. Sie enthalten in der Regel auch den technischen Kontext und werden von Mitarbeitern verwendet, die direkt an der Verteidigung einer Organisation beteiligt sind, z. B. Systemarchitekten, Administratoren und Sicherheitsmitarbeiter.

Operative Aufklärung von Bedrohungen

Operational Intelligence ist das Wissen über Cyberangriffe, Ereignisse oder Kampagnen. Sie liefern spezielle Erkenntnisse, die den Reaktionsteams helfen, die Art, die Absicht und den Zeitpunkt bestimmter Angriffe zu verstehen.

Da es sich dabei in der Regel um technische Informationen handelt - Informationen darüber, welcher Angriffsvektor verwendet wird, welche Schwachstellen ausgenutzt werden oder welche Befehls- und Kontrolldomänen zum Einsatz kommen - werden diese Art von Informationen auch als technische Bedrohungsdaten bezeichnet. Eine gängige Quelle für technische Informationen sind Bedrohungsdaten-Feeds, die sich in der Regel auf einen einzigen Indikatortyp konzentrieren, wie Malware-Hashes oder verdächtige Domänen.

Anwendungsfälle von Threat Intelligence Services

Die vielfältigen Einsatzmöglichkeiten von Threat Intelligence Services machen sie zu einer unverzichtbaren Ressource für funktionsübergreifende Teams in jedem Unternehmen. Obwohl sie vielleicht am unmittelbarsten wertvoll sind, wenn sie Ihnen helfen, einen Angriff zu verhindern, sind die auf diese Weise gesammelten Bedrohungsdaten auch ein nützlicher Bestandteil der Triage, der Risikoanalyse, des Schwachstellenmanagements und der weitreichenden Entscheidungsfindung.

Schwachstellenmanagement (Vulnerability Management)
 

Ein effektives Schwachstellenmanagement bedeutet, dass man von einem "alles und ständig patchen"-Ansatz, den realistischerweise niemand jemals erreichen kann, zu einer Priorisierung der Schwachstellen auf der Grundlage des tatsächlichen Risikos übergeht.

 

Obwohl die Zahl der Schwachstellen und Bedrohungen von Jahr zu Jahr gestiegen ist, zeigen Untersuchungen, dass die meisten Bedrohungen auf den gleichen, kleinen Teil der Schwachstellen abzielen. Die Bedrohungsakteure sind auch schneller - zwischen der Bekanntgabe einer neuen Schwachstelle und dem Auftauchen eines Exploits für diese Schwachstelle vergehen im Durchschnitt nur noch fünfzehn Tage.

Dies hat zwei Auswirkungen:

  • Sie haben zwei Wochen Zeit, um Ihre Systeme gegen eine neue Schwachstelle zu patchen oder zu bereinigen. Wenn Sie in diesem Zeitraum keine Patches erstellen können, sollten Sie einen Plan zur Schadensbegrenzung ausarbeiten.
  • Wenn eine neue Schwachstelle nicht innerhalb von zwei Wochen bis drei Monaten ausgenutzt wird, ist es unwahrscheinlich, dass sie jemals ausgenutzt wird - das Patchen der Schwachstelle kann dann nachrangig sein.

Risikoanalyse

Risikomodellierung kann für Unternehmen eine nützliche Methode sein, um Investitionsprioritäten festzulegen. Viele Risikomodelle leiden jedoch unter vagen, nicht quantifizierten Ergebnissen, die übereilt zusammengestellt wurden, auf unvollständigen Informationen beruhen, auf unbegründeten Annahmen basieren oder nur schwer in die Tat umgesetzt werden können.

McAfee MVision Insights bietet einen Kontext, der Risikomodellen hilft, definierte Risikomessungen vorzunehmen und ihre Annahmen, Variablen und Ergebnisse transparenter zu machen. Sie können dabei helfen, Fragen wie die folgenden zu beantworten:

  • Welche Bedrohungsakteure nutzen diesen Angriff, und zielen sie auf unsere Branche ab?
  • Wie oft wurde dieser spezifische Angriff in letzter Zeit von Unternehmen wie dem unseren beobachtet?
  • Ist der Trend steigend oder fallend?
  • Welche Schwachstellen werden bei diesem Angriff ausgenutzt, und sind diese Schwachstellen auch in unserem Unternehmen vorhanden?
  • Welche Art von technischem und finanziellem Schaden hat dieser Angriff in Unternehmen wie dem unseren verursacht?

Sicherheit als Führungsaufgabe

CISOs und andere Sicherheitsverantwortliche müssen bei der Risikoverwaltung einen Ausgleich zwischen den begrenzten verfügbaren Ressourcen und der Notwendigkeit schaffen, ihre Organisationen vor den sich ständig weiterentwickelnden Bedrohungen zu schützen. Threat Intelligence Services können dabei helfen, die Bedrohungslandschaft zu kartieren, das Risiko zu berechnen und dem Sicherheitspersonal die Informationen und den Kontext zu liefern, um bessere und schnellere Entscheidungen zu treffen.

Fazit

Threat Intelligence ist ein essentieller Bestandteil jeder Cyber Security Strategie. Denn nur wer seine Gegner, Schwachstellen und Risiken kennt, kann daran arbeiten, sich optimal auf diese einzustellen, respektive diese zu minimieren.

 

Threat Intelligence Services sind ein Bestandteil von unseren Advanced Security-Services, welche wir Ihnen aus unserem SOC erbringen.

 

Quellen:

https://www.recordedfuture.com/threat-intelligence/

https://en.wikipedia.org/wiki/Cyber_threat_intelligence