Was ist Threat Intelligence?

Warum ist Threat Intelligence wichtig?

Angesichts der heutigen Bedrohungslage spielt Threat Intelligence eine entscheidende Rolle beim Schutz von Usern, Daten und Reputation von Organisationen, indem sie ihnen hilft, potenzielle Bedrohungen besser zu verstehen und darauf zu reagieren. Durch das Verständnis für IOCs und TTPs, die mit neu auftretenden Bedrohungen und Schwachstellen verbunden sind, können Organisationen Sicherheitswarnungen in einen Kontext setzen und dadurch schwerwiegende Bedrohungen priorisieren und erfolgreiche Angriffe verhindern.

Threat Intelligence unterstützt Organisationen auch dabei, Risiken eingehend zu quantifizieren, was die Einhaltung, Bewertung und Berichterstattung gemäß DSGVO, HIPAA,SEC-Regelnund anderen Vorschriften vereinfacht. Darüber hinaus ist es ein leistungsstarkes Tool für Strafverfolgungsbehörden und andere Threat Hunter, die daran arbeiten, Angriffe zu neutralisieren oder ihre Täter aufzuspüren und so zu einer sichereren digitalen Umgebung für alle beizutragen.

feed

Was leistet Threat Intelligence?

Mit den richtigen Tools und dem richtigen Fachwissen zum Aggregieren, Analysieren und Korrelieren dieser Daten erhalten Organisationen datenbasierte Erkenntnisse, die ihnen helfen können:

• Bekannte und neue Bedrohungen und Schwachstellen zu identifizieren, die User, Daten oder die Infrastruktur gefährden könnten
• Risiken nach Schweregrad und Relevanz für das Unternehmen zu priorisieren
• Sicherheitsmaßnahmen zu präzisieren, um eine proaktive Abwehr basierend auf Warnsignalen für neu auftretende Bedrohungen zu ermöglichen
• Reaktion auf Vorfälle, Behebung und Wiederherstellung zu beschleunigen, um die Auswirkungen von Sicherheitsverletzungen zu verringern
• Verhaltensmuster und andere IOC-Kontexte zuzuordnen, um Bedrohungsakteure und ihre Motive zu identifizieren
• Einhaltung gesetzlicher Vorschriften zu unterstützen, um Unternehmen vor Geldbußen und rechtlichen Konsequenzen zu schützen

Welche Arten von Bedrohungsinformationen gibt es?

Verschiedene Arten von Bedrohungsinformationen helfen Teams dabei, unterschiedliche Arten von Sicherheitsentscheidungen zu treffen. Generell kann man sie nach Anwendungsfällen kategorisieren:

• Strategische Bedrohungsinformationen liefern einen umfassenden Überblick über die Bedrohungslage und die Motive und Fähigkeiten der Bedrohungsakteure, um bei der langfristigen Entscheidungsfindung in Bezug auf ein Sicherheitsprogramm und die Ausgaben zu helfen.Beispiel: Daten über einen staatlichen Akteur, der Ihre Branche ins Visier genommen hat.
• Taktische Bedrohungsinformationen geben Einblicke in bestimmte Angriffsvektoren, IOCs, TTPs usw., um Incident-Response- und Sicherheitsteams dabei zu untersützen, aktuelle Bedrohungen und laufende Angriffe zu identifizieren und einzudämmen. Beispiel: Datei-Hash einer neuen Malware-Variante, die sich über Phishing verbreitet.
• Operative Bedrohungsinformationen helfen dem Security Operations Center (SOC), alltägliche Risiken – aktive Bedrohungen, Schwachstellen und laufende Angriffe – zu verstehen, um eine Echtzeiterkennung und -reaktion zu unterstützen.Beispiel: IP-Adressen, die an einem DDoS-Angriff auf Ihr Unternehmen beteiligt sind.
• Technische Bedrohungsinformationen stellen detaillierte, granulare Bedrohungsinformationen dar, die Sicherheitsteams dabei helfen, Sicherheitsrichtlinien und andere Gegenmaßnahmen für einen effektiveren Schutz zu verfeinern.Beispiel: CVE- und Patch-Daten für eine bestimmte Software-Schwachstelle.

Alternativ ist auch eine Kategorisierung nach der jeweiligen Herkunft möglich:

• Open-Source-Informationen stammen aus öffentlichen Quellen wie Threat-Feeds, Blogs, Foren und Repositorys. Open-Source-Informationen sind oft sehr schnell verfügbar, aber es ist wichtig zu überprüfen, ob sie aus einer vertrauenswürdigen Quelle stammen.
• Closed-Source-Informationen stammen aus privaten oder vertraulichen Quellen (normalerweise Partner oder Dienstanbieter) und können detaillierter sein als Open Source, sind aber oft ein kostenpflichtiges Produkt.
• Human Intelligence wird aus menschlichen Quellen durch Interviews, Verhöre oder sogar Überwachung und Spionage gesammelt. Daher enthalten sie oft die direktesten Insider-Details, können aber schwer zu bekommen sein.

Was sind häufige Indikatoren für eine Kompromittierung?

Indikatoren für eine Kompromittierung (IOCs) werden aus einer Reihe von Geheimdienstquellen gesammelt und sind Beweisstücke, die bei der Identifizierung und Reaktion auf potenzielle Sicherheitsverletzungen helfen, indem sie Analysten Hinweise auf die Quelle eines Cyberangriffs, sein Verhalten oder seine Auswirkungen geben. Zu den üblichen IOCs zählen:

• IP-Adressen und Domänennamen, die mit bekannten Bedrohungsakteuren in Verbindung stehen
• URLs, die mit Phishing oder der Verbreitung von Malware in Verbindung stehen
• Malware-Signaturen und Datei-Hashes von Schadcode
• E-Mail-Adressen, die mit Phishing in Verbindung stehen
• Registrierungsschlüssel, die zur Speicherung und Persistenz hinzugefügt wurden
• Dateinamen und Verzeichnisse, die mit bösartigen Aktivitäten in Verbindung stehen
• Anomale oder unbefugte Anmelde-/Zugriffsversuche
• Ungewöhnliche Netzwerkverkehrsmuster und -spitzen
• Abweichungen vom typischen User- oder Systemverhalten
• Anzeichen für Datenexfiltration oder ungewöhnliche Datenübertragungen
• Langsame Leistung (z. B. unerwartete CPU-Auslastung und Festplattenaktivität)
• Ungewöhnlich laufende Prozesse oder Dienste

Wer profitiert von Threat Intelligence?

Bedrohungsinformationen kommen praktisch jedem zugute, der ein Interesse am Schutz digitaler Ressourcen, vertraulicher Daten oder der Betriebskontinuität hat, da sie wertvolle Kontextinformationen liefern, um Sicherheitsmaßnahmen in folgenden Bereichen zu stärken:

• Organisationen jeder Größe und Branche: Bedrohungsinformationen liefern Sicherheitsteams umsetzbare Erkenntnisse zur Stärkung der Abwehrmaßnahmen. Führungskräfte, Vorstandsmitglieder und andere Entscheidungsträger können sie als Grundlage für Entscheidungen über Sicherheitsinvestitionen, Risikomanagement und Compliance verwenden.
• Behörden und Strafverfolgungsbehörden: Bedrohungsinformationen sind von entscheidender Bedeutung, um Organisationen des öffentlichen Sektors dabei zu helfen, effizienter auf Bedrohungen kritischer Infrastrukturen, der öffentlichen und der nationalen Sicherheit zu reagieren und diese abzuwehren.
• Cybersicherheitsbranche und -community: Cybersicherheitsanbieter und -fachkräfte – Forscher, Analysten, ethische Hacker usw. – können Bedrohungsinformationen nutzen, um effektivere Sicherheitslösungen zu erstellen, Trends zu untersuchen, Gegenmaßnahmen zu präzisieren usw., wodurch eine Feedbackschleife entsteht, die das gesamte digitale Ökosystem stärkt.

Was ist der Cyberthreat-Intelligence-Lebenszyklus?

Der Lebenszyklus der Bedrohungsaufklärung ist der Inbegriff der bereits erwähnten Feedbackschleife: eine Reihe von Phasen, die Organisationen durchlaufen müssen, um Bedrohungsaufklärung in Zukunft noch effektiver zu nutzen. Die sechs Phasen sind:

1. Richtung: Die Stakeholder definieren die Ziele, Prioritäten, Ressourcenzuweisungen und den Gesamtumfang ihres Bedrohungsaufklärungsprogramms.
2. Datenerfassung: Die Organisation erfasst Daten aus kostenpflichtigen oder Open-Source-Informations-Feeds, internen Protokollen, von menschlichen Analysten, Partnern usw.
3. Verarbeitung: Analysten und automatisierte Tools bereinigen und normalisieren die gesammelten Daten, überprüfen Quellen und bestätigen ihre Zuverlässigkeit, um sie für die Analyse aufzubereiten.
4. Analyse: Analysten und Tools identifizieren Muster, Anomalien und potenzielle Bedrohungen in den Daten und korrelieren die Daten dann, um umsetzbare Erkenntnisse zu gewinnen, die dabei helfen, kritische Risiken zu priorisieren und zu mindern.
5. Verbreitung: Sicherheitsteams berichten den Stakeholdern, um Erkenntnisse, Warnungen und Empfehlungen mitzuteilen. Die Teams integrieren die Bedrohungsaufklärung in ihre Tools und Prozesse, um die Erkennung, Prävention und Reaktion auf Bedrohungen in Echtzeit zu verbessern.
6. Feedback: Organisationen müssen ihr Programm zur Bedrohungsaufklärung kontinuierlich bewerten und verfeinern, indem sie Feedback von Incident-Response-Teams verwenden. Regelmäßige Überprüfungen tragen dazu bei, Ziele und Prioritäten an Veränderungen in der Bedrohungslandschaft und der Organisation selbst anzupassen.

Welche Threat-Intelligence-Tools gibt es?

Auf dem Markt gibt es viele Tools, die Organisationen dabei unterstützen, Bedrohungsinformationen zu erfassen, zu korrelieren, zu analysieren und entsprechende Maßnahmen umzusetzen.

Erfassung und Aggregation

• Threat-Feed-Aggregatoren sammeln und konsolidieren Daten aus offenen

und/oder Closed-Source-Feeds

Deception-Technologien(z. B. Honeypots) ködern Angreifer und erfassen Daten zu deren Verhalten

Threat-Intelligence-Plattformen (TIPs)erfassen, ordnen und verbreiten Bedrohungsinformationen aus mehreren Quellen, um verwertbare Erkenntnisse zu generieren

Korrelation

• Threat-Intelligence-Feedsbieten vorkorrelierte Informationen zur schnellen Nutzung
• SIEM-Systeme (Security Information and Event Management) korrelieren Bedrohungsinformationen mit Netzwerkereignissen
• XDR-Plattformen (Extended Detection and Response) korrelieren Daten aus unterschiedlichen Quellen (z. B. Netzwerktelemetrie, Endpunktereignisse, IAM, E-Mail, Produktivitätssuiten)
• SOAR-Plattformen (Security Orchestration, Automation and Response) automatisieren Reaktionsmaßnahmen auf der Grundlage korrelierter Informationen

Analyse

• Bedrohungsanalyse-Tools, unterstützt durch KI und ML, analysieren Daten, um Muster und Trends zu erkennen
• Threat-Intelligence-Sharing-Plattformenerleichtern die kollaborative Analyse zwischen Organisationen
• Sandboxesanalysieren und führen verdächtige Dateien und URLs in isolierten Umgebungen aus

Ausführung

• IDS/IPS (Intrusion Detection/Prevention Systems)

blockieren oder warnen Sie vor bösartigen Aktivitäten auf der Grundlage von Bedrohungsdaten.

Richtlinienverwaltungstools aktualisieren Richtlinien in Firewalls, Proxys und mehr auf der Grundlage bekannter bösartiger IP-Adressen, Domänen, Signaturen usw.

EDR-Lösungen (Endpoint Detection and Response) stellen kompromittierte Endgeräte unter Quarantäne oder beheben die Kompromittierung.

Bedrohungssuchtools unterstützen die proaktive Bedrohungssuche auf der Grundlage der erfassten Informationen.

Wie verbessert maschinelles Lernen die Bedrohungsaufklärung?

Im Wesentlichen verbessert maschinelles Lernen (ML) die Bedrohungsaufklärung durch eine Geschwindigkeit, einen Umfang und eine jederzeitige Verfügbarkeit, die menschliche Bediener nicht erreichen können. Die heutigen ML-Modelle werden anhand riesiger Datensätze trainiert, was sie zu außergewöhnlichen Werkzeugen für die Erkennung von Mustern, Verhaltensanomalien, Korrelationen und anderen Komplexitäten mit einer sehr geringen Rate an Fehlalarmen macht.

Da ML-Tools die mühselige Arbeit der Bedrohungsaufklärung problemlos übernehmen, haben menschliche Analysten mehr Kapazitäten für Projekte, die kreatives Denken und Verständnis für menschliches Verhalten, Kontext und Motivation erfordern.

Anwendungsfälle für Threat Intelligence

Threat Intelligence zählt zu den leistungsstärksten und vielseitigsten Tools im Werkzeugkasten eines Sicherheitsteams und kann zu besserem Schutz, besserer Reaktion und einem besseren allgemeinen Sicherheitsstatus beitragen.

Bedrohungserkennung, -prävention und -reaktion

Threat Intel hilft Sicherheitsteams dabei, Bedrohungen proaktiv zu erkennen und einzudämmen. Anhand von IOCs werden böswillige Aktivitäten erkannt, Richtlinien präzisiert und Abwehrmaßnahmen gestärkt. Außerdem wird die Reaktion auf Vorfälle verbessert, indem zeitnahe und genaue Daten bereitgestellt werden, um Anzeichen von Kompromittierung, lateraler Bewegung und versteckten Bedrohungen zu erkennen.

Schwachstellenmanagement und Risikobewertung

Threat Intel kann Unternehmen dabei helfen, das Patchen von Schwachstellen risikobasiert zu priorisieren und Einblick in ihre allgemeine Cyber-Risikolage zu gewinnen, um die potenziellen Auswirkungen neuartiger Bedrohungen abzuschätzen. Auch bei der Bewertung und Überwachung des Sicherheitsstatus von Drittanbietern und Lieferanten sind diese Informationen von unschätzbarem Wert, um Sicherheitsrisiken in der Lieferkettezu verstehen und zu mindern.

Austausch von Threat Intelligence und Entscheidungsfindung

Die Zusammenarbeit zwischen Unternehmen und Behörden ist der Schlüssel, um Cyberbedrohungen immer einen Schritt voraus zu sein. Der Austausch von Informationen über neuartige Bedrohungen, Taktiken und Schwachstellen stärkt unsere kollektive Abwehr und unterstützt alle Beteiligten in dem Bemühen, sowohl im Hinblick auf die Sicherheit als auch im Hinblick auf die Ziele ihrer Organisationen die richtigen strategischen Entscheidungen zu treffen.

 

Zscalers Rolle bei Threat Intelligence

Die Sicherheitsbeauftragten und Threat-Intelligence-Experten von Zscaler ThreatLabz analysieren 500 Billionen Datenpunkte aus der weltweit größten Sicherheits-Cloud und blockieren 9 Milliarden Bedrohungen pro Tag. Das Team verfolgt die TTPs von staatlichen Bedrohungsakteuren und Cyberkriminellen, um neuartige Angriffe und Trends zu erkennen.

Die Forscher von ThreatLabz haben Dutzende von Zero-Day-Schwachstellen in gängigen Anwendungen entdeckt und mit den Anbietern zusammengearbeitet, um die zugrunde liegenden Probleme zu beheben. ThreatLabz hat außerdem eine proprietäre Automatisierungsplattform zur Erkennung von Malware entwickelt, die in die Zscaler Cloud integriert ist und einschlägige Indikatoren identifizieren und extrahieren kann, damit Kunden auch bei hohen Datenvolumen jederzeit zuverlässig geschützt sind.