Threat Intelligence, auch Cyber Threat Intelligence (CTI) genannt, sind kuratierte Daten \u00fcber bestehende oder aufkommende Cybersicherheitsbedrohungen wie Ransomware. Auf der Grundlage der Zusammenstellung und Analyse sicherheits- und bedrohungsbezogener Daten aus verschiedenen Quellen liefert Cyber Threat Intelligence Informationen \u00fcber tats\u00e4chliche oder m\u00f6gliche Bedrohungen f\u00fcr digitale Infrastrukturen und Anwendungen. Mit Nachweisen und der F\u00e4higkeit, zus\u00e4tzliche Data Insights zu nutzen, k\u00f6nnen Cybersicherheitsteams die Threat Intelligence Informationen effektiv nutzen, um sich auf potenzielle Bedrohungen vorzubereiten und diese sogar zu verhindern. Sie k\u00f6nnen aktive Bedrohungen schnell erkennen und darauf reagieren, und zwar auf proaktive statt auf reaktive Weise.<\/p>\n
Threat Intelligence ist eine wichtige S\u00e4ule in modernen Cybersicherheitsstrategien, die darauf abzielen, die Cyber-Resilienz<\/a> von Unternehmen zu verbessern. Mehr als die H\u00e4lfte (51\u00a0%) der Teilnehmenden an der SANS CTI Umfrage\u00a02023<\/a> gaben an, dass ihre Unternehmen \u00fcber ein formelles, dediziertes Threat Intelligence Team verf\u00fcgen.<\/p>\n Threat Intelligence ist wichtig, weil Unternehmen mit einer ganzen Reihe von Herausforderungen im Zusammenhang mit dem Datenschutz konfrontiert sind:<\/p>\n Da einzelne Kriminelle, Gruppen von Cyberkriminellen und Nationalstaaten M\u00f6glichkeiten sehen, sowohl Geld zu verlangen als auch politischen Schaden anzurichten, m\u00fcssen Unternehmen ihr Data Security Posture Management (DSPM<\/a>) und ihre Threat Intelligence F\u00e4higkeiten kontinuierlich ausbauen. Nur so k\u00f6nnen sie ihre Einnahmen, den Ruf ihrer Marke und ihre betrieblichen Kapazit\u00e4ten sch\u00fctzen.<\/p>\n Threat Intelligence erm\u00f6glicht es Unternehmen, sich besser gegen Kriminelle zu wappnen, indem sie ein Verst\u00e4ndnis f\u00fcr Bedrohungstrends und das Verhalten, die Methoden, Absichten und F\u00e4higkeiten von Kriminellen erlangen. Durch das Erkennen potenzieller, zuk\u00fcnftiger und akuter Bedrohungen nahezu oder tats\u00e4chlich in Echtzeit k\u00f6nnen F\u00fchrungskr\u00e4fte Entscheidungen und Ma\u00dfnahmen zum Schutz sensibler Daten und geistigen Eigentums (Intellectual Property, IP) beschleunigen.<\/p>\n Threat Intelligence l\u00e4sst sich entlang eines Spektrums in drei Hauptkategorien einteilen: taktisch, operativ und strategisch.<\/p>\n Taktisch<\/strong>\u00a0\u2013 Auf grundlegender Ebene hilft die taktische Threat Intelligence Unternehmen, sich darauf zu konzentrieren, wie Bedrohungen ausgef\u00fchrt und abgewehrt werden. Oftmals werden nur einfache Indicators of Compromise (IOCs) identifiziert, z.\u00a0B. falsche IP-Adressen, bekannte sch\u00e4dliche Domainnamen und E-Mail-Betreffzeilen im Zusammenhang mit Phishing-Angriffen. Diese Art von Informationen ist online auffindbar (sogar in kostenlosen Datenfeeds), ist aber nur f\u00fcr kurze Zeit nutzbar, da diese IOCs oft innerhalb von Stunden oder Tagen verschwinden. Taktische Threat Intelligence richtet sich in der Regel an drei Sicherheitsteams: Incident Response, Security Operations Center<\/a> (SOC) und Threat Hunting. Incident\u00a0Response Teams verwenden Cyber Threat Intelligence, um falsch-positive von echten Angriffen zu unterscheiden, w\u00e4hrend SOC-Fachleute sie nutzen, um aktive und akute Bedrohungen zu erkennen und darauf zu reagieren. Threat Hunting-Teams st\u00fctzen sich auf Threat Intelligence, um Advanced Persistent Threats (APTs) und andere maskierte Angriffsformen zu identifizieren.<\/p>\n Operativ<\/strong>\u00a0\u2013 Auf der n\u00e4chsth\u00f6heren Ebene, der operativen Threat Intelligence, k\u00f6nnen Teams die technischen Aspekte von Angriffen und Kriminellen untersuchen, z.\u00a0B. Absichten, bevorzugte Angriffsvektoren und Schwachstellen, die ausgenutzt werden. Sie kann sogar Aufschluss \u00fcber die Art und den Zeitpunkt eines geplanten Angriffs geben. Anhand der Bereitstellung dieses Kontexts durch die operative Threat Intelligence k\u00f6nnen Sicherheitsverantwortliche und Entscheidungstr\u00e4ger die wahrscheinlichsten Bedrohungen identifizieren und Sicherheitsmechanismen einrichten, um bestimmte Angriffe abzuwehren. Diese Informationen versetzen SOC-Cybersicherheitsexperten in die Lage, Schwachstellen besser zu verwalten, Bedrohungen zu \u00fcberwachen und auf Vorf\u00e4lle zu reagieren. W\u00e4hrend taktische Threat Intelligence von einem Rechner generiert werden kann\u00a0\u2013 oft mithilfe von maschinellem Lernen und k\u00fcnstlicher Intelligenz (AI\/ML)\u00a0\u2013 ist f\u00fcr operative Threat Intelligence eine menschliche Analyse erforderlich. Im Rahmen ihres Ansatzes nutzen Analysten Datenklassifizierung<\/a>, um die Taktiken, Methoden und Verfahren (Tactics, Techniques, and Procedures, TTPs) der Angreifer zu organisieren und zu bewerten. Operative Threat Intelligence ist l\u00e4nger nutzbar als taktische Threat Intelligence, da es f\u00fcr Kriminelle nicht so einfach ist, ihre TTPs zu \u00e4ndern wie einen sch\u00e4dlichen Domainnamen.<\/p>\n Strategisch<\/strong>\u00a0\u2013 Strategische Threat Intelligence hilft Unternehmen dabei, ihre allgemeine Position in der globalen Bedrohungslandschaft besser einzusch\u00e4tzen. Genauer gesagt ist strategische Threat Intelligence ein nicht technischer Ansatz, der den Kontext f\u00fcr die potenziellen Cybersicherheitsrisiken eines Unternehmens auf der Grundlage aktueller globaler Ereignisse, au\u00dfenpolitischer Ma\u00dfnahmen, Branchentrends und anderer vorherrschender Einfl\u00fcsse liefert. Dieses Verst\u00e4ndnis erm\u00f6glicht es F\u00fchrungskr\u00e4ften aus der IT und anderen Abteilungen gleicherma\u00dfen, Investitionen in Cybersicherheit und Risikomanagement strategisch zu koordinieren. Aufgrund der Komplexit\u00e4t und der Nuancen auf dieser Ebene ist strategische Threat Intelligence am schwersten zu gewinnen. Menschliche Analysten m\u00fcssen die globale Cybersicherheitslandschaft und die geopolitischen Verh\u00e4ltnisse genau verstehen, um zeitnahe, aussagekr\u00e4ftige und zielf\u00fchrende Berichte zu erstellen.<\/p>\n Bei Threat Intelligence geht es um die Sammlung, Analyse und Anwendung von Daten \u00fcber potenzielle oder aktuelle Cyberbedrohungen. Das Hauptziel ist die Gewinnung zielf\u00fchrender Erkenntnisse \u00fcber die Taktiken, Methoden und Verfahren der Angreifer, um die Defensivhaltung eines Unternehmens zu verbessern.<\/p>\n Threat Hunting ist ein proaktiver Ansatz, mit dem aktiv nach Anzeichen f\u00fcr eine Gef\u00e4hrdung oder Schwachstellen im Netzwerk eines Unternehmens gesucht wird. Im Gegensatz zu herk\u00f6mmlichen Erkennungsmethoden verl\u00e4sst man sich beim Threat Hunting nicht ausschlie\u00dflich auf bekannte Bedrohungen oder Warnungen von Sicherheitssystemen.<\/p>\n W\u00e4hrend die aus der Threat Intelligence gewonnenen Erkenntnisse Unternehmen bei der Vorbereitung auf potenzielle Angriffe helfen, besteht das Ziel beim Threat Hunting darin, fortschrittliche persistente Bedrohungen und einzigartige Malware zu erkennen, bevor sie Schaden anrichten k\u00f6nnen, und so die Zeit vom Eindringen bis zur Entdeckung zu verk\u00fcrzen.<\/p>\n Die Operationalisierung von Threat Intelligence in einem Unternehmen kann aus verschiedenen Gr\u00fcnden eine Herausforderung darstellen:<\/p>\n Der Lebenszyklus von Threat Intelligence ist ein strukturierter Rahmen, den Unternehmen zur effektiven Verwaltung und Nutzung von Threat Intelligence verwenden. Er umfasst sechs miteinander verbundene Phasen, die Teams beim Erheben, Analysieren und Verbreiten von Informationen \u00fcber potenzielle Bedrohungen anleiten. Dieser zyklische Prozess hilft Unternehmen, sich an die sich entwickelnden Bedrohungen anzupassen und ihre Cybersicherheitslage zu verbessern. Die Phasen lauten wie folgt:<\/p>\n 1. Planung und Ausrichtung<\/strong> 2. Datenerhebung<\/strong> 3. Verarbeitung<\/strong> 4. Analyse<\/strong> 5. Verbreitung<\/strong> 6. Feedback und Verbesserung<\/strong> Der Lebenszyklus von Threat Intelligence verbessert die F\u00e4higkeit eines Unternehmens, potenzielle Cyberbedrohungen proaktiv zu erkennen und darauf zu reagieren. Mithilfe dieses strukturierten Ansatzes k\u00f6nnen Unternehmen ihre Schwachstellen besser verstehen, ihre Ressourcen effektiv einsetzen und ihre allgemeine Cybersicherheitsabwehr st\u00e4rken.<\/p>\n Angesichts von Ransomware und anderen Cyberangriffen, die betr\u00fcgerische Methoden anwenden, ben\u00f6tigen Unternehmen L\u00f6sungen, die Bedrohungen erkennen, die Auswirkungen der Offenlegung sensibler Daten analysieren und Daten sicher isolieren k\u00f6nnen. Das alles erfordert eine nahtlose Integration in Sicherheitsabl\u00e4ufe und L\u00f6sungen, denen Teams bereits vertrauen.<\/p>\n Unternehmen, die ihre Cyber Threat Intelligence verbessern wollen, k\u00f6nnen sich f\u00fcr folgende Services auf Cohesity DataHawk<\/a> verlassen:<\/p>\nWarum ist Threat Intelligence wichtig?<\/strong><\/h2>\n
\n
Welche Arten von Threat Intelligence gibt es?<\/strong><\/h2>\n
Threat Intelligence vs. Threat Hunting?<\/strong><\/h2>\n
Welche potenziellen Schw\u00e4chen hat Threat Intelligence?<\/strong><\/h2>\n
\n
Was ist der Threat Intelligence Lifecycle?<\/strong><\/h2>\n
\nIn dieser ersten Phase werden die Ziele und der Umfang des Threat Intelligence Programms festgelegt. Unternehmen bewerten ihre Risikotoleranz, ermitteln die wichtigsten zu sch\u00fctzenden Assets und bestimmen den spezifischen Informationsbedarf auf der Grundlage ihrer Branche und Bedrohungslandschaft.<\/p>\n
\nIn dieser Phase werden relevante Daten aus verschiedenen Quellen gesammelt, darunter Open-Source\u00a0Intelligence (OSINT), Deep- und Dark-Web-Ressourcen, interne Protokolle und Threat Intelligence Plattformen. Das Ziel ist, umfassende Informationen \u00fcber potenzielle Bedrohungen zusammenzutragen.<\/p>\n
\nDie gesammelten Daten werden verarbeitet, um irrelevante Informationen herauszufiltern und sie f\u00fcr die Analyse zu strukturieren. Dieser Schritt kann die Bereinigung von Daten, das Entfernen von Duplikaten und die Anreicherung mit zus\u00e4tzlichem Kontext beinhalten.<\/p>\n
\nAnalysten untersuchen die verarbeiteten Daten, um Muster, Trends und potenzielle Bedrohungen zu erkennen. In dieser Phase werden verschiedene Analysemethoden eingesetzt, darunter Data Mining und maschinelles Lernen, um Rohdaten in zielf\u00fchrende Informationen umzuwandeln.<\/p>\n
\nDie analysierten Informationen werden zeitnah an die relevanten Stakeholder weitergegeben. Durch eine wirksame Verbreitung wird sichergestellt, dass die Entscheidungstr\u00e4ger zielf\u00fchrende Erkenntnisse f\u00fcr Sicherheitsma\u00dfnahmen und Reaktionen auf Vorf\u00e4lle erhalten.<\/p>\n
\nIn dieser letzten Phase wird das Feedback der Stakeholder eingeholt, um die Wirksamkeit der bereitgestellten Threat Intelligence zu bewerten. Die hier gewonnenen Erkenntnisse verfeinern den gesamten Lebenszyklusprozess und gew\u00e4hrleisten eine kontinuierliche Verbesserung der Bedrohungserkennung und der Reaktionsstrategien.<\/p>\nCohesity und Threat Intelligence<\/strong><\/h2>\n