5 Anwendungsfälle für Threat Intelligence-Lösungen

Cyberbedrohungen werden immer raffinierter und häufiger, weshalb Unternehmen unbedingt Informationen über Cyberbedrohungen nutzen müssen, um potenziellen Cyberangriffen immer einen Schritt voraus zu sein. Organisationen aller Branchen erkennen, wie wichtig die Implementierung robuster Threat-Intelligence-Lösungen ist, um Cyberkriminellen immer einen Schritt voraus zu sein und ihre wertvollen Vermögenswerte zu schützen.

Die Rolle von Threat Intelligence

Um vertrauliche Informationen zu schützen und die Geschäftskontinuität aufrechtzuerhalten, müssen Unternehmen bei der Sicherheit wachsam und proaktiv vorgehen. Und hier kommen Bedrohungsinformationen ins Spiel. Aber was ist Bedrohungsaufklärung?

Bedrohungsinformationen sind die Informationen, die eine Organisation verwendet, um die Bedrohungen zu verstehen , denen die Organisation ausgesetzt war, ausgesetzt sein wird oder auf die sie abzielt. Diese Informationen werden aus verschiedenen Quellen wie Open Source (OSINT), sozialen Medien, technischen Daten und Dark Web-Monitoring gesammelt. Das Hauptziel der Bedrohungsaufklärung besteht darin, umsetzbare Erkenntnisse zur Vorbeugung, Erkennung und Reaktion auf Cyberbedrohungen bereitzustellen.

Bedrohungsinformationen können grob in vier Haupttypen eingeteilt werden:

• Strategische Bedrohungsinformationen – bieten einen umfassenden Überblick über die Bedrohungslandschaft, einschließlich neuer Trends, geopolitischer Ereignisse und wichtiger Bedrohungsakteure.
• Taktische Bedrohungsinformationen – konzentriert sich auf die Taktiken, Techniken und Verfahren (TTPs), die von Akteuren der Bedrohungsinformationen verwendet werden.
• Informationen zu operativen Bedrohungen – unmittelbarer und umsetzbarer, mit detaillierten Angaben zu bestimmten Vorfällen und Kampagnen, die derzeit aktiv sind oder unmittelbar bevorstehen.
• Technische Bedrohungsinformationen – umfassen Daten zu bestimmten Kompromittierungsindikatoren (IOCs) wie IP-Adressen, Domänennamen, Datei-Hashes und Malware-Signaturen.

Durch die Nutzung dieser verschiedenen Arten von Bedrohungsinformationen können Unternehmen eine umfassende und mehrschichtige Verteidigung gegen potenzielle Cyberbedrohungen aufbauen.

Warum ist Threat Intelligence wichtig?

Dem Markets Insider Report zufolge kam es im Jahr 2023 zu einer erstaunlichen Verdreifachung der Ausnutzung der Unverwundbarkeit. Dieser deutliche Anstieg unterstreicht die dringende Notwendigkeit einer effektiven Bedrohungsaufklärung zum Schutz vertraulicher Informationen.

Die Bedeutung von Threat Intelligence liegt darin, dass sie Rohdaten in aussagekräftige Informationen umwandelt, die Sicherheitsteams für fundierte Entscheidungen nutzen können. Durch das Verständnis der Taktiken, Techniken und Verfahren (TTPs) der Bedrohungsakteure können sich Organisationen besser gegen potenzielle Angriffe verteidigen. Bedrohungsinformationen helfen auch bei der Identifizierung neuer Bedrohungen, der Priorisierung der neuesten Schwachstellen und der allgemeinen Sicherheitslage.

Die Komponenten der Bedrohungsaufklärung

Effektive Bedrohungsinformationen basieren auf der Datenerfassung und komplexen Analysen. Dabei handelt es sich um einen vielschichtigen Ansatz, der sicherstellt, dass die gesammelten Informationen relevant, genau und umsetzbar sind. Hier sind einige Schlüsselkomponenten:

• Datenerfassung: Sammeln von Rohdaten aus verschiedenen Quellen, einschließlich Netzwerkprotokollen, Sicherheitsvorfällen und externen Bedrohungsinformationen-Feeds.
• Datenanalyse: Verarbeitung und Analyse der gesammelten Daten, um Muster, Trends und Indikatoren potenzieller Bedrohungen zu erkennen.
• Verbreitung: Weitergabe der analysierten Informationen an relevante Interessengruppen innerhalb der Organisation, um Sicherheitsentscheidungen und -maßnahmen zu treffen.
• Umsetzbare Erkenntnisse: Die analysierten Daten werden in umsetzbare Erkenntnisse umgewandelt, die zur Risikominderung und Verbesserung der Sicherheitsmaßnahmen genutzt werden können.

Wie können Threat Intelligence-Anwendungsfälle Unternehmen beim Schutz vor Cyber-Bedrohungen helfen?

Bedrohungsinformationen spielen eine entscheidende Rolle bei der Unterstützung von Unternehmen bei der Abwehr der sich ständig weiterentwickelnden Landschaft neuer Cyberbedrohungen. Da Threat-Intelligence-Lösungen auf vielfältige Weise eingesetzt werden können, ist es wichtig, dass Sie Ihre potenziellen Anwendungsfälle identifizieren, bevor Sie sich für eine Threat-Intelligence-Plattform entscheiden, und nicht erst eine Lösung auswählen und dann versuchen, Ihre Anwendungsfälle an die Stärken dieser Lösung anzupassen.

Anwendungsfälle von Threat Intelligence können den Vorfallreaktionsprozess optimieren. In seinem aktuellen Market Guide schlägt das Technologieforschungsunternehmen Gartner vor, dass Endbenutzer von Lösungen zur Aufklärung von Cyberbedrohungen ihre beste Lösung durch einen „anwendungsfallzentrierten“ Ansatz ermitteln.

Beispielsweise möchten Sie vielleicht Einblicke in die Identität, Methoden und Motive der Bedrohungsakteure gewinnen, die es auf Sie abgesehen haben, damit Sie zukünftigen Bedrohungen vorbeugen und Ihre Sicherheit anpassen oder aktualisieren können. Vielleicht möchten Sie Fallstudien für Schulungsübungen erstellen oder mehr Bedrohungsdaten sammeln, damit Sie das Schwachstellenmanagement anhand der Risiken priorisieren können, für die Ihr Unternehmen besonders anfällig ist. Gartner bietet eine lange Liste möglicher Anwendungsfälle, die Sie vor der Auswahl einer Lösung berücksichtigen sollten.

Bevor Sie teure und fundierte Sicherheitsentscheidungen zur Verbesserung Ihrer Sicherheitsabläufe und -programme treffen, sehen Sie sich die fünf folgenden Beispiele von Gartner zu den effektivsten Einsatzmöglichkeiten von Threat-Intelligence-Plattformen an.

1. Bereicherung anderer Sicherheitstechnologien durch die Integration von Bedrohungsinformationen

Dies sind die Grundlagen – die Integration von Informationen zu Cyberbedrohungen in Ihre bereits vorhandenen Sicherheitsprozesse verbessert die Entscheidungsfindung bei der Reaktion auf Vorfälle und stärkt Ihre Sicherheitsrichtlinie. Laut Gartner wird die Aufklärung von Cyberbedrohungen seit Kurzem in den meisten Bereichen der Sicherheitstechnologie breitflächig integriert, darunter in den Bereichen Security Information and Event Management (SIEM), Firewalls und einheitliche Bedrohungsmanagementsysteme, Angriffserkennung und -prävention, sichere Web-Gateways und sichere E-Mail-Gateways, Endpunktschutz, Schutz von Webanwendungen, Distributed-Denial-of-Service-Angriffe, Schwachstellenmanagement, Sicherheitsorchestrierung und mehr.

Wenn das Sicherheitsprogramm Ihres Unternehmens noch keine Bedrohungsinformationen enthält, sollten Sie zunächst prüfen, was Sie bereits verwenden, und überlegen, wie die Wirksamkeit dieser Informationen durch Bedrohungsinformationen gesteigert werden kann. Viele Threat-Intelligence-Lösungen bieten maschinenlesbare Informationen, die sich reibungslos in die Sicherheitsprodukte integrieren lassen, die Sie bereits nutzen. Zudem basieren immer mehr Lösungen auf Open-Source-Standards, sodass sich Daten einfacher denn je plattformübergreifend teilen lassen.

2. Priorisierung von Schwachstellen für Sicherheitsteams

Einer der besten Einsatzmöglichkeiten eines effektiven Threat-Intelligence-Programms besteht darin, Daten zu sammeln und Analysen durchzuführen, die Ihrem Unternehmen dabei helfen, eine einfache Messgröße für die Bewertung von Schwachstellen zu erstellen. Diese Metrik sollte ein Maß für die Überschneidung zwischen den Problemen sein, die Sie beheben können, und den Lösungen, die angesichts der Ihnen zur Verfügung stehenden Zeit und Ressourcen den größten Unterschied machen.

Der traditionelle Ansatz zur Priorisierung von Schwachstellen basiert auf der Einstellung, dass der beste Sicherheitsansatz darin besteht, „alles, immer und überall zu patchen“. Das Erreichen dieses Ziels würde theoretisch zu einem vollkommen undurchdringlichen System führen – es setzt jedoch einen unmöglich hohen Standard. Organisationen, die diesen Ansatz verfolgen, werden also zwangsläufig Kompromisse eingehen und sich zuerst den „größten“ Problemen widmen.

Doch anders als allgemein angenommen, sind die „größten“ Probleme (gemessen am tatsächlichen Schaden) nicht Zero-Day-Bedrohungen oder clevere neue Exploits, sondern dieselben alten Schwachstellen, die weiterhin ausgenutzt werden. Und zwar deshalb, weil so viele Unternehmen bei der Suche nach Bedrohungen neuen Bedrohungen den Vorzug geben, statt sich auf die Verbesserung ihrer grundlegenden Sicherheitsvorkehrungen zu konzentrieren.

Bedrohungsakteure sind durch die ihnen zur Verfügung stehenden Zeit und Ressourcen ebenso eingeschränkt – wenn nicht sogar noch mehr – wie Sie. Sie werden natürlich dazu neigen, den einfachsten und am wenigsten ressourcenintensiven Exploit zu verwenden, solange dieser weiterhin Ergebnisse liefert.

Bei seiner Analyse der im letzten Jahrzehnt entdeckten Schwachstellen stellte Gartner fest, dass neue CVEs in weitgehend konstanter Rate gefunden wurden, während die Anzahl der Exploits im gleichen Zeitraum exponentiell anstieg. Dies deutet darauf hin, dass es sich bei der großen Mehrheit der neuen Exploits um Variationen alter Exploits handelt. Damit wird deutlich, dass die oberste Priorität jeder Organisation auf dem Patchen bereits bekannter Schwachstellen liegen sollte, anstatt sich über neue Bedrohungen Sorgen zu machen.

3. Open-, Deep- und Dark-Web-Überwachung

Eine Threat-Intelligence-Lösung sollte ihre Bedrohungsdaten sowohl aus offenen als auch aus geschlossenen Quellen im Internet sammeln.

Kurz gesagt: Open Source sind im Internet öffentlich für jeden verfügbar. Hierzu zählen alle in Suchmaschinen indizierten Daten, die auch als Surface Web bezeichnet werden. Obwohl dies rund 4,56 Milliarden Seiten umfasst, macht der öffentliche Teil des Internets nur etwa vier Prozent aller online verfügbaren Daten aus.

Die anderen 96 Prozent verteilen sich auf das Deep Web und das Dark Web. Das Deep Web, das etwa 90 Prozent dieser Daten ausmacht, bezieht sich auf jene Teile des Internets, die hinter sicheren Logins oder Paywalls gesperrt sind und damit außerhalb der Reichweite der Crawler von Suchmaschinen liegen. Bei den meisten dieser Informationen handelt es sich um wissenschaftliche, akademische oder behördliche Berichte, persönliche Informationen wie Finanzunterlagen oder Krankengeschichten sowie Datenbanken privater Unternehmen.

Das Dark Web, das die restlichen sechs Prozent aller Daten im Internet ausmacht, besteht aus Websites, die nur über Browser wie Tor erreicht werden können, die Verschlüsselung und Anonymität bieten. Obwohl dies nicht ausschließlich der Fall ist, bieten viele Websites Marktplätze für illegale Waren und Dienstleistungen.

Schwachstellen und deren Ausnutzung werden im Darknet und Deep Web häufig diskutiert und ausgetauscht – sowohl von Parteien, die sie schützen möchten, als auch von Bedrohungsakteuren. Daher ist es wichtig, Bedrohungsdaten aus diesen Bedrohungsinformationsquellen zu sammeln, um ein umfassenderes und aktuelleres Bild der bestehenden Bedrohungen zu erhalten.

Da der Zugriff auf diese Bereiche mehr Fachwissen erfordert und mit höheren Risiken verbunden ist, besteht einer der Hauptvorteile bestimmter Threat-Intelligence-Lösungen darin, dass sie dies für Sie erledigen. Dem Market Guide von Gartner zufolge sind möglicherweise viele Jahre Erfahrung erforderlich, um diese Bereiche wirksam zu infiltrieren und wirksame und zeitnahe Analysen bereitzustellen. Das wirksamste Programm zur Bedrohungsaufklärung verfügt zudem über Expertenanalysen, die von keinem Algorithmus reproduziert werden können.

4. Markenüberwachung

Obwohl Diskussionen über Schwachstellen und Exploits größtenteils in den geschlossenen Bereichen des Internets stattfinden, ist es dennoch sehr sinnvoll, eine Plattform für handlungsorientierte Bedrohungsinformationen zu wählen, die auch offene Quellen überwacht, insbesondere im Hinblick auf neu auftretende Cyberbedrohungen in Social-Media-Kanälen. Das Erkennen von Bedrohungen in diesem Bereich ist an sich schon eine Kunst. Sie erfordert ein Bewusstsein für die Marke Ihres Unternehmens und die vielen Möglichkeiten, mit denen ein Bedrohungsakteur versuchen könnte, sie auszunutzen.

Da diese Bedrohungen im öffentlichen Raum auftreten und einer genaueren Prüfung unterliegen, können sie subtiler sein und basieren häufig auf Social-Engineering-Techniken statt auf Software-Exploits. Ihre Erkennung erfordert ein gewisses Maß an Fachwissen.

Eine Threat-Intelligence-Lösung mit Markenüberwachung kann beispielsweise nach gefälschten oder böswilligen Social-Media-Profilen suchen, die von Ihren Mitarbeitern akzeptiert wurden oder sogar die Profile Ihrer Mitarbeiter nachahmen. Sie kann böswillige Links identifizieren, die auf Ihren Social-Media-Profilen gepostet wurden, oder sogar den Verlust und Diebstahl geistigen Eigentums auswerten.

Zu den Cyberangriffen, die durch Social Media und Markenüberwachung identifiziert werden können, gehören Phishing, False-Flag-Angriffe, Domänenbetrug oder Angriffe von Aktivisten oder „Trolling“. Professionell entwickelte Threat-Intelligence-Lösungen sind wesentlich effizienter und erzeugen weniger Fehlalarme als Open-Source-Tools oder Ad-hoc-Ansätze.

5. Untersuchung, Anreicherung und Reaktion auf Bedrohungsindikatoren

Natürlich kann nicht jeder Angriff verhindert werden, und einer der Vorteile vieler Threat-Intelligence-Lösungen liegt in ihrer Fähigkeit, die Geschwindigkeit und Genauigkeit Ihrer Reaktion auf Vorfälle durch operative Bedrohungsinformationen zu verbessern. Gartner plädiert in seinem Leitfaden dafür, den Schwerpunkt nicht mehr auf die Prävention zu legen, sondern einen ausgewogeneren Ansatz zu verfolgen, der sowohl die Erkennung als auch die Reaktion auf Bedrohungen gleichermaßen umfasst.

Zu diesem Rahmen gehört auch eine Neuüberlegung der Priorisierung von Schwachstellen, wie oben beschrieben. Außerdem kann es hilfreich sein, über eine Threat Intelligence-Lösung zu verfügen, die einen On-Demand-Zugriff auf übermittelte Dateien oder Objekte ermöglicht und nach Indikatoren für eine Gefährdung wie verdächtigen Datei-Hashes, Domänennamen oder Adressen sucht. Diese vergleicht sie mit den großen Datensätzen, die von einigen Lösungen verwaltet werden, und bereichert so die Daten Ihres Unternehmens.

Einige Lösungen verfügen sogar über die Möglichkeit, proaktiv auf die Jagd nach Bedrohungen zu gehen. Während die Reaktion auf Vorfälle per Definition ein reaktiver Prozess ist, können fortschrittlichere Lösungen Bedrohungen aufspüren, bevor diese tatsächlich gegen Ihr Unternehmen umgesetzt werden.

Für die Bedrohungssuche ist eine erfahrene Organisation erforderlich, die bereits die grundlegenden Sicherheitsmaßnahmen einhält, z. B. ihre Systeme auf dem neuesten Stand hält und ihr eigenes Netzwerk genau überwacht. Für Organisationen, die dies effektiv umsetzen können, bietet sie jedoch eine zusätzliche Sicherheitsebene von unschätzbarem Wert.

Ein weiteres Framework zur Bewertung von Anwendungsfällen

Der Market Guide von Gartner bietet außerdem eine einfache Möglichkeit, verschiedene Threat Intelligence-Dienste anhand ihrer Einstufung auf zwei Skalen zu bewerten:

• Taktisch – Strategisch: Diese Skala ist eine Zeitmessung. Grob gesagt kann eine taktische Threat-Intelligence-Lösung kurzfristig wirksamer sein, während eine strategische Lösung langfristig die bessere ist. Beispielsweise kann eine Lösung eher als taktisch angesehen werden, wenn ihre Stärken in der Fähigkeit liegen, Bedrohungsdaten schnell zu verarbeiten und potenzielle Bedrohungen zu identifizieren. Eine Lösung hingegen, die eine tiefergehende Analyse ermöglicht und sich für eine langfristige Zukunftsplanung eignet, lässt sich eher als strategisch definieren.
• Technisch – Geschäftlich: Diese Skala ist ein Maß für die Art des Risikos. Im Allgemeinen konzentriert sich eine technische Threat-Intelligence-Lösung eher auf Sicherheitsoperationen, während sich ein strategischer Threat-Intelligence-Ansatz mit dem digitalen Risikomanagement befasst. Beispielsweise könnte sich eine technischere Lösung auf Indikatoren für eine unmittelbare Gefährdung konzentrieren, wie etwa ungültige IP-Adressen oder Domänen. Eine Lösung, die das Risiko einer neuen Taktik oder einer bestimmten Branche misst, ist jedoch eher auf das Geschäftsrisiko ausgerichtet.

Die Implementierung von Cyber Threat Intelligence ist notwendig

Um den sich entwickelnden Cyberbedrohungen immer einen Schritt voraus zu sein, ist die Einbeziehung von Bedrohungsinformationen in die Cybersicherheitsstrategie eines Unternehmens von entscheidender Bedeutung. Die Implementierung von Threat-Intelligence-Lösungen ist für Unternehmen von entscheidender Bedeutung, die ihre Cybersicherheitslage (oder ihre Sicherheitsteams) stärken und sich gegen immer ausgefeiltere Cyberbedrohungen verteidigen möchten.

Threat Intelligence liefert die umsetzbaren Erkenntnisse, die erforderlich sind, um Bedrohungen vorherzusehen, zu identifizieren und darauf zu reagieren. So wird sichergestellt, dass Sicherheitsteams den Cyber-Gegnern immer einen Schritt voraus sind. Durch die Nutzung von Bedrohungsinformationen für verschiedene Anwendungsfälle, wie etwa eine verbesserte Reaktion auf Vorfälle, die proaktive Suche nach Bedrohungen, das Schwachstellenmanagement und mehr, können Unternehmen ihre Vermögenswerte proaktiv schützen, Risiken reduzieren und für eine sicherere digitale Umgebung sorgen.

Um herauszufinden, wie Bedrohungsinformationen Ihre Cybersicherheitsstrategie und Ihre Sicherheitsteams verbessern können, fordern Sie eine Demo von Recorded Future an.

Dieser Artikel wurde ursprünglich am 23. Januar 2018 veröffentlicht und zuletzt am 25. Juni 2024 aktualisiert.