Was sind Bedrohungsinformationsquellen?

Anmerkung des Herausgebers: Der folgende Blogbeitrag ist eine teilweise Zusammenfassung eines SANS-Webinars, das wir gemeinsam mit Dave Shackleford veranstaltet haben.

Viele Organisationen halten Informationen über Bedrohungen für „schwierig“ und außerhalb ihrer Reichweite. Wenn Sie von Anfang an eine klare Vision haben, können Sie Ihr Programm tatsächlich auf die Lösung spezifischer Probleme zuschneiden, anstatt nur auf Kompetenzdefizite hinzuweisen.

Vor einiger Zeit veranstaltete Recorded Future gemeinsam mit dem SANS Institute ein Webinar mit der Absicht, sicherheitsbewussten Organisationen dabei zu helfen, einige der größten Fallstricke bei der Bedrohungsaufklärung zu erkennen und zu vermeiden. Das Webinar befasste sich mit der Frage, wie Unternehmen Bedrohungsdaten aus verschiedenen Quellen sammeln, analysieren und verbreiten sollten, um verwertbare Informationen für Sicherheitsteams und Interessengruppen zu entwickeln. Dadurch können sie ihre digitalen Ressourcen schützen und effektiv auf Cybersicherheitsvorfälle reagieren. Zudem vermeiden sie die Gefahren, die sich ergeben, wenn man sich zu stark auf eine einzige Quelle verlässt.

Die Redner waren Chris Pace, Technologieexperte bei Recorded Future, und Dave Shackleford, SANS-Analyst, Ausbilder und Kursautor.

Key Takeaways

• Wenn Sie bei der Aufklärung von Cyberbedrohungen kein klares Ziel verfolgen, wird die Wahl Ihrer Quellen Ihr Verständnis davon beeinflussen, wie und wo Informationen für Ihr Unternehmen einen Mehrwert darstellen können.
• Viele Organisationen halten Informationen über Bedrohungen für „schwierig“ und außerhalb ihrer Reichweite. Wenn Sie von Anfang an eine klare Vision haben, können Sie Ihr Programm tatsächlich auf die Lösung spezifischer Probleme zuschneiden, anstatt nur auf Kompetenzdefizite hinzuweisen.
• Sich ausschließlich auf Bedrohungs-Feeds zu verlassen, führt zu Informationsüberflutung und Alarmmüdigkeit.
• Es gibt viele verschiedene Quellen für Informationen zu Cyber-Bedrohungen, jede mit ihren eigenen Vor- und Nachteilen. Optimale Ergebnisse werden durch die automatische Kombination mehrerer Quellen erzielt, um Informationen zu bestätigen und zu kontextualisieren, bevor sie an menschliche Analysten weitergegeben werden.
• Die Einrichtung einer kontinuierlichen Feedbackschleife zur Anpassung an die sich entwickelnde Bedrohungslandschaft ist von entscheidender Bedeutung. Durch das Sammeln, Analysieren und Verbreiten von Bedrohungsdaten können Sicherheitsteams verwertbare Informationen für Stakeholder entwickeln.

Was sind Quellen für Cyber-Bedrohungsinformationen?

Zu den Quellen für Bedrohungsinformationen zählen verschiedene Datenpunkte und Feeds, die wichtige Informationen zu potenziellen oder bestehenden Cyberbedrohungen liefern. Sie ermöglichen es Organisationen, ihre digitalen Assets (einen wichtigen Teil der Angriffsfläche) zu schützen und effektiv auf Cybersicherheitsvorfälle zu reagieren.

Diese Quellen sammeln Bedrohungsdaten aus verschiedenen Kanälen, beispielsweise aus Echtzeit- Bedrohungsdaten-Feeds , die bösartige Aktivitäten und Muster im gesamten Internet überwachen, und aus internen Sicherheitsprotokollen der Systeme einer Organisation, die bei der Identifizierung ungewöhnlicher Verhaltensweisen und früherer Angriffssignaturen helfen.

Arten von Bedrohungsinformationsquellen

Threat Intelligence ist ein kontinuierlicher Prozess, der die Erfassung, Analyse und Anwendung von Threat Intelligence-Daten zu potenziellen oder bestehenden Bedrohungen umfasst. Es gibt viele verschiedene Quellen für Threat Intelligence-Daten, jede mit ihren eigenen Vor- und Nachteilen. Optimale Ergebnisse werden durch die automatische Kombination mehrerer Quellen erzielt, um Informationen zu bestätigen und zu kontextualisieren, bevor sie an menschliche Analysten, oft in einem Sicherheitseinsatzzentrum, weitergegeben werden. Dieser Ansatz ist von entscheidender Bedeutung für die Aufrechterhaltung und Verbesserung der allgemeinen Sicherheitslage einer Organisation.

Wenn Sie bei der Erforschung von Bedrohungsinformationen kein klares Ziel verfolgen, beeinflusst die Wahl Ihrer Quellen Ihr Verständnis davon, wie und wo Informationen für Ihr Unternehmen von Wert sein können. Sich ausschließlich auf Bedrohungs-Feeds zu verlassen, führt garantiert zu Informationsüberflutung und „ Alarmmüdigkeit“.

Um zu verstehen, welche Probleme mithilfe von Bedrohungsinformationen gelöst werden können, müssen Sie natürlich zunächst wissen, welche Informationen potenziell verfügbar sind. Während des Webinars haben sowohl Dave als auch Chris einige Zeit darauf verwendet, die gängigsten Quellen abzudecken.

1. Open Source Threat Intelligence Feeds

Bei Open Source Intelligence (OSINT) werden Informationen aus öffentlich verfügbaren Quellen gesammelt . Dazu gehören Nachrichtenartikel, Blogs, soziale Medien, Foren und öffentliche Datenbanken . Im Jahr 2023 stammten die meisten der für die Bedrohungsaufklärung gesammelten Daten aus externen Quellen wie Nachrichten und Medienberichten sowie von Community- oder Branchengruppen.

Davon stehen Hunderte zur Verfügung, die jeden erdenklichen Sicherheitsaspekt abdecken. Implementieren Sie eine grundlegende Threat Intelligence-Plattform (TIP), und Sie haben alles, was Sie brauchen, um mit der Verarbeitung einer unüberschaubaren Menge an Warnmeldungen zu beginnen. Darüber hinaus bieten Plattformen offenen Zugriff auf von der Community generierte Bedrohungsdaten einer globalen Community aus Bedrohungsforschern und Sicherheitsexperten. Dies fördert die kollaborative Forschung und automatisiert den Prozess der Aktualisierung der Sicherheitsinfrastruktur mit Bedrohungsdaten aus beliebigen Quellen, die in verschiedenen Formaten verfügbar sind, darunter STIX, OpenIoC, MAEC, JSON und CSV.

2. Interne Bedrohungsaufklärung

In-House-Informationen werden oft als „Sicherheitsanalysen“ bezeichnet und von Vorfallreaktionsteams , Mitarbeitern von Sicherheitsoperationszentren (Security Operations Center, SOC), Sicherheitsanalysten und Sicherheitsexperten erstellt. Bei der internen Netzwerküberwachung geht es um die Analyse von Daten innerhalb der Systeme einer Organisation. Hierzu gehören Protokolle von Firewalls, Intrusion Detection Systems (IDS) und anderen Netzwerkgeräten.

3. Vertikale Gemeinschaften

Bestimmte Branchen und vertikale Akteure haben Zugriff auf Communities zum Informationsaustausch, wie etwa das Financial Services Information Sharing and Analysis Center (FS-ISAC). Darüber hinaus spielt die Cybersecurity and Infrastructure Security Agency (CISA) eine entscheidende Rolle als Agentur für die Infrastruktursicherheit, indem sie Informationen zu Bedrohungsinformationen und einen Bedrohungsinformationen-Feed mit dem Automated Indicator Sharing (AIS) bereitstellt. Diese Communities können äußerst wertvoll sein, unterliegen jedoch häufig geschlossenen Gruppen, d. h. selbst Organisationen mit einem hohen Transaktionsvolumen kann der Zugriff verweigert werden, wenn sie nicht über den „richtigen“ Markennamen verfügen.

4. Kommerzielle Dienste

Im Jahr 2022 nutzten rund 78 % kommerzielle Threat-Intelligence-Feeds als ihre wichtigste Bedrohungsinformationsquelle. Kommerzielle Threat-Intelligence-Dienste bieten kuratierte Echtzeitdaten zu den neuesten Bedrohungen und Schwachstellen.

Die Qualität und der Umfang kommerzieller Threat-Intelligence-Dienste, die von Dutzenden Sicherheitsanbietern (häufig als Provider bezeichnet) angeboten werden, unterscheiden sich erheblich. Diese von Cybersicherheitsfirmen bereitgestellten Dienste aggregieren und analysieren Informationen aus verschiedenen Quellen und liefern detaillierte und umsetzbare Erkenntnisse.

Im besten Fall bieten sie wichtige Einblicke in einen oder mehrere Geheimdienstbereiche mit weitaus weniger Fehlalarmen als ihre Open-Source-Alternativen. Wichtig zu beachten ist jedoch die Verfügbarkeit einer kostenlosen Threat-Intelligence-Plattform wie MISP, mit der Benutzer Bedrohungsinformationen kostenlos suchen, scannen, anreichern und teilen können. Im schlimmsten Fall sind kommerzielle Dienste teuer und liefern keine wirklich verwertbaren Informationen.

5. Dark Web-Intelligenz

Das Dark Web ist ein Teil des Internets, der von herkömmlichen Suchmaschinen nicht indiziert wird und häufig für illegale Aktivitäten verwendet wird. Versuchen Sie, Ihre Vorurteile zu vergessen. Funktional gesehen ist das Dark Web nicht „alles, was nicht von Google indiziert ist“. Aus Sicht der Cybersicherheit umfasst das Dark Web etwa 500–600 Untergrundforen, auf die nur über spezielle Browser zugegriffen werden kann.

Durch die Überwachung des Darknets können frühzeitige Warnungen vor neuen Bedrohungen, darunter Datenschutzverletzungen und neu auftretende Schadsoftware, bereitgestellt werden. Als neuster Liebling der Bedrohungsaufklärung bietet das Dark Web Unternehmen die Möglichkeit, gestohlene Vermögenswerte zu identifizieren, die Angriffsziele von Bedrohungsakteuren zu ermitteln, Exploit-Kits zu analysieren und vieles mehr. Durch die Konzentration auf bestimmte Arten von Bedrohungsaktivitäten, etwa Malware-URLs oder Spam-IP-Adressen, können Unternehmen aus Dark Source-Bedrohungs-Feeds wertvolle Erkenntnisse und Kontext gewinnen.

Da man mehrere Sprachen (einschließlich des entsprechenden Slangs) verstehen muss und möglicherweise die Aufmerksamkeit gefährlicher Parteien auf sich zieht, kann das interne Zusammentragen dieser Perlen leider mehr Ärger machen, als es wert ist. Vielen der eher geheimen (und daher wertvollen) Communities ist der Beitritt äußerst schwer möglich, da von bestehenden Mitgliedern verlangt wird, für neue Bewerber zu bürgen, und Beitrittsgebühren in Höhe von mehreren Tausend Dollar verlangt werden.

Ihre Quellen bestimmen, wie Sie Bedrohungsinformationen „sehen“

Zum Auftakt hat Dave ein Diagramm erstellt, das einige der Ergebnisse einer im letzten Jahr durchgeführten SANS-Umfrage zum Thema Cyber-Bedrohungsinformationen zeigt. In diesem Fall wurden die Befragten nach den drei wichtigsten Anwendungsfällen für Bedrohungsinformationen in ihrer Organisation gefragt.

Wir sahen sofort etwas Interessantes. Ein sehr großer Anteil der Organisationen nutzte bereits Threat Intelligence-Daten, um bösartige Domänen und IP-Adressen zu blockieren. Viele nutzten sie auch, um Untersuchungen oder Kompromissbewertungen mit Kontext zu versehen.

Allerdings gingen nur sehr wenige Organisationen noch weiter. Weniger als ein Drittel aller Befragten machten von Bedrohungsinformationen am dritthäufigsten Gebrauch, und von da an ging es nur noch bergab.

Chris Pace von Recorded Future erklärte warum:

„Wenn Sie über einen Stapel von Feeds verfügen, die Ihnen auf sehr binäre Weise bösartige Domänen und riskante IP-Adressen liefern, werden Sie den Nutzen von Bedrohungsinformationen daran erkennen, denn nur darauf haben Sie Zugriff.“

„Ich denke, der Grund dafür, dass die Zahl auf der linken Seite des Diagramms so hoch ist und die anderen, interessanteren und möglicherweise nützlicheren Dinge weiter unten stehen, ist die wahrgenommene Eintrittsbarriere für den Zugriff auf diese Informationen, ihre Aufnahme und ihre Umwandlung in ein nutzbares Format.“

Die gängige Praxis schreibt vor, dass eine Threat-Intelligence-Initiative mit einer Basisplattform und einigen Open-Source-Feeds beginnen sollte. Und in gewisser Weise ist das verständlich, da es sicherlich der günstigste Weg ist, um anzufangen.

Doch in der Realität funktioniert Bedrohungsinformationen aus einer einzigen Quelle einfach nicht. Anstatt ein bestehendes Betriebsproblem zu lösen oder ein bekanntes Risiko anzugehen, kann die Verwendung einer einzigen Quelle Sie in eine sehr reaktive Position zwingen, in der Analysten ständig neue Warnungen sortieren müssen, die wenig (wenn überhaupt) Kontext enthalten.

Und das ist es einfach. Wenn Sie derzeit lediglich Zugriff auf Bedrohungs-Feeds im Bewusstseinsstrom haben, werden Ihnen viele wertvolle Aspekte der Bedrohungsaufklärung unerreichbar erscheinen. Leider gehen viele Organisationen davon aus, dass dies auf ihr Versagen zurückzuführen ist. In Wirklichkeit handelt es sich dabei jedoch lediglich um ein grundlegendes Missverständnis darüber, wie leistungsstarke Einrichtungen zur Bedrohungsaufklärung aufgebaut werden.

Um Bedrohungsinformationen wirklich nutzen zu können, benötigen Unternehmen Zugriff auf Plattformen und Tools, die Informationen zu Cyber-Bedrohungen sammeln, analysieren und visualisieren. Hierzu gehören Plattformen für den Informationsaustausch, Datenanalysen zur Reduzierung falscher Positivmeldungen und Tools zur Erkennung anomaler Muster in Bedrohungsdaten.

Herausforderungen bei der Bedrohungsaufklärung

Wie Sie sehen, ist Open-Source-Intelligence nur die Spitze des Eisbergs. Viele Unternehmen sind jedoch leider schnell mit der schieren Menge der wenig ergiebigen Warnmeldungen dieser Quellen überfordert und können daher nie zusätzliche Quellen einbeziehen.

Die einfache Wahrheit der Bedrohungsinformationen lautet: Mehr ist nicht immer besser. Wenn es um Warnungen geht, ist mehr fast immer schlimmer.

„Es ist nicht überraschend, dass jemand von der Menge der verfügbaren Feeds und Daten überwältigt wird“,

Chris bemerkte während des Webinars:

„Als Anbieter und Lieferanten von Bedrohungsinformationen liegt es an uns, dieses Problem zu lösen. Es sollte nicht die Aufgabe einer Organisation sein, aus dem Hydranten der Daten zu trinken.“

Beachten Sie die Verwendung des Begriffs „Hydrant“. Der Grund dafür, dass sich viele Unternehmen durch die Bedrohungs-Feed-Warnmeldungen überfordert fühlen, liegt in der Realität darin, dass sie überhaupt keine Geheimdienstinformationen, sondern nur Rohdaten erhalten. Um als Geheimdienstdaten zu gelten, müssen diese Daten gefiltert, verarbeitet und formatiert werden, um sicherzustellen, dass den menschlichen Analysten nur relevante und wertvolle Warnmeldungen zugespielt werden. Die Integration von Threat Intelligence-Feeds in andere Sicherheitstools und -plattformen kann zur Automatisierung dieses Prozesses beitragen, indem die Daten verwertbar gemacht und Rauschen und Fehlalarme reduziert werden.

Meistens passiert das einfach nicht.

Wenn also mehr Warnmeldungen nicht die Antwort sind und die meisten Feeds kaum mehr als Rohdaten liefern, wie können Unternehmen dann überhaupt erwarten, eine leistungsfähige Bedrohungsaufklärungsfunktion aufzubauen? Hier haben uns Dave und Chris die „zwei Cs“ der Bedrohungsinformationen vorgestellt: Kontext und Bestätigung.

Um die überwältigende Menge an Warnmeldungen mit geringer Rendite zu bewältigen, müssen sich Unternehmen auf die Erfassung, Analyse und Verbreitung von Bedrohungsdaten konzentrieren. Hierzu gehört die Einrichtung einer kontinuierlichen Feedbackschleife zur Anpassung an die sich entwickelnde Bedrohungslandschaft. Dadurch wird sichergestellt, dass die Daten umsetzbar und für Sicherheitsteams und Interessengruppen relevant sind.

„Bedrohungsinformationen sind schwierig“

Natürlich sind Quellen nicht das einzige Hindernis für eine effektive Erfassung von Bedrohungsdaten. Um weiter zu erklären, warum sich Bedrohungsinformationen für viele Unternehmen so schwierig gestalten, hat Dave ein zweites SANS-Umfragediagramm erstellt.

Werfen Sie einen Blick auf die beiden größten Hindernisse für eine effektive Bedrohungsaufklärung: Mangel an geschultem Personal und Mangel an technischen Fähigkeiten.

Nun ist die Qualifikationslücke kein neues Thema, doch bedenken Sie das dritthäufigste Hindernis: die fehlende Beteiligung des Managements. Wenn man raten müsste, würde man sagen, dass dieser Mangel an Zustimmung seitens der Geschäftsführung und der Budgetverantwortlichen höchstwahrscheinlich zumindest teilweise für den Mangel an qualifizierten Sicherheitsexperten verantwortlich ist, die für die Implementierung und Aufrechterhaltung einer leistungsfähigen Bedrohungserkennungsfunktion erforderlich sind.

Schauen wir uns nun die restlichen Hindernisse an, die von den Umfrageteilnehmern genannt wurden. Sie sind größtenteils auf das hohe Volumen, die mangelnde wahrgenommene Relevanz und die fehlende Priorisierung zurückzuführen. Einfach ausgedrückt: Viele Organisationen werden mit Warnmeldungen überhäuft, von denen zu viele Fehlalarme sind.

Auch hier handelt es sich wieder um einen falschen Ausgangspunkt. Da es schwierig sein kann, die Zustimmung des Managements zu erhalten, versuchen Unternehmen, ihre Threat-Intelligence-Initiative auf die scheinbar einfachste und kostengünstigste Weise zu starten: über Threat-Intelligence-Feeds.

Doch in der Praxis sind diese Feeds alles andere als einfach zu verwenden. Sie beanspruchen einen großen Teil der Zeit der Analysten, liefern kaum Ergebnisse und – das Schlimmste – vermitteln Unternehmen den toxischen Eindruck, dass es bei der Aufklärung von Bedrohungen lediglich darum geht, mit den neuesten Sicherheitslücken und bösartigen Domänen „Maulwurf-Schlagen“ zu spielen.

„**Es ist eine sich selbst erfüllende Prophezeiung“, erklärte Dave. „Man bekommt diese leicht verständlichen Daten, die leicht zugänglich sind, und man hat das Gefühl, man kann sie sofort nutzen … aber da hört es auch schon auf**.“

Wenn nicht mit Threat Intelligence Feeds, wo sollten Sie dann anfangen? Ganz einfach: Beginnen Sie mit der Lösung eines bestehenden Problems.

„Es spielt keine Rolle, ob es sich um Markenüberwachung, Überwachung durchgesickerter Anmeldeinformationen, Aufdeckung neuer Bedrohungen oder Identifizierung und Priorisierung von Schwachstellen handelt“,

erklärte Chris.

„Sie müssen zunächst ein Ziel haben, bevor Sie sich im Detail mit der Verwendung von Bedrohungsinformationen befassen können.“

Die Bedeutung einer Bestätigung aus allen Quellen

Es führt kein Weg daran vorbei, dass die Wahrscheinlichkeit, dass Sie die Warnmeldungen erhalten, die Ihr Unternehmen zum Schutz benötigt, zwangsläufig steigt, wenn Ihnen mehr Daten zur Verfügung stehen.

Gleichzeitig ist, wie wir bereits gesehen haben, selbst für die größten und erfahrensten Analystenteams der Zugriff auf enorme Mengen an Bedrohungsdaten unüberschaubar.

In einer Welt, in der qualifizierte Analysten Mangelware sind, kommt es darauf an, den Bedarf an mehr Bedrohungsdaten mit der Notwendigkeit, Warnmeldungen zu minimieren, in Einklang zu bringen. Die Antwort ist einfach:

Nutzung von Bedrohungsinformationsquellen für Sicherheitsexperten

Da die Bedrohungsaufklärung ausgereifter wird und Unternehmen sich immer besser damit auskennen, wird die Herstellung einer Balance zwischen diesen beiden Dingen zum ultimativen Ziel für jeden, der seine Bedrohungsaufklärungsfähigkeit schrittweise verbessern möchte. Die Betonung verwertbarer Bedrohungsinformationen ist von entscheidender Bedeutung, da diese qualitativ hochwertige, priorisierte Informationen liefern, die aus Sicherheitsoperationen, Untersuchungen und Recherchen in Echtzeit gewonnen werden. Das Sammeln, Analysieren und Verbreiten von Bedrohungsdaten aus verschiedenen Quellen ist von entscheidender Bedeutung, um verwertbare Informationen für Sicherheitsteams und Interessengruppen zu entwickeln.

Um Bedrohungsinformationen aus allen Quellen in Aktion zu sehen, melden Sie sich für unseren kostenlosen Cyber Daily-E-Mail-Newsletter an. Darin werden die wichtigsten täglichen Ergebnisse für technische Indikatoren angezeigt, beispielsweise die am häufigsten angegriffenen Branchen, Bedrohungsakteure und ausgenutzten Schwachstellen. Und buchen Sie noch heute eine Demo, um zu erfahren, wie Recorded Future verschiedene Quellen zur Bedrohungsaufklärung in Ihre Sicherheitsstrategie integrieren kann.