Threat Intelligence oder auch der Threat Intelligence Service ist für die Lieferung von aktuellen Informationen in Bezug auf die Bedrohungslage in Form von Cyberangriffen oder andere Gefahren auf die IT bzw. Netzwerke. Um die Bedrohungslage zu analysieren werden die Informationen durch den Service aufbereitet, aus unterschiedlichen Quellen zusammengestellt und dem Unternehmen bzw. dem Auftraggeber zur Verfügung gestellt.
Welche Arten von Threat Intelligence sind existent?
Threat Intelligence kann von allgemeinen, nicht-technischen Informationen bis hin zu technischen Details über bestimmte Angriffe reichen. Folgend werden die möglichen Arten von Threat Intelligence:
Die strategische Threat Intelligence: Strategische Threat Intelligence sind allgemeine Informationen, welche die etwaigen Bedrohungen in einen Kontext stellen. Die Informationen, welche den jeweiligen Unternehmen nachgewiesen werden können, sind nicht technisch. Ein mögliches Beispiel diese Art von Threat Intelligence ist bspw. eine Risiko-Analyse, welche die Entscheidung für ein Business hinsichtlich der Gefahr für Cyberangriffe untersucht und detailliert wiedergibt.
Die taktische Threat Intelligence: Bei der taktischen Threat Intelligence sind Details in Bezug auf die Ausführung und Abwehr von potenziellen Bedrohungen enthalten. Darin integriert sind unter anderem Angriffsvektoren, Infrastrukturen oder Tools, welche durch die Angreifer genutzt werden. Ergänzend dazu werden die Unternehmensarten und Technologien berücksichtigt, auf die Angriff gerichtet sine könnten sowie die dahingehend möglichen Strategien zur Vermeidung dieser Gefahren. Mit den vielfältigen Informationen können potenzielle Gefahren für Unternehmen in Bezug auf die Angriffswahrscheinlichkeit verschiedener Bedrohungen abgeleitet werden. Bei der taktischen Threat Intelligence können Expertinnen und Experten der Cyber-Sicherheit auf Basis taktischer Informationen fundierte Entscheidungen treffen können, um eine bestmögliche Sicherheitskontrolle und Verteidigungsstrategie implementieren zu können.
Die operative Threat Intelligence: Bei dieser Form werden Informationen in Verbindung mit einem aktiven Bedrohungsmanagement durch die eigenen IT-Abteilungen genutzt, damit Maßnahmen gegen einen bestimmten Angriff genutzt werden können. Dabei geht es um konkrete Informationen, welche für das Angriffsszenario genutzt werden konnten, um die Angriffsabsicht, die Angriffsart sowie den Zeitpunkt zu fixieren. Bestenfalls können diese Informationen umgehend von den Angreifern erfasst werden, um die Beschaffung zu erschweren.
Die technische Threat Intelligence: Bei dieser Art geht es um die Lieferung von konkreten Beweisen, dass derzeit ein Angriff stattfindet bzw. Indicators of Compromise (IoCs) vorliegen. Dabei handelt es sich bspw. um außergewöhnliche Netzaktivitäten, besondere Dateien, Eintragungen in Logfiles oder ungewohnte gestartete Prozesse, welche auf eine Kompromittierung eines Computersystems oder Netzwerks hindeuten.
Es gibt Tools für Threat Intelligence, welche mit Unterstützung von künstlicher Intelligenz diese Indikatoren untersucht. Dabei können bspw. Inhalte aus Phishing-Kampagnen, IP-Adressen von C2-Infrastrukturen bzw. Artefakte mit bekannten Mustern von Malware in den Mailadresse analysiert werden.
Die Umsetzungsmöglichkeiten von Threat Intelligence:
Realisierungsmöglichkeiten eines Threat Intelligence Service
Die Realisierung von Threat Intelligence Service kann sich stark unterscheiden und variieren. Bei einfachen Systemen werden aus verschiedenen Quellen Data-Feeds gesammelt. Diese Informationen wurden mit Hilfe von Positiv- oder Negativ-Listen bereinigt und individuell auf das Unternehmen bezogen. Alternative Systeme können ergänzend dazu über aktive und konkret laufende Bedrohungslagen zu informieren. In dieser Konstellation können die akuten Bedrohungen bspw. durch individuelle Meldungen in Form von Warnungen oder als proaktiver Alarm angezeigt werden.
Je nach der Leistungsfähigkeit der Threat Intelligence Services können die Informationen so aggregiert und korreliert werden, dass die gesammelten Informationen direkt an die entsprechenden Firewalls weitergegeben werden können und somit die Gefahr potenzieller Angriffe deutlich reduziert werden können. Mit Hilfe dieser Informationen kann die Firewall aus den gelieferten Informationen automatische Filter automatisch setzen und vorher fixierten Traffic eigenständig blockieren. Der Service von Threat Intelligence kann auf Basis eines Cloud-Dienstes bzw. in Form einer On-Premise-Lösung realisiert werden. Die meisten Anbieter bieten die Dienstleistungen als Abonnement mit zeitlichen Befristungen und fixierten Funktionsumfängen an.
Was sind die Vorteile von Threat Intelligence?
Durch die Nutzung von Tools für Threat Intelligence können Bedrohungen durch Cyberangriffe frühzeitig erkannt und präventiv abgesichert werden. Damit sind Unternehmen in der Lage, die stetig wachsenden Bedrohungen und Angriffsrisiken besser verstanden und frühzeitig erkannt werden. Durch die Nutzung von Threat Intelligence können Angriffe abgemildert werden, welche gegenwärtig stattfinden. Dabei gibt es verschiedene Optionen. Eine Möglichkeit ist die eigenständige Erfassung der Daten durch die firmeneigene IT-Abteilung innerhalb des jeweiligen Unternehmens. Alternativ kann ein Threat Intelligence-Service in Anspruch genommen werden. In dieser Konstellation werden Informationen gesammelt. Dabei können verschiedene Sicherheitspraktiken empfohlen werden und je nach Bedarf und Expertise angeboten werden. Dabei können bspw. Software-Defined Networking (SDN) eingesetzt werden, sodass mit Hilfe moderner Threat Intelligence Optionen die Netzwerke neu konfiguriert werden, um sich gegen diverse Optionen von Cyberangriffen zu verteidigen.
Welche konkreten Threat Intelligence-Tools sind am Markt existent?
Parallel zu kostenpflichtigen Tools im Bereich der Threat Intelligence gibt es auch kostenfreie Optionen im Bereich von Open Source-Tools angeboten. Bei der Erfassung von Informationen in Bezug auf Threat Intelligence gibt es verschiedene mögliche Herangehensweisen:
Der Malware-Disassembler: Mit diesen Tools wird durch Reverse-Engineering versucht, weitere Informationen über die Funktionalitäten von Malware in Erfahrung zu bringen. Dabei werden Sicherheitsingenieure bei relevanten Entscheidungen in Bezug auf die Abwehr von ähnlichen Angriffen in der Zukunft unterstützt.
Die Sicherheitsinformations- sowie Ereignismanagement(SIEM)-Tools: Mit den sogenannten SIEM-Tools erfolgt die Überwachung des Netzwerkes durch Teams mit dem Fokus auf die Sicherheit in Realzeit. Dabei erfolgt die Erfassung der relevanten Informationen über ungewöhnliche Verhaltensmuster sowie verdächtigen Datenverkehr.
Die weiteren Analysetools für den Verkehr im Netzwerk: Die analytischen Tools für den Traffic im Netzwerk sorgen für die Erfassung von Informationen im Bereich der Netzwerke. Ergänzend dazu werden die Aktivitäten des Netzwerkes aufgezeichnet. Mit diesen Informationen konnten Versuche von nicht gerechtfertigten Angriffen erleichtert werden.
Threat Intelligence-Communitys und Sammlungen von Ressourcen: Als wertvolle Informationsquelle in Bezug auf Bedrohungen liefern frei zugängliche Internetseiten, auf welche Indicators of Compromise bzw. generierte Daten über Bedrohungen gesammelt werden, vielfältige wichtige und relevante Informationen. Diese Communitys sind für die Unterstützung von kollaborativen Forschungen bekannt und bieten ergänzend dazu Hinweise für umsetzbare Verhinderungsmethoden oder Bekämpfungsmöglichkeiten von Bedrohungen.