Was versteht man unter Threat Intelligence? Definition und Erläuterung

Unter Threat Intelligence versteht man den Prozess der Identifizierung und Analyse von Cyberbedrohungen. Dabei werden als "Threat Intelligence" entweder die Daten selbst bezeichnet, die über eine potenzielle Bedrohung erfasst werden, oder der Prozess der Erfassung, Verarbeitung und Analyse dieser Daten, um sich ein umfassendes Bild von einer Bedrohung zu machen. Threat Intelligence-Daten werden zunächst gesichtet und im Kontext untersucht, um Probleme zu identifizieren und für jedes aufgespürte Problem eine spezifische Lösung zu entwickelt.

Dank digitaler Technologien ist die Welt von heute vernetzter denn je. Doch mit der zunehmenden Vernetzung steigt auch das Risiko von Cyberangriffen, wie Sicherheitsverletzungen, Datendiebstahl und Malware. Ein wichtiger Aspekt der Cybersicherheit ist die Bedrohungsanalyse oder Threat Intelligence. Lesen Sie in diesem Artikel, was Threat Intelligence ist, warum sie so wichtig ist und wie man sie einsetzt.

Was versteht man unter Threat Intelligence?

Der Begriff "Threat Intelligence" wird gelegentlich mit anderen Begriffen aus dem Bereich der Cybersicherheit zusammengeworfen. Meistens werden "Bedrohungsdaten" und "Threat Intelligence" als Synonyme verwenden, aber die beiden sind nicht dasselbe:

• Bedrohungsdaten sind eine Liste von möglichen Bedrohungen.
• Bei der Threat Intelligence wird das Gesamtbild betrachtet, die Daten werden in einem breiteren Kontext analysiert, um auf dieser Grundlage Entscheidungen über das weitere Vorgehen zu treffen.

Grundsätzlich können Unternehmen mithilfe von Threat Intelligence-Daten schnellere und fundiertere Sicherheitsentscheidungen treffen. Im Kampf gegen Cyberangriffe fördert sie vorausschauendes statt reaktives Verhalten.

Warum ist Threat Intelligence so wichtig?

Threat Intelligence ist ein wesentlicher Bestandteil einer jeden Cybersicherheitsumgebung. Ein CTI-Programm (Cyber Threat Intelligence) bietet folgende Vorteile:

• Verhindern von Datenverlust: Mit einem effektiven CTI-Programm können Unternehmen Cyberbedrohungen aufspüren und verhindern, dass bei Datenschutzverletzungen vertrauliche Informationen offengelegt werden.
• Richtlinien für Sicherheitsmaßnahmen: Durch die Identifizierung und Analyse von Bedrohungen können CTI-Lösungen Muster in den Angriffen erkennen, mit denen Unternehmen Sicherheitsmaßnahmen implementieren können, um sich vor künftigen Attacken zu schützen.
• Gegenseitige Unterstützung: Hacker werden immer raffinierter. Um hier mitzuhalten, müssen sich die Experten der Cybersicherheit untereinander austauschen, um eine gesammelte Wissensdatenbank zu schaffen und Cyberkriminalität wirksam zu bekämpfen.

Typen von Threat Intelligence

Threat Intelligence wird häufig in drei Kategorien unterteilt: strategisch, taktisch und operativ. Diese beiden sollen im Folgenden näher betrachtet werden:

Strategische Threat Intelligence:

Hier geht es in der Regel um eine allgemeine Analyse, die sich an eine nichttechnische Zielgruppe richtet – zum Beispiel an den Vorstand eines Unternehmens oder einer Organisation. Behandelt werden Themen der Cybersicherheit, die sich auf umfassendere Geschäftsentscheidungen auswirken können, sowie allgemeine Trends und die möglichen Beweggründe. Strategische Threat Intelligence basiert häufig auf offen zugänglichen Quellen wie Medienberichten, Whitepapers und Forschungsergebnissen.

Taktische Threat Intelligence:

Sie ist auf die unmittelbare Zukunft ausgerichtet, die Zielgruppe ist technisch versiert. Hierbei werden einfache Gefährdungsindikatoren (IoCs) identifiziert, nach denen IT-Teams suchen können, um bestimmte Bedrohungen innerhalb eines Netzwerks abzuwehren. Zu den IoCs gehören Elemente wie schädliche IP-Adressen, bekannte schädliche Domänennamen, ungewöhnlicher Datenverkehr, dubiose Anmeldeversuche oder eine Zunahme von Datei-/Download-Anfragen. Taktische Threat Intelligence ist die am einfachsten zu generierende Form der TI und läuft in der Regel vollautomatisch ab. Ihr Lebenszyklus ist eher kurz, da viele IoCs schnell veraltet sind.

Operative Threat Intelligence:

Hinter jedem Cyberangriff steht die Frage "Wer", "Warum" und "Wie". Die operative Threat Intelligence soll Antworten auf diese Fragen geben, indem Cyberangriffe im Nachhinein untersucht werden, um Rückschlüsse auf Absicht, Zeitpunkt und Ausgereiftheit des Angriffs zu ziehen. Operative Threat Intelligence erfordert mehr Ressourcen als taktische Threat Intelligence und hat einen längeren Lebenszyklus. Das liegt daran, dass Cyberangreifer ihre Taktiken, Techniken und Verfahren (TTPs) nicht so leicht ändern können wie ihre Tools, z. B. eine bestimmte Art von Malware.

Lebenszyklus von Cyber Threat Intelligence

Cybersicherheitsexperten verwenden im Zusammenhang mit Bedrohungsdaten das Konzept des Lebenszyklus. Ein typisches Beispiel für den Lebenszyklus einer Cyberbedrohung umfasst die folgenden Phasen: Richtung, Erfassung, Verarbeitung, Analyse, Verteilung und Feedback.

Phase 1: Richtung

In dieser Phase geht es darum, Ziele für das Threat Intelligence-Programm zu setzen. Dazu könnten gehören:

• Einschätzen, welche Aspekte der Organisation geschützt werden müssen, und eventuell Erstellen einer Prioritätenliste
• Ermitteln, welche Art der Threat Intelligence die Organisation benötigt, um ihre Vermögenswerte zu schützen und auf Bedrohungen zu reagieren
• Einschätzen, welche Folgen eine Sicherheitsverletzung für die Organisation haben könnte

Phase 2: Erfassung

In dieser Phase geht es um die Erfassung von Daten für die in Phase 1 festgelegten Ziele Sowohl Quantität als auch Qualität der Daten sind von entscheidender Bedeutung, um zu vermeiden, dass schwerwiegende Bedrohungsereignisse übersehen werden oder man sich durch Fehlalarme (False Positives) täuschen lässt. In dieser Phase müssen sich die Organisationen für mögliche Datenquellen entscheiden. Dazu können gehören:

• Metadaten aus internen Netzwerken und Sicherheitseinrichtungen
• Bedrohungsdaten von vertrauenswürdigen Cybersicherheitsanbietern
• Gespräche mit informierten Stakeholdern
• Open-Source-Nachrichtenseiten und -Blogs

Phase 3: Verarbeitung

Alle erfassten Daten müssen in ein Format gebracht werden, das die Organisation nutzen kann. Unterschiedliche Datenerhebungsmethoden erfordern unterschiedliche Mittel der Verarbeitung. So müssen beispielsweise Daten aus Gesprächen mit Menschen unter Umständen auf Fakten geprüft und mit anderen Daten abgeglichen werden.

Phase 4: Analyse

Sobald die Daten in einem brauchbaren Format vorliegen, müssen sie analysiert werden. Die Analyse ist der Prozess der Umwandlung von Informationen in Erkenntnisse, die in einem Unternehmen als Entscheidungsgrundlage herangezogen werden können. Zu diesen Entscheidungen kann gehören, ob die Investitionen in Sicherheitsressourcen erhöht werden sollen, ob eine bestimmte Bedrohung oder eine Reihe von Bedrohungen untersucht werden soll, welche Maßnahmen ergriffen werden müssen, um eine unmittelbare Bedrohung abzuwehren, welche Tools zur Erkennung von Bedrohungen benötigt werden usw.

Phase 5: Verteilung

Nach Abschluss der Analyse müssen die wichtigsten Empfehlungen und Schlussfolgerungen an die relevanten Stakeholder innerhalb der Organisation verteilt werden. Unterschiedliche Teams innerhalb der Organisation haben unterschiedliche Anforderungen. Um Informationen effektiv zu verteilen, sollte man sich fragen, welche Informationen die einzelnen Zielgruppen benötigen, in welchem Format und wie häufig.

Phase 6: Feedback

Anhand des Stakeholder-Feedbacks kann das Threat Intelligence-Programm verbessert und sichergestellt werden, dass es den Anforderungen und Zielen der jeweiligen Gruppe gerecht wird.

Am "Lebenszyklus" kann man erkennen, dass Threat Intelligence kein linearer, einmaliger Prozess ist. Vielmehr handelt es sich um einen rekurrierenden und iterativen Prozess, den Unternehmen zur kontinuierlichen Verbesserung nutzen.

Wer profitiert von Threat Intelligence?

Jeder mit Sicherheitsinteressen. Und vor allem, wenn Sie ein Unternehmen führen:

Reduzierte Risiken

Hacker suchen ständig nach neuen Wegen, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Cyber Threat Intelligence ermöglicht es Unternehmen, neue Schwachstellen frühzeitig zu erkennen, und so das Risiko von Datenverlusten oder Betriebsunterbrechungen zu verringern.

Vermeidung von Datenschutzverletzungen

Ein umfassendes System der Cyber Threat Intelligence sollte dazu beitragen, Datenschutzverletzungen zu vermeiden. Dies geschieht durch die Überwachung verdächtiger Domänen oder IP-Adressen, die versuchen, mit den Systemen eines Unternehmens zu kommunizieren. Ein gutes CTI-System blockiert verdächtige IP-Adressen im Netzwerk, die andernfalls Ihre Daten abgreifen könnten. Ohne CTI-System könnten Hacker im Rahmen eines DDoS-Angriffs (Distributed Denial of Service) das Netzwerk mit Pseudo-Datenverkehr überfluten.

Reduzierte Kosten

Datenschutzverletzungen sind teuer. Im Jahr 2021 betrugen die durchschnittlichen Kosten einer Datenschutzverletzung weltweit 4,24 Millionen Dollar (wobei dieser Wert je nach Branche variiert – am höchsten ist er im Gesundheitswesen). Zu diesen Kosten gehören unter anderem Anwaltskosten und Geldstrafen sowie Kosten für die Wiederherstellung nach einem Vorfall. Cyber Threat Intelligence kann Geld sparen, indem sie das Risiko von Datenschutzverletzungen senkt.

Im Wesentlichen helfen die Erkenntnisse aus der Threat Intelligence einem Unternehmen dabei, Cyberrisiken richtig einzuschätzen und zu erkennen, welche Schritte erforderlich sind, um diese Risiken zu mindern.

Auswahl des richtigen Threat Intelligence-Programms

Um die vielen Bedrohungen zu meistern, müssen Sie all Ihre Assets ständig im Blick haben. Hierzu benötigen Sie ein Programm, das die Aktivität in Ihrem Netzwerk überwacht, Probleme identifiziert und Daten bereitstellt, mit denen Sie fundierte Entscheidungen zum Schutz Ihrer Organisation treffen können. Folgende Funktionen sollte ein Threat Intelligence-Programm bieten:

individuelles Bedrohungsmanagement

Sie sollten sich für einen Anbieter entscheiden, der Ihr System rund um die Uhr überwacht, es analysiert, um Schwachstellen zu finden, und entsprechende Sicherheitsmaßnahmen bereitstellt. Viele Unternehmen im Bereich Cybersicherheit behaupten, hierzu in der Lage zu sein. Entscheiden Sie sich deshalb für einen Anbieter, der seine Lösung individuell auf Sie zuschneidet. Für Cybersicherheit gibt es keine Lösung von der Stange – glauben Sie also keinem Unternehmen, das Ihnen eine solche Lösung verkaufen will.

Threat Data Feeds

Sie benötigen einen im Minutentakt aktualisierten Feed von Webseiten, die auf einer Sperrliste stehen, sowie der schädlichen Akteure, die Sie im Auge behalten müssen.

Zugang zu Untersuchungen

Entscheiden Sie sich für einen Anbieter, der Ihnen die neuesten Untersuchungsdaten bereitstellt. So erfahren Sie, wie sich Hacker Zugang zu Systemen verschaffen, was ihre Ziele sind und wie sie diese erreichen. Mit diesen Informationen können Unternehmen fundierte Entscheidungen hinsichtlich der Cybersicherheit treffen.

echte Lösungen

Ein Threat Intelligence-Programm sollte Ihrem Unternehmen helfen, Angriffe zu identifizieren und Risiken zu mindern. Das Programm muss umfassend sein. Schließlich können Sie kein Programm gebrauchen, das nur potenzielle Probleme aufzeigt und keine Lösungen anbietet.

In einer sich ständig ausweitenden Bedrohungslandschaft können Cyberbedrohungen schwerwiegende Folgen für Ihr Unternehmen haben. Mit einer zuverlässigen Cyber Threat Intelligence können Sie Risiken senken, die Rufschädigungen und finanziellen Schaden bedeuten können. Zögern Sie nicht länger: Fordern Sie einen Demo-Zugang zum Kaspersky Threat Intelligence-Portal an und entdecken Sie die Vorteile, die es Ihrem Unternehmen bieten kann.

Produktempfehlungen:

• Kaspersky Enterprise Security Solutions and Services
• Kaspersky Threat Intelligence

Weitere Artikel:

• Vier Tipps zur Auswahl der richtigen Threat Intelligence-Lösung:
• Was ist Cybersicherheit?
• Was ist Cyberkriminalität?
• Was ist Internetsicherheit?