Zpedia 

/ Was ist Threat Intelligence?

Was ist Threat Intelligence?

Threat Intelligence bezeichnet das Erfassen, Analysieren und Weitergeben von Informationen über vermutete, aufkommende und aktive Cyberbedrohungen, einschließlich Schwachstellen, TTPs von Bedrohungsakteuren und IOCs (Indicators of Compromise). Sicherheitsteams nutzen Threat Intelligence, um Risiken zu identifizieren und zu mindern, Sicherheitskontrollen zu verstärken und proaktive Reaktionen auf Vorfälle zu ermöglichen.
Mehr zu ThreatLabz Global Internet Threat Insights
Schutz vor Cyberbedrohungen
  1. Deshalb ist ZTNA wichtig
  2. Arten von Informationen
  3. Wer profitiert
  4. 6-stufiger Lebenszyklus
  5. Verfügbare Tools
  6. Anwendungsfälle
  7. Zscalers Rolle
  8. Empfohlene Ressourcen
  9. Ähnliche Themen

Warum ist Threat Intelligence wichtig?

Angesichts einer unberechenbaren Bedrohungslage, die sich stetig verschärft, spielt die Bedrohungsaufklärung eine entscheidende Rolle beim Schutz der User, Daten und des Rufs von Unternehmen, indem sie ihnen hilft, potenzielle Bedrohungen besser zu verstehen und darauf zu reagieren. Durch das Verständnis der mit neuen Bedrohungen und Schwachstellen verbundenen IOCs und TTPs können Unternehmen Sicherheitswarnungen in den Kontext setzen. So können sie schwerwiegende Bedrohungen priorisieren und erfolgreiche Angriffe verhindern.

Mit Threat Intelligence können Unternehmen auch Risiken genau quantifizieren, was die Einhaltung, Bewertung und das Reporting in Übereinstimmung mit Regelwerken wie der DSGVO, HIPAA und den Regeln der SECunterstützt,  Darüber hinaus ist es ein leistungsstarkes Tool für Strafverfolgungsbehörden und andere Bedrohungsjäger, die daran arbeiten, Angriffe zu neutralisieren oder ihre Täter aufzuspüren und so zu einer sichereren digitalen Umgebung für alle beizutragen.

Bedrohungsinformationen können aus vielen Datentypen (Netzwerktelemetrie, Endgeräteprotokolle, Malware-Signaturen und -Samples usw.) und Datenquellen stammen – unternehmenseigene Rohdaten, Threat-Feeds, Human-Intelligence-Teams, Dark-Web-Foren usw.

Was bringt Threat Intelligence?

Mit den richtigen Tools und dem richtigen Fachwissen zum Aggregieren, Analysieren und Korrelieren dieser Daten gewinnen Unternehmen datenbasierte Erkenntnisse, die sie bei Folgendem unterstützen können:

  • Bekannte und neue Bedrohungen und Schwachstellen identifizieren, die User, Daten oder Infrastruktur gefährden könnten
  • Risiken basierend auf Schweregrad und Relevanz für die Organisation priorisieren
  • Sicherheitsmaßnahmen optimieren, um den Schwerpunkt auf eine proaktive Verteidigung anhand  von Warnzeichen für aufkommende Bedrohungen zu legen
  • Die Reaktion auf, Behebung von und Wiederherstellung nach Vorfällen beschleunigen, um die Auswirkungen einer Sicherheitsverletzung zu reduzieren
  • Verhaltensmuster und anderen IOC-Kontext zuordnen, um Bedrohungsakteure und ihre Motive zu identifizieren
  • Einhaltung gesetzlicher Vorschriften unterstützen, um Unternehmen vor Bußgeldern und rechtlichen Konsequenzen zu schützen

Welche Arten von Bedrohungsinformationen gibt es?

Verschiedene Arten von Bedrohungsinformationen helfen Teams dabei, unterschiedliche Sicherheitsentscheidungen zu treffen. Allgemein gesagt lassen sie sich nach Verwendungsart kategorisieren:

  • Strategische Bedrohungsinformationen bieten einen umfassenden Überblick über die Bedrohungslandschaft und die Motive und Fähigkeiten der Bedrohungsakteure, um bei der langfristigen Entscheidungsfindung rund um Sicherheitsprogramm und -ausgaben zu helfen. Beispiel: Daten über einen staatlichen Akteur, der Ihre Branche ins Visier nimmt.
  • Taktische Bedrohungsinformationen bieten Einblicke in spezifische Angriffsvektoren, IOCs, TTPs und mehr, um Teams für die Reaktion auf Vorfälle und Sicherheit dabei zu unterstützen, aktuelle Bedrohungen und laufende Angriffe zu identifizieren und zu unterbinden. Beispiel: Datei-Hash einer neuen Malware-Variante, die sich über Phishing verbreitet
  • Mit operativen Bedrohungsinformationen kann sich das Security Operations Center (SOC) einen Überblick über die alltäglichen Risiken — aktive Bedrohungen, Schwachstellen und laufende Angriffe — verschaffen und so die Erkennung und Reaktion in Echtzeit unterstützen. Beispiel: IP-Adressen, die an einem DDoS-Angriff auf Ihr Unternehmen beteiligt sind
  • Technische Bedrohungsinformationen sind detaillierte, granulare Bedrohungsinformationen, die Sicherheitsteams dabei helfen, Sicherheitsrichtlinien und andere Gegenmaßnahmen für einen wirksameren Schutz zu verfeinern. Beispiel: CVE- und Patch-Daten für eine bestimmte Software-Schwachstelle

Es ist auch möglich, Bedrohungsinformationen anhand ihres Ursprungs zu kategorisieren:

  • Open-Source-Informationen stammen aus öffentlichen Quellen wie Bedrohungs-Feeds, Blogs, Foren und Repositorys. Open-Source-Informationen sind oft am einfachsten zugänglich, aber es ist wichtig zu überprüfen, ob sie aus einer vertrauenswürdigen Quelle stammen.
  • Closed-Source-Informationen stammen aus privaten oder vertraulichen Quellen (in der Regel Partner oder Service-Provider) und können detaillierter sein als Open-Source-Informationen, sind jedoch häufig kostenpflichtig.
  • Human Intelligence stammt aus menschlichen Quellen und wird durch Interviews, Verhöre oder sogar Überwachung und Spionage gesammelt. Human Intelligence enthält oft die direktesten Insiderinformationen, kann aber schwierig zu beschaffen sein.

Welche Indicators of Compromise gibt es?

Indicators of Compromise (IOCs), die aus einer beliebigen Anzahl von Informationsquellen gesammelt werden, sind Beweisstücke, die dazu beitragen, potenzielle Sicherheitsverletzungen zu identifizieren und darauf zu reagieren, indem sie Analysten Hinweise auf die Herkunft eines Cyberangriffs, dessen Verhalten oder dessen Auswirkungen liefern. Gängige IOCs:

  • IP-Adressen und Domainnamen, die bekannten Bedrohungsakteuren zugeordnet sind
  • URLs, die mit Phishing oder der Verbreitung von Malware in Zusammenhang stehen
  • Malware-Signaturen und Datei-Hashes von Schadcode
  • E-Mail-Adressen, die mit Phishing in Verbindung stehen
  • Registrierungsschlüssel, die zur Speicherung und Persistenz hinzugefügt werden
  • Dateinamen und Verzeichnisse, die mit schädlichen Aktivitäten in Zusammenhang stehen
  • Anomale oder nicht autorisierte Anmelde-/Zugriffsversuche
  • Ungewöhnliche Muster und Spitzen im Netzwerk-Traffic
  • Abweichungen vom typischen User- oder Systemverhalten
  • Anzeichen für Datenexfiltration oder ungewöhnliche Datenübertragungen
  • Geringe Performance (z. B. unerwartete CPU-Auslastung und Festplattenaktivität)
  • Ungewöhnliche laufende Prozesse oder Services

Wer profitiert von Threat Intelligence?

Bedrohungsinformationen sind für alle von Nutzen, die am Schutz digitaler Ressourcen, sensibler Daten oder der Betriebskontinuität interessiert sind, da sie wertvolle Informationen zur Verbesserung der Sicherheitsmaßnahmen liefern:

  • Organisationen aller Größen und Branchen: Bedrohungsinformationen geben Sicherheitsteams umsetzbare Erkenntnisse zum Aufbau stärkerer Abwehrmaßnahmen. Führungskräfte, Vorstandsmitglieder und andere Entscheidungsträger können es als Grundlage für Entscheidungen zu Sicherheitsinvestitionen, Risikomanagement und Compliance nutzen.
  • Regierungs- und Strafverfolgungsbehörden: Bedrohungsinformationen sind von entscheidender Bedeutung, damit Organisationen des öffentlichen Sektors effizienter auf Bedrohungen für kritische Infrastrukturen, die öffentliche Sicherheit und die nationale Sicherheit reagieren und diese aufhalten können.
  • Cybersicherheitsbranche und -community: Anbieter und Anwender von Cybersicherheitslösungen — Forscher, Analysten, ethische Hacker usw. — können Bedrohungsdaten nutzen, um effektivere Sicherheitslösungen zu entwickeln, Trends zu untersuchen oder Gegenmaßnahmen zu verfeinern, wodurch eine Feedbackschleife entsteht, die das gesamte digitale Ökosystem stärkt.

Was ist der Cyberthreat-Intelligence-Lebenszyklus?

Der Threat-Intelligence-Lebenszyklus ist der Inbegriff der oben genannten Feedbackschleife: eine Reihe von Phasen, die Unternehmen durchlaufen müssen, um Bedrohungsinformationen effektiv zu nutzen und — was entscheidend ist — sie in Zukunft noch effektiver zu nutzen Konkret handelt es sich um folgende sechs Phasen:

  1. Orientierung: Die Stakeholder legen die Ziele, Prioritäten, Ressourcenzuweisungen und den Gesamtumfang ihres Threat-Intelligence-Programms fest.
  2. Datenerfassung: Die Organisation sammelt Daten aus kostenpflichtigen oder Open-Source-Bedrohungsfeeds, internen Protokollen, von menschlichen Analysten, Partnern usw.
  3. Verarbeitung: Analysten und automatisierte Tools bereinigen und normalisieren gesammelte Daten, überprüfen Quellen und bestätigen ihre Zuverlässigkeit, um sie für die Analyse vorzubereiten.
  4. Analyse: Analysten und Tools identifizieren Muster, Anomalien und potenzielle Bedrohungen in den Daten und korrelieren diese dann, um umsetzbare Erkenntnisse zu gewinnen, die bei der Priorisierung und Behebung kritischer Risiken helfen.
  5. Verbreitung: Sicherheitsteams berichten den Stakeholdern, um Erkenntnisse, Warnungen und Empfehlungen weiterzugeben. Die Teams integrieren die Bedrohungsinformationen in ihre Tools und Prozesse, um die Bedrohungserkennung, -prävention und -reaktion in Echtzeit zu verbessern.
  6. Feedback: Unternehmen müssen ihr Threat-Intelligence-Programm kontinuierlich bewerten und verfeinern und dabei das Feedback von Teams für die Reaktion auf Vorfälle nutzen. Regelmäßige Überprüfungen helfen dabei, Ziele und Prioritäten an Veränderungen in der Bedrohungslandschaft und im Unternehmen selbst anzupassen.

Welche Threat-Intelligence-Tools gibt es?

Es gibt viele Tools auf dem Markt, die Unternehmen dabei unterstützen sollen, Bedrohungsinformationen zu sammeln, zu korrelieren, zu analysieren und umzusetzen.

Erfassung und Aggregation

  • Bedrohungsfeed-Aggregatoren sammeln und konsolidieren Daten aus Open- und/oder Closed-Source-Feeds
  • Deception-Technologien (z. B. Honeypots) ködern Angreifer und erfassen Daten zu ihrem Verhalten
  • Threat-Intelligence-Plattformen (TIPs) erfassen, organisieren und übermitteln Bedrohungsdaten aus verschiedenen Quellen, um umsetzbare Erkenntnisse zu gewinnen

Korrelation

  • Threat-Intelligence-Feeds stellen vorkorrelierte Informationen zur schnellen Nutzung bereit
  • SIEM-Systeme (Security Information and Event Management) korrelieren Bedrohungsdaten mit Netzwerkereignissen
  • XDR-Plattformen (Extended Detection and Response) korrelieren Daten aus unterschiedlichen Quellen (z. B. Netzwerktelemetrie, Endgeräteereignisse, IAM, E-Mail, Produktivitätssuiten)
  • SOAR-Plattformen (Security Orchestration, Automation and Response) automatisieren die Reaktion auf der Grundlage korrelierter Informationen

Analyse

  • Tools zur Bedrohungsanalyse werden durch KI und ML unterstützt und analysieren Daten, um Muster und Trends zu erkennen
  • Plattformen zum Austausch von Bedrohungsinformationen erleichtern die gemeinsame Analyse zwischen Organisationen
  • Sandboxes analysieren und führen verdächtige Dateien und URLs in isolierten Umgebungen aus

Ausführung

  • Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) blockieren oder warnen auf der Grundlage von Bedrohungsdaten vor bösartigen Aktivitäten
  • Richtlinienmanagementtools aktualisieren Richtlinien in u.a. Firewalls und Proxys auf der Grundlage bekannter schädlicher IP-Adressen, Domains, Signaturen usw.
  • EDR-Lösungen (Endpoint Detection and Response) stellen gefährdete Endgeräte unter Quarantäne oder beheben Probleme
  • Tools zur Bedrohungssuche unterstützen die proaktive Bedrohungssuche auf der Grundlage der vorliegenden Informationen

Wie verbessert maschinelles Lernen Threat Intelligence?

Maschinelles Lernen (ML) verbessert die Bedrohungsaufklärung durch die Arbeit mit einer Geschwindigkeit, einem Umfang und einer ständigen Verfügbarkeit, die menschliche Bediener nicht erreichen können. Die modernen ML-Modelle von heute werden anhand riesiger Datensätze trainiert, was sie zu hervorragenden Werkzeugen für die Erkennung von Mustern, Verhaltensanomalien, Korrelationen und anderen komplexen Zusammenhängen mit einer sehr geringen Rate an Falschmeldungen macht.

Da ML-Tools die mühsamere und langwierigere Arbeit der Threat Intelligence übernehmen, haben menschliche Analysten mehr Zeit für Projekte, die kreatives Denken und Verständnis für menschliches Verhalten, Kontext und Motivation erfordern. Letztendlich sind sie zusammen am besten

Anwendungsfälle für Threat Intelligence

Threat Intelligence zählt zu den leistungsstärksten und vielseitigsten Tools, die Sicherheitsteams zur Verbesserung von Schutz, Behebungsmaßnahmen und Sicherheitsstatus insgesamt zur Verfügung stehen.

Bedrohungserkennung, -prävention und -reaktion

Bedrohungsinformationen unterstützen Sicherheitsteams bei der proaktiven Identifizierung und Eindämmung von Bedrohungen. Mithilfe von IOCs werden böswillige Aktivitäten erkannt, Richtlinien verfeinert und die Abwehr gestärkt. Darüber hinaus verbessern sie die Reaktion auf Vorfälle, indem sie den Bedrohungs- und Threat-Hunting-Experten zeitnah genaue Daten liefern, mit deren Hilfe diese Anzeichen von Kompromittierung, lateraler Bewegung und versteckten Bedrohungen identifizieren können.

Schwachstellenmanagement und Risikobewertung

Mithilfe von Bedrohungsinformationen können Unternehmen die Behebung von Schwachstellen je nach Risiko priorisieren und Einblicke in ihre allgemeine Cyber-Risikolage gewinnen, um die potenziellen Auswirkungen neuer Bedrohungen abzuschätzen. Darüber hinaus sind sie von unschätzbarem Wert für die Bewertung und Überwachung der Sicherheitslage von Drittanbietern und Lieferanten, um Sicherheitsrisiken in der Lieferkette zu verstehen und zu mindern.

Austausch von Bedrohungsinformationen und Entscheidungsfindung

Die Zusammenarbeit zwischen Branchen und Behörden ist eine entscheidende Voraussetzung für die proaktive Abwehr von Cyberbedrohungen. Der Austausch von Informationen über neu auftretende Bedrohungen, Taktiken und Sicherheitslücken stärkt unsere kollektive Abwehr und hilft Stakeholdern, die richtigen strategischen Entscheidungen sowohl für die Sicherheit als auch für die Ziele ihrer Organisation zu treffen.

 

Zscalers Rolle bei Threat Intelligence

Das Zscaler ThreatLabz-Team für Threat Intelligence und Sicherheitsforschung analysiert 500 Billionen Datenpunkte aus der weltweit größten Security Cloud und blockiert 9 Milliarden Bedrohungen pro Tag. Das Team verfolgt die raffiniertesten staatlichen und cyberkriminellen Bedrohungsakteure und ihre TTPs, um neue Angriffe und Trends zu erkennen.

Das Forschungsteam von ThreatLabz hat Dutzende von Zero-Day-Schwachstellen in beliebten Anwendungen entdeckt und mit den Anbietern zusammengearbeitet, um die zugrunde liegenden Probleme zu beheben. ThreatLabz hat außerdem eine eigene Malware-Automatisierungsplattform entwickelt, die in die Zscaler-Cloud integriert ist und Bedrohungsindikatoren identifizieren und extrahieren kann, um unsere Kunden in großem Umfang zu schützen.

Erhalten Sie aktuelle Einblicke in die Bedrohungslage, Forschungsergebnisse und umsetzbare Informationen von Zscaler ThreatLabz.

Empfohlene Ressourcen

Ransomware-Report von ThreatLabz 2023
Zum Report
ThreatLabz-Report: Phishing 2024
Zum Report
Blog von Zscaler ThreatLabz: Sicherheitsforschung
Die neuesten Beiträge ansehen
Zscaler ThreatLabz auf X (Twitter)
Die neuesten Beiträge ansehen
Zscaler ThreatLabz: GitHub
Die neuesten IOCs, Ransomware-Hinweise und Tools ansehen
Zscaler ThreatLabz: Cloud-Aktivitäts-Dashboard
Live-Updates ansehen

01 / 04