Threat Intelligence Feed (TI Feed)

Was ist ein Threat Intelligence Feed?

TI-Feeds liefern Informationen über Angriffe, einschließlich Zero-Day-Angriffe, Malware, Botnets und andere Sicherheitsbedrohungen. TI-Feeds sind wichtige Komponenten der Sicherheitsinfrastruktur, die dazu beitragen, Sicherheitsverletzungen zu erkennen und zu verhindern. Bedrohungsdaten können zur Umsetzung detaillierterer Sicherheitsrichtlinien sowie zur Identifizierung potenzieller Merkmale oder Verhaltensweisen im Zusammenhang mit dieser Bedrohung verwendet werden.

Aufklärung (Intelligence) ist in militärischen und anderen Kontexten, einschließlich Wirtschaft und Sicherheit, eine Information, die einer Organisation Entscheidungshilfe und möglicherweise einen strategischen Vorteil verschafft. Threat Intelligence ist ein Bereich innerhalb der Informationssicherheit, der sich auf das Sammeln, Analysieren und Weitergeben von Daten konzentriert, um Unternehmen dabei zu helfen, Einblick in ihre digitalen Risiken zu erhalten.

Bedrohungsdaten werden gesammelt, um Organisationen dabei zu helfen, aufkommende Bedrohungen in der Cybersicherheitslandschaft zu verstehen, einschließlich Zero-Day-Bedrohungen, fortgeschrittene anhaltende Bedrohungen und Exploits. Zu den Bedrohungsakteuren können auch interne und Partnerbedrohungen gehören, aber der Schwerpunkt liegt auf externen Quellen, die der Umgebung einer bestimmten Organisation den größten Schaden zufügen könnten.

Forscher, darunter Informationssicherheitsanalysten und Sicherheitsbeauftragte, sammeln Daten über mögliche Bedrohungen aus öffentlichen und privaten Quellen. Sie analysieren die Daten und erstellen kuratierte Listen oder Feeds mit potenziell gefährlichen Aktivitäten. Unternehmen und Sicherheitsexperten können diese Informationen dann nutzen, um potenzielle Risiken zu ermitteln und festzustellen, wann sie auf eine Cyberbedrohung reagieren müssen.

Quellen für Bedrohungsdaten

Zu den Arten von TI-Feeds gehören kostenlose Indikator-Feeds, kostenpflichtige Feeds, Bulletins, interne Informationsbeschaffung und strategische Partnerschaften. Organisationen innerhalb der Netzwerksicherheits-Community bieten kostenlose, quelloffene TI-Feeds an, darunter das Internet Storm Center des SANS Institute und das Automated Indicator Sharing Program des U.S. Department of Homeland Security. Solche Feeds werden manchmal als Bedrohungsdaten und nicht als Bedrohungsinformationen bezeichnet, da die Daten nicht analysiert und verarbeitet wurden, wie es der Begriff „Informationen“ impliziert.

Weitere Optionen sind kommerzielle Produkte, die geprüfte und aggregierte Daten liefern, sowie Informationsaustausch-Communities, die sich auf bestimmte Branchen oder Schwerpunktbereiche konzentrieren. Kostenlose Feeds müssen hinsichtlich ihrer Genauigkeit am meisten überprüft werden, aber auch Informationen aus kostenpflichtigen Feeds und Bulletins sollten Regressionstests unterzogen und Internetprotokolladressen (IP) und Domänen untersucht werden, um zu vermeiden, dass versehentlich zu viele Adressen blockiert werden.

Merkmale von Threat-Intelligence-Plattformen

Bedrohungsinformationsplattformen sind entstanden, um Unternehmen und Sicherheitsexperten dabei zu helfen, mehrere TI-Feeds gleichzeitig zu sichten und mit anderen Sicherheitsprodukten und -tools zu verknüpfen, die sie gegebenenfalls verwenden. Zu den gemeinsamen Merkmalen der Plattformen gehören:

Security Analytics. Das Hauptziel von Threat-Intelligence-Plattformen besteht darin, einer Organisation oder einem Unternehmen eine einzige, einheitliche Schnittstelle zur Verfügung zu stellen, um die Sammlung und Analyse von Threat-Intelligence-Daten zu optimieren. Plattformen können mit Sicherheitstools wie Sicherheitsinformations- und Ereignisverwaltung, Firewalls der nächsten Generation (NGFW) und Endpunkterkennung und -Reaktion integriert werden. Sicherheitsanalysten oder IT-Security-Mitarbeiter müssen unter Umständen speziell von der Plattform geschult werden, um die Informationen der Datenfeeds zu verwalten.

Konsolidierte Datenfeeds. Threat-Intelligence-Plattformen stellen Datenfeeds aus mehreren Quellen zusammen, zum Beispiel aus der globalen Datenbank eines Anbieters und aus öffentlich verfügbaren Feeds. Beispiele für Datenfeeds können IP-Adressen, bösartige Domänen/URLs, Phishing-URLs, Malware-Hashes und mehr sein.

Warnungen und Berichte. Die Plattformen liefern in der Regel Echtzeitwarnungen und erstellen Berichte auf der Grundlage von täglichen, monatlichen oder vierteljährlichen Daten. Die Berichte können Informationen über neue Bedrohungen und die Motive der Bedrohungsakteure enthalten.

Anwendungsfälle für Bedrohungsdaten

Unternehmens- und IT-Führungskräfte können die TI-Feeds und die von ihnen gelieferten Daten nutzen, um viele Aspekte der Informationssicherheit zu verbessern, darunter:

Sicherheitsmaßnahmen. Ein Bedrohungsdatenprogramm kann Sicherheitsteams in die Lage versetzen, Angriffe zu erkennen, zu stören und wirksame Strategien für die Abwehr zu entwickeln. Bedrohungsdaten können den Sicherheitsteams auch dabei helfen, Angriffe einzudämmen, die bereits im Gange sind.

Reaktion auf Vorfälle (Incident Response). Sicherheitsanalysten nutzen Bedrohungsdaten, um Bedrohungsakteure, ihre Methoden und die potenziellen Vektoren zu identifizieren, über die sie sich Zugang zu Systemen verschaffen. Mit diesem Wissen kann das Sicherheitspersonal dann vorhersagen, welche Systeme am meisten gefährdet sind, und seine Ressourcen auf den Schutz dieser Systeme konzentrieren.

Schwachstellenmanagement. Bedrohungsdaten können Sicherheitsexperten bei der Bekämpfung von Bedrohungen helfen, indem sie genaue und zeitnahe Informationen über neue und aufkommende Bedrohungen, Schwachstellen und Exploits liefern.

Risikoanalyse. Bedrohungsdaten liefern kontextbezogene Daten für Unternehmen bei der Bewertung ihres Risikoprofils. Sie sind besonders hilfreich für diejenigen, die Risikomodelle verwenden, um Investitionsprioritäten festzulegen.

Betrugsprävention. Threat Intelligence hilft bei der Betrugsprävention, indem es Unternehmen das nötige Wissen vermittelt, um Bedrohungen zu erkennen, bevor sie größeren Schaden anrichten können. So können Unternehmen beispielsweise Bedrohungsdaten nutzen, um Typosquatting (URL-Hijacking) , kompromittierte Daten und Zahlungsbetrug zu verhindern.

Sicherheitsverantwortliche. Sicherheitsverantwortliche können von der Nutzung von Bedrohungsdaten als kritische Ressource profitieren, um geschäftliche und technische Risiken zu bewerten und diese Risiken dem Management mitzuteilen.