Threat Intelligence Feed (TI Feed)

Ein Threat Intelligence Feed (TI Feed) ist ein fortgesetzter Datenstrom, der über potenzielle oder aktuelle Gefahren für die Sicherheit einer Organisation informiert. 

Als „Intelligence“ werden beim Militär und Sicherheits-Unternehmen Informationen bezeichnet, die einer Organisation die Grundlagen für Entscheidungen oder auch strategische Vorteile liefern. Die Daten eines Threat Intelligence Feeds versorgen den Anwender mit stets aktualisierten Informationen über mögliche Gefahrenquellen.

Quellen von Threat Intelligence umfassen kostenlose Anzeige-Feeds, bezahlte Feeds, Bulletins, interne Informations-Sammlungen und strategische Partnerschaften. Organisationen innerhalb der Netzwerksicherheits-Community, zu denen unter anderem SANS und CERT zählen, machen TI Feeds auf Open-Source-Basis kostenlos verfügbar. Solchen Feeds wird manchmal nachgesagt, eher aus Bedrohungsdaten als als Threat Intelligence zu bestehen, da die Daten weder analysiert noch aufbereitet wurden, auch wenn der Begriff Intelligence dies impliziert. Andere Optionen sind kommerzielle Produkte, die geprüfte und aggregierte Daten beinhalten und geschlossene Communities, in denen lediglich diejenigen Mitglieder Informationen untereinander teilen, die sich oftmals auf spezielle Branchen oder Schwerpunkte konzentrieren.

Laut dem Sicherheitsspezialisten Matthew Cwieka lassen kostenlose Feeds oftmals hinsichtlich ihrer Genauigkeit zu wünschen übrig. Allerdings sollten auch Informationen von kommerziellen Anbietern und Bulletins immer einem Regressionstest unterzogen werden. Auch die genannten IP-Adressen und Domains sollten immer geprüft werden, um die versehentliche Sperrung zu vieler Adressen zu vermeiden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!