Was Ist Threat Intelligence?

Threat Intelligence oder Cyber Threat Intelligence (CTI) ist ein Fachbereich, der sich mit der Erfassung, Analyse und Verbreitung von Informationen über aktuelle und aufkommende Bedrohungen für die digitale Sicherheit von Organisationen und Einzelpersonen befasst. Threat Intelligence bietet Einblicke in die gesamte Cybersicherheits-Bedrohungslandschaft, darunter Bedrohungen wie viele Arten von Ransomware, Malware, Phishing-Angriffen, Advanced Persistent Threats (APTs), Denial-of-Service-Angriffen, Software-Exploits und Schwachstellen, Insider-Bedrohungen, Zero-Day-Exploits, Lieferkettenangriffen und Botnets.

Threat Intelligence ist ein wichtiger Beitrag, um die Angriffsfläche zu reduzieren und mehrschichtige Cybersicherheitsmaßnahmen umzusetzen. Sie hilft Unternehmen, die Risiken von Bedrohungen zu verstehen, und Sicherheitsteams, Cyberangriffe vorherzusehen, zu erkennen und abzuwehren, bevor sie auftreten.

Threat Intelligence basiert auf Informationen, die aus verschiedenen Quellen stammen.

• Open-Source Intelligence(OSINT) sind öffentlich verfügbare Daten, die zur Erkennung neuer Bedrohungen verwendet werden können.
• Über Dark-Web-Foren und Websites kaufen und verkaufen Cyberkriminelle Daten, Code und Tools für Cyberangriffe und besprechen bevorstehende Exploits. Die Überwachung dieser Websites kann Unternehmen dabei unterstützen, zu erkennen, mit welchen Bedrohungen sie als Nächstes konfrontiert sein könnten.
• Social-Media-Websites im Surface Web sind auch eine nützliche Quelle für die Überwachung der Aktivitäten von Cyberkriminellen.
• Indicators of Compromise (IOCs) sind Dinge wie schädliche URLs, IP-Adressen und Malware-Signaturen, die Sicherheitslösungen zeigen können, worauf sie bei der Überwachung von Traffic und Aktivität achten müssen.
• Vorfallsberichte und -protokolle bieten Einblicke in frühere Angriffe, potenzielle Schwachstellen und mögliche verdächtige Aktivitäten.

Sobald die Rohdatenerfassung für die Threat Intelligence abgeschlossen ist, werden die Daten von Cybersicherheitsexperten analysiert, die maschinelles Lernen und Automatisierung nutzen, um sicherzustellen, dass sie sowohl relevant als auch nutzbar sind. Dieser Prozess ist entscheidend, um tatsächliche Bedrohungen zu identifizieren und False Positives zu verwerfen, die Sicherheitsteams ablenken und zu einer Abstumpfung gegenüber Warnungen führen können. Nach der Analyse des Bedrohungskontexts sowie der Glaubwürdigkeit und Zuverlässigkeit der Informationen können die Bedrohungsdaten an Organisationen und Sicherheitsteams weitergegeben werden, um die Entscheidungsfindung und Cybersicherheitsstrategien zu unterstützen.

Cyberangriffe können den Betrieb eines Unternehmens lahmlegen, seinen Ruf schädigen, die Produktivität beeinträchtigen, zum Verlust wichtigen geistigen Eigentums führen und den Verlust von Geschäftschancen sowie Millionenbeträgen zur Folge haben. Threat Intelligence spielt eine entscheidende Rolle bei der Abwehr von Cyberbedrohungen.

• Proaktive Sicherheitsstrategie: Threat Intelligence ermöglicht Unternehmen, starke Programme für das Bedrohungsmanagement und eine proaktive Sicherheitsstrategie zu verfolgen. Mit Threat Intelligence können Teams die DNS-Sicherheit verbessern, den Schutz vor Ransomware verstärken, sich gegen die Ausnutzung von Schwachstellen wappnen und API-Endpunkte sichern. Angesichts der zunehmenden Komplexität von Cyberbedrohungen ermöglicht Threat Intelligence Sicherheitsteams und ihren Organisationen, neuen Angriffsvektoren mehrere Schritte voraus zu sein, anstatt bei Angriffen lediglich zu reagieren.
• Mehr Situationsbewusstsein: Threat-Intelligence-Tools bieten Sicherheitsteams ein tieferes Verständnis der aktuellen Cyberbedrohungslandschaft sowie der Taktiken, Techniken und Verfahren (TTPs), die von Cyberkriminellen verwendet werden.
• Verbesserte Vorfallsreaktion: Da es unmöglich ist, jeden Angriff abzuwehren, müssen Unternehmen über einen wirksamen Plan zur Reaktion auf Vorfälle verfügen, mit dem Bedrohungen schnell identifiziert, Abhilfemaßnahmen beschleunigt, Schäden minimiert und Daten und Systeme so schnell wie möglich wieder online gebracht werden können.
• Verbessertes Risikomanagement: Threat Intelligence unterstützt Führungskräfte eines Unternehmens bei der Entwicklung intelligenterer Risikomanagement-Strategien.
• Verbesserte Compliance: Threat-Intelligence-Programme können Unternehmen dabei unterstützen, die Einhaltung gesetzlicher Rahmenbedingungen zu gewährleisten, die bestimmte Sicherheitsmaßnahmen und -bereitschaftsstatus erfordern.
• Intelligentere Sicherheitsprogramme: Mithilfe von Threat Intelligence-Services können Unternehmen ihre Sicherheitsmaßnahmen auf die Bedrohungen zuschneiden, die ihre IT-Umgebungen am ehesten beeinträchtigen könnten. Hervorragende Intelligenz unterstützt die Priorisierung von Sicherheitskontrollen, regelt Pläne zur Vorfallsreaktion und lenkt Aktivitäten zur Bedrohungssuche.
• Fundierte Investitionen: Stakeholder und Entscheidungsträger wie Führungskräfte, Vorstände, CISOs und CIOs verlassen sich auf Bedrohungsinformationen, um Investitionen in Sicherheitslösungen zu bestimmen.

Die Verbreitung von Threat Intelligence erfolgt über eine Vielzahl von Kanälen.

• Threat-Intelligence-Plattformen aggregieren Informationen und verteilen sie in Echtzeit an Stakeholder und Security Operations Center (SOC). Eine Threat-Intelligence-Plattform kann den Informationslebenszyklus verwalten und eine einheitliche Übersicht über Bedrohungen, Schwachstellen und IOCs bieten, die für das Unternehmen von Bedeutung sind. Threat-Intelligence-Plattformen bieten in der Regel Tools zum Filtern und Priorisieren von Informationen, um sicherzustellen, dass Sicherheitsteams die relevantesten Daten erhalten. Integrationen in andere Sicherheitssysteme wie SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) und Firewalls stellen sicher, dass alle Mitarbeiter im Unternehmen zeitnah und umfassend auf Bedrohungsinformationen zugreifen können.
• E-Mail-Warnungen und Bulletins, die von Cybersicherheitsexperten veröffentlicht werden, bieten hilfreiche Einblicke in die neuesten Informationen zu kritischen Schwachstellen oder laufenden Angriffen.
• Automatisierte Threat-Intelligence-Feeds können direkte Eingaben in Sicherheitstools und -Systeme liefern. Bedrohungsdaten-Feeds ermöglichen Echtzeitaktualisierungen von Erkennungsmethoden und Reaktionen auf neu aufkommende Bedrohungen.
• Webportale und Dashboards bieten Schnittstellen zur Anzeige von Bedrohungsinformationen in Echtzeit. Dashboards sind in der Regel anpassbar, sodass Sicherheitsteams sich auf die Art von Informationen konzentrieren können, die am besten auf die Anforderungen des Unternehmens abgestimmt sind.
• Berichte und Whitepaper von Sicherheitsanalysten bieten detaillierte Informationen, mit denen Sicherheitsteams komplexe Bedrohungen analysieren und langfristige Strategien entwickeln können.

Threat Intelligence lässt sich in vier Hauptkategorien unterteilen.

• Taktische Threat Intelligence konzentriert sich auf die unmittelbaren, technischen Indikatoren für Bedrohungen. Indikatoren wie Malware-Signaturen und schädliche IP-Adressen können Sicherheitsteams bei der Konfiguration von Firewalls, Endpunktschutz und anderen Sicherheitslösungen unterstützen.
• Operative Threat Intelligence liefert Informationen für Pläne zur Vorfallsreaktion, indem sie die Spezifika von Cyberangriffen und böswilligen Kampagnen sowie die TTPs (Tactics, Techniques and Procedures) von Bedrohungsakteuren aufdeckt.
• Strategische Threat Intelligence ermöglicht ein umfassendes Verständnis der Cyberbedrohungslandschaft und liefert wertvolle Einblicke für langfristige Entscheidungen und Risikomanagement.
• Technische Threat Intelligence liefert spezifische Nachweise rund um laufende Angriffe. Dazu gehören E-Mail-Inhalte und Phishing-Kampagnen, IP-Adressen von Command-and-Control-Servern oder Code von bekannter Malware, die auf Medien in einer IT-Umgebung gefunden wird.

Die Akamai Security Intelligence Group ist ein globales Team aus erstklassigen Forschern, Ingenieuren, Strategen und Datenwissenschaftlern mit einem breiten Spektrum an Fachwissen und Sicherheitsdisziplinen. Unsere Datenquellen umfassen die riesige Akamai Cloud, Open Sources, die Zusammenarbeit mit Dritten und Dark Web Intelligence. Darüber hinaus haben wir unsere eigenen Algorithmen und Tools entwickelt. Diese helfen uns dabei, unsere Forschungsergebnisse bereitzustellen und die Sicherheitslösungen von Akamai auf dem neuesten Stand zu halten.