Anwendungsfälle und Beispiele für Threat Intelligence

Häufige Beispiele für Threat Intelligence:

• Kompromittierungsindikatoren (Indicators of Compromise, IoCs)
• Taktiken, Techniken und Verfahren (Tactics, Techniques, Procedures – TTPs)
• Zuordnung von Angreifern
• Informationen zu Sicherheitslücken
• Threat-Intelligence-Feeds

Sie können einzeln oder zusammen verwendet werden und dienen als präventiver, proaktiver Ansatz zum Schutz von Systemen und sensiblen Informationen.

IoCs sind forensische Artefakte, die auf potenzielle Sicherheitsvorfälle in Ihrer Umgebung hinweisen. Dazu gehören schädliche IP-Adressen, Dateihashes, Domainnamen und URLs, die Ihnen helfen, zu erkennen, wann sich Angreifende in Ihren Systemen befinden. Wenn Ihre Sicherheitstools einen IoC aus einer kürzlich durchgeführten Angriffskampagne identifizieren, können Sie sofort untersuchen, ob dieser Indikator in Ihrer Umgebung auftritt.

TTPs beschreiben, wie Bedrohungsakteure vorgehen und welche Methoden sie verwenden, um sich Zugriff zu verschaffen, sich seitlich zu bewegen und ihre Ziele zu erreichen. Wenn Sie diese Muster kennen, können Sie Angriffsverhalten auch dann erkennen, wenn sich bestimmte IOCs ändern. Wenn Sie wissen, dass eine bestimmte Bedrohungsgruppe in der Regel Spear-Phishing verwendet, um sich anfänglich Zugriff zu verschaffen, können Sie Erkennungsregeln für dieses Verhalten konfigurieren.

Attribution Intelligence identifiziert, welche Bedrohungsgruppen hinter Angriffen stecken, und deckt ihre typischen Ziele, Motive und Fähigkeiten auf. Dieser Kontext hilft Ihnen, einzuschätzen, ob Ihre Organisation in den Targeting-Bereich einer bestimmten Gruppe fällt. Die Zuordnung hilft Ihnen auch, die Ziele der Angreifenden zu verstehen – ob sie geistiges Eigentum stehlen, Ransomware einsetzen oder einen dauerhaften Zugriff aufrechterhalten wollen.

Vulnerability Intelligence liefert Informationen zu Softwareschwachstellen, die Angreifende ausnutzen könnten. Dazu gehören CVE-Daten, die Verfügbarkeit von Exploits und Informationen darüber, welche Sicherheitslücken von Bedrohungsakteuren aktiv ausgenutzt werden. Vulnerability Intelligence hilft Ihnen, theoretische Risiken von aktiven Bedrohungen zu unterscheiden, indem sie zeigt, welche Schwachstellen Angreifer in Kampagnen nutzen.

Feeds liefern kontinuierliche Streams von Bedrohungsdaten aus mehreren Quellen, darunter Sicherheitsanbieter, Regierungsbehörden und Informationsaustausch-Communities. Diese Feeds halten Ihre Abwehrmaßnahmen gegen neue Bedrohungen auf dem neuesten Stand, ohne dass eine manuelle Recherche erforderlich ist. Feeds unterscheiden sich in ihrem Fokus: Einige bieten eine breite Abdeckung vieler Bedrohungsarten, während andere auf bestimmte Bereiche wie Phishing-Domains oder Ransomware-Infrastruktur spezialisiert sind.

Ein anwendungsfallorientierter Ansatz macht Threat Intelligence umsetzbar statt abstrakt. Wenn Sie Bedrohungsdaten bestimmten Sicherheitsfunktionen wie Incident Response und die Verwaltung von Sicherheitslücken zuordnen, können Sie die Auswirkungen auf Ihre Sicherheitsergebnisse messen und fundiertere Entscheidungen darüber treffen, wo Sie Ressourcen investieren sollten.

Mit Threat Intelligence können Sie Bedrohungen erkennen und blockieren, bevor sie Ihre Umgebung erreichen. Wenn Sie die Infrastruktur und die Methoden von Angreifern im Voraus kennen, können Sie Ihre Abwehrmaßnahmen so konfigurieren, dass Angriffe am Perimeter gestoppt werden. Wenn beispielsweise bekannt wird, dass eine Bedrohungsgruppe Domains nach bestimmten Namensmustern registriert, können Sie diese Muster in Ihrer DNS-Filterung blockieren.

Bei Vorfällen liefert Threat Intelligence Kontextinformationen zu den Bedrohungen, denen Sie ausgesetzt sind. Sie können schnell den Umfang eines Angriffs bestimmen, zugehörige Indikatoren identifizieren und die Ziele der Angreifenden erkennen, um Bedrohungen schneller einzudämmen. Wenn Sie beispielsweise eine verdächtige PowerShell-Ausführung auf einem Endpunkt erkennen, können Sie anhand von Informationen über ähnliche Angriffe erkennen, wonach Sie als Nächstes suchen sollten – ob ein Angreifer in der Regel versucht, sich seitlich zu bewegen, Daten zu exfiltrieren oder Anmeldedaten zu stehlen.

Informationen leiten Sie bei der Suche nach verborgenen Bedrohungen, die bereits in Ihrer Umgebung vorhanden sind. Wenn Sie sich auf bekannte TTPs und IOCs konzentrieren, die für Ihre Branche relevant sind, können Sie ausgeklügelte Angriffe aufdecken, die der automatisierten Erkennung entgehen. Wenn beispielsweise Bedrohungsgruppen, die es auf Ihre Branche abgesehen haben, häufig Living-off-the-Land-Techniken mit administrativen Tools einsetzen, können Sie nach einer anomalen Verwendung dieser Tools suchen.

Angewandte Bedrohungsinformationen in Google Security Operations gehen über das Speichern von Kompromittierungsindikatoren und Angreiferverhalten hinaus. Dabei wird das Wissen von Google über die Bedrohungslandschaft, einschließlich der neuen Threat Intelligence von Mandiant, auf Ihre spezifische Umgebung angewendet. Das System korreliert automatisch Bedrohungsdaten mit Ihrer Sicherheitstelemetrie, um relevante Bedrohungen ohne manuelle Analyse zu identifizieren. Sie erhalten priorisierte und umsetzbare Ergebnisse, die Ereignisse, Warnungen, Assets und Nutzer in einer kohärenten Darstellung zusammenfassen, sodass Sie den neuesten Bedrohungen immer einen Schritt voraus sind.

Der anforderungsgesteuerte Ansatz strukturiert, wie Sie Threat Intelligence basierend auf den tatsächlichen Anforderungen Ihres Unternehmens erheben und nutzen. Dieser Prozess erfüllt explizit die angegebenen Anforderungen aller relevanten Stakeholder während des gesamten Lebenszyklus der Bedrohungsinformationen. Es beginnt mit einem Bedrohungsprofil, das Kontext zu den relevantesten Bedrohungen in Ihrem Sektor, Ihrer Branche und Ihrer Region bietet. Die Stakeholderanalyse liefert Informationen zu den Anforderungen und Anwendungsfällen, die für die Planung der Datenerhebung und die Entwicklung von Datenerhebungsmethoden relevant sind. Diese Elemente bilden zusammen Serviceleistungen, die Ergebnisse liefern, die den Anforderungen der Stakeholder, den Formaten und der Häufigkeit der Berichterstellung entsprechen.

Dieser Ansatz umfasst mehrere Komponenten, die zusammenarbeiten. Planung und Steuerung legen fest, welche Informationen Sie benötigen und warum. Bei der Erhebung werden Rohdaten aus relevanten Quellen gesammelt. Bei der Verarbeitung werden diese Daten in strukturierte Formate umgewandelt. Bei der Analyse werden verarbeitete Daten in umsetzbare Erkenntnisse umgewandelt. Die Weitergabe dieser Erkenntnisse an Entscheidungsträger und Sicherheitsteams ermöglicht es diesen, entsprechende Maßnahmen zu ergreifen. Sie können dieses Framework für verschiedene Anwendungsfälle nutzen, vom Schwachstellenmanagement über die Bedrohungssuche bis hin zur Planung der Sicherheitsarchitektur.

Threat Intelligence ist dann am wertvollsten, wenn Sie sie auf Ihre spezifische Umgebung und Ihre Sicherheitsherausforderungen anwenden. Google Threat Intelligence kombiniert Erkenntnisse aus der Überwachung von über 500 Bedrohungsakteuren mit automatisierten Erkennungsfunktionen. So erhalten Sie priorisierte Informationen, die für Ihre Branche und Region relevant sind. Wenn Sie diese Funktionen in Ihre Sicherheitsabläufe einbinden, können Sie Bedrohungsdaten nicht nur erfassen, sondern auch Angriffe verhindern.

Unsere Threat Intelligence-Lösungen ansehen