Was ist Threat Intelligence?

Threat Intelligence sind Informationen über aktuelle oder potenzielle Cyberangriffe, die Unternehmen zur Verteidigung nutzen. Sie wandelt Rohdaten zu Bedrohungen in umsetzbare Erkenntnisse um, mit denen Sicherheitsteams Angriffe erkennen, verhindern und darauf reagieren können. Threat Intelligence sammelt nicht nur Informationen, sondern liefert auch Kontext darüber, wer angreift, welche Methoden und Motive die Angreifenden haben und welche spezifischen Indikatoren darauf hindeuten, dass ein Angriff im Gange ist oder unmittelbar bevorsteht.

Google Threat Intelligence

Was ist Threat Intelligence im Bereich der Internetsicherheit?

Effektive Bedrohungsinformationen ermöglichen es Cybersicherheitsteams, von einer reaktiven zu einer proaktiven Verteidigung überzugehen. Sie müssen nicht erst auf Angriffe warten und dann reagieren, sondern können Sicherheitslücken identifizieren, bevor Angreifende sie ausnutzen, Angriffsmuster erkennen, sobald sie auftreten, und Ihre Abwehrmaßnahmen so konfigurieren, dass Bedrohungen am Perimeter gestoppt werden. Dieser datengestützte Ansatz verkürzt die Zeit zwischen dem Auftreten einer Bedrohung und der Abwehr durch Ihr Unternehmen.

Warum ist Threat Intelligence wichtig?

Threat Intelligence liefert den Kontext, den Sie für fundierte Sicherheitsentscheidungen benötigen. Ohne diese Informationen sehen sich Sicherheitsteams mit einer überwältigenden Menge an Warnmeldungen und potenziellen Bedrohungen konfrontiert, ohne dass sie genau wissen, welche davon am wichtigsten sind. Bedrohungsinformationen helfen Ihnen, echte Bedrohungen von Fehlalarmen zu unterscheiden und Ihre Reaktion auf der Grundlage des tatsächlichen Risikos für Ihr Unternehmen zu priorisieren.

Die Bedrohungslandschaft entwickelt sich ständig weiter, da Angreifende neue Techniken entwickeln und neu entdeckte Sicherheitslücken ausnutzen. Bedrohungsinformationen sorgen dafür, dass Ihre Abwehrmaßnahmen auf aktuelle Angriffsmethoden ausgerichtet sind und nicht auf Bedrohungen von gestern. Wenn Sie die Taktiken, Techniken und Verfahren (TTPs) kennen, die Bedrohungsakteure verwenden, können Sie deren Aktivitäten früher in der Angriffskette erkennen und sie stoppen, bevor sie Schaden anrichten.

Unternehmen, die Bedrohungsinformationen effektiv nutzen, können sowohl die Häufigkeit als auch die Auswirkungen erfolgreicher Angriffe reduzieren. Wenn Sie wissen, welche Bedrohungen Ihre Branche im Visier haben und wie Angreifende vorgehen, können Sie Ihre Sicherheitsinvestitionen auf die Kontrollen konzentrieren, die tatsächlich vor den Angriffen schützen, denen Sie am wahrscheinlichsten ausgesetzt sind.

Vorteile zentralisierter Bedrohungsinformationen

Zentralisierte Threat Intelligence bietet Sicherheitsteams einen Überblick über Angreifer und Malware mit steigendem Bedrohungspotenzial. Ein zentralisiertes Repository bietet öffentliche Beschreibungen von Sicherheitslücken mit CVSS- und EPSS-Bewertung des Schweregrads, sodass Sie das Risiko in Ihrer gesamten Umgebung einheitlich bewerten können. Mit Browser-Plug-ins können Sie öffentlich verfügbare Gefahrenindikatoren nachschlagen und die Bedrohungsbewertung von Mandiant direkt in beliebige Webseiten einfügen.

Für Sicherheitsanalysten, Incident-Response-Teams und SOC-Manager unterstützt die zentralisierte Intelligenz die Priorisierung und Triage von Warnungen. Sie können aktuelle Bedrohungsdaten nutzen, um Sicherheitsvorfälle zu priorisieren und in den richtigen Kontext einzuordnen und so die Alarmmüdigkeit zu reduzieren und die SOC-Effizienz zu steigern. Zentrale Informationen helfen Ihnen, verborgene Bedrohungen zu erkennen, indem Sie Indikatoren herunterladen und Ihre Erkennungstools erweitern, um Angreifer oder Malwareaktivitäten aufzuspüren, die bislang nicht erkannt wurden.

Zentrale Bedrohungsinformationen beschleunigen die Reaktion, indem sie Sicherheitsteams Einblicke in das Verhalten von Akteuren auf der Grundlage von MITRE ATT&CK ermöglichen. Diese Informationen helfen Ihnen, den potenziellen Fortschritt eines Angriffs zu verstehen und die richtige Reaktion zu formulieren. Wenn mehrere Teams auf dieselbe Quelle für Bedrohungsinformationen zugreifen, kann Ihr Unternehmen ein einheitliches Verständnis von Bedrohungen entwickeln und die Abwehrmaßnahmen koordinieren.

Drei Arten von Threat Intelligence

Threat Intelligence wird auf verschiedenen Ebenen eingesetzt, um unterschiedliche Zielgruppen und Zwecke zu bedienen. Taktische Informationen liefern die spezifischen technischen Details, die zum Erkennen und Blockieren von Angriffen erforderlich sind. Operative Informationen leiten die Suche nach Bedrohungen und helfen Ihnen, das Verhalten von Angreifern zu verstehen. Strategische Informationen dienen der langfristigen Sicherheitsplanung und Ressourcenverteilung. Jeder Typ spielt eine bestimmte Rolle in einem umfassenden Programm zu Bedrohungsinformationen.

Workflow für die Bedrohungskommunikation

Taktische Bedrohungsinformationen

Taktische Threat Intelligence konzentriert sich auf unmittelbare Bedrohungen und die technischen Details, die für deren Erkennung erforderlich sind. Dazu gehören Kompromittierungsindikatoren wie schädliche IP-Adressen, Datei-Hashes, Domainnamen und URLs, die mit bekannten Angriffen in Verbindung stehen. Sicherheitstools nutzen taktische Informationen, um Bedrohungen automatisch zu erkennen und zu blockieren. Taktische Informationen haben in der Regel eine kurze Lebensdauer, da Angreifende ihre Infrastruktur häufig ändern. Daher müssen sie ständig aktualisiert werden, um wirksam zu bleiben. SOC-Teams und Incident-Response-Teams verlassen sich auf taktische Informationen, um Bedrohungen im Alltag zu erkennen und darauf zu reagieren.

Operationalisierung von Bedrohungsinformationen

Operative Threat Intelligence liefert detaillierte Informationen zu den TTPs, die Bedrohungsakteure für Angriffe verwenden. Diese Informationen konzentrieren sich auf das Verhalten und die Methoden von Angreifenden und nicht auf bestimmte technische Indikatoren. Mit Operational Intelligence können Sie herausfinden, welche Bedrohungsgruppen Ihre Branche im Visier haben, wie sie sich Zugang verschaffen und was sie tun, sobald sie in einem Netzwerk sind. Sicherheitsteams nutzen operative Informationen, um Bedrohungen zu erkennen, die Erkennungsfähigkeiten zu verbessern und Verfahren zur Reaktion auf Vorfälle zu planen. Operative Informationen bleiben in der Regel länger relevant als taktische Informationen, da sich die Methoden von Angreifern langsamer entwickeln als ihre Infrastruktur.

Strategische Bedrohungsinformationen

Strategische Bedrohungsinformationen bieten einen allgemeinen Überblick über die Bedrohungslandschaft und helfen Führungskräften, fundierte Entscheidungen über Sicherheitsinvestitionen und Risikomanagement zu treffen. Diese Informationen umfassen Trends, die Ihre Branche betreffen, geopolitische Faktoren, die das Verhalten von Bedrohungsakteuren beeinflussen, und die potenziellen geschäftlichen Auswirkungen verschiedener Bedrohungsszenarien. Strategische Informationen werden in der Regel in Berichten und Briefings für Führungskräfte, Vorstandsmitglieder und andere nicht technisch versierte Stakeholder präsentiert. Unternehmen nutzen strategische Informationen, um ihre Sicherheitsstrategie an den Geschäftszielen auszurichten und die Sicherheitsrisiken der Führungsebene zu vermitteln.

Lebenszyklus von Bedrohungsinformationen

Der Threat Intelligence-Lebenszyklus ist ein strukturierter Prozess zum Sammeln, Analysieren und Verbreiten von Informationen über potenzielle Bedrohungen für ein Unternehmen. Dieses zyklische Framework nutzen Sicherheitsteams, um Rohdaten in verwertbare Informationen umzuwandeln und so die Abwehrmaßnahmen zu verbessern. Jede Phase des Lebenszyklus geht in die nächste über. So entsteht ein kontinuierlicher Verbesserungsprozess, der dafür sorgt, dass Threat Intelligence relevant und nützlich bleibt, während sich die Bedrohungslandschaft weiterentwickelt.

In der Planungsphase legen Sie fest, welche Informationen Ihr Unternehmen benötigt und warum. Sicherheitsteams definieren gemeinsam mit den Stakeholdern die Anforderungen an die Informationen. Dazu kann gehören, zu verstehen, welche Akteure Ihre Branche ins Visier nehmen, die Schwachstellen zu identifizieren, die am wahrscheinlichsten ausgenutzt werden, oder festzustellen, ob eine neue Angriffstechnik Ihre Infrastruktur betrifft.

Die Sammlung ist der Prozess, bei dem Rohdaten zu Bedrohungen aus mehreren Quellen erfasst werden, um Ihre Anforderungen an die Informationsgewinnung zu erfüllen. Zu den Quellen gehören Feeds mit Informationen zu Bedrohungen, Sicherheitslogs aus Ihren internen Systemen, Communities für den Informationsaustausch, Open-Source-Informationen und kommerzielle Anbieter von Informationen zu Bedrohungen. Ziel ist es, relevante Daten zu sammeln, die Ihre Anforderungen erfüllen, und gleichzeitig irrelevante Daten herauszufiltern.

In der Verarbeitungsphase werden die Rohdaten zu Bedrohungen in ein für die Analyse geeignetes Format umgewandelt. Dazu gehört, Daten aus verschiedenen Quellen in einheitliche Formate zu normalisieren, Duplikate zu entfernen, zusammengehörige Informationen zu korrelieren und falsch positive Ergebnisse herauszufiltern. Automatisierte Tools übernehmen einen Großteil dieser Arbeit, da die Menge an Bedrohungsdaten in der Regel das übersteigt, was Analysten manuell verarbeiten können.

Bei der Analyse werden aus verarbeiteten Daten aussagekräftige Informationen extrahiert und Erkenntnisse gewonnen, die Ihren Anforderungen entsprechen. Analysten identifizieren Muster, bewerten die Relevanz von Bedrohungen für Ihr Unternehmen und legen die geeigneten Reaktionsmaßnahmen fest. Das Ergebnis dieser Phase sind fertige Intelligence-Produkte wie Bedrohungsberichte, Briefings und Empfehlungen, die Stakeholder für Sicherheitsentscheidungen nutzen können.

In der Feedbackphase wird bewertet, ob die Informationen die Anforderungen der Stakeholder erfüllen, und es werden Lücken oder neue Anforderungen ermittelt. Stakeholder geben Feedback zur Nützlichkeit und Aktualität der Informationen, das in Anpassungen der Prioritäten bei der Datenerhebung, der Analysemethoden und der Verbreitungspraktiken einfließt. Dieses Feedback startet den Zyklus mit verfeinerten Anforderungen neu, wodurch die zukünftigen Informationen wertvoller werden.

Arbeiten wir zusammen

Wenden Sie sich an unsere Cybersecurity-Experten.
Google Cloud Threat Intelligence erkunden

Gleich loslegen

Profitieren Sie von einem Guthaben in Höhe von 300 $ und mehr als 20 immer kostenlose Produkten, um Google Cloud kennenzulernen.

Google Cloud
DocsSupport
Console
Anmelden
  • Beschleunigen Sie Ihre digitale Transformation
  • Ganz gleich, ob Ihr Unternehmen erst am Anfang seines Wegs der digitalen Transformation steht oder schon einiges erreicht hat – Google Cloud unterstützt Sie dabei, Ihre größten Herausforderungen zu bewältigen.
  • Google Cloud-Produkte
  • Lernen Sie über 100 Produkte kennen. Neukunden erhalten ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen. Alle Kunden können innerhalb der monatlichen Nutzungslimits mehr als 25 Produkte kostenlos nutzen.
  • Sparen Sie Geld mit unserem transparenten Preisansatz
  • „Pay-as-you-go“-Preise von Google Cloud bieten automatische Einsparungen basierend auf der monatlichen Nutzung und ermäßigten Preisen für Prepaid-Ressourcen Kontaktieren Sie uns, um ein Angebot zu erhalten.
Google Cloud