Threat Intelligence (TI), auch Cyber Threat Intelligence (CTI) genannt, liefert detaillierte und direkt umsetzbare Informationen zur Vermeidung und Bekämpfung von Cyber-Sicherheitsbedrohungen für Unternehmen und Organisationen. TI umfasst detaillierte, umsetzbare Bedrohungsinformationen, die Sicherheitsteams proaktives Handeln ermöglicht. Anhand von TI lassen sich gesteuerte und manuelle Maßnahmen ergreifen, um Cyber-Angriffe zu verhindern, bevor sie auftreten. Darüber hinaus helfen die Bedrohungsinformationen dabei, Angriffe schneller zu erkennen und darauf zu reagieren.
Warum ist Threat Intelligence so wichtig?
Nur mit aktuellen und detaillierten Informationen können Schutzlösungen, wie etwa eine Endpoint Detection and Response-Lösung, kurz EDR, bereits vor einem Angriff wissen, welche Bereiche eines Unternehmensnetzwerks aktuell im Fokus von Angreifern liegen. Neben EDR nutzen auch NDR-, SIEM– oder XDR-Lösungen diese Daten zur Verbesserung der Verteidigung.
Aber gute Threat Intelligence ist nicht nur wichtig für Schutzlösungen. Auch SOC-Teams eines Unternehmens und deren Threat Hunter nutzen die detaillieren Informationen, um direkt Schwachstellen im Unternehmensnetzwerk zu identifizieren und geeignete Gegenmaßnahmen einzuleiten. Setzt ein Unternehmen auf ein Managed-SOC-Team, setzt auch dieses Team Threat Intelligence ein.
Quellen für Threat Intelligence
Sicherheitsanalysten erstellen Bedrohungsinformationen, indem sie „rohe“ Bedrohungsdaten aus verschiedenen Quellen sammeln. Anschließend korrelieren und analysieren sie diese Daten, um Trends, Muster und Beziehungen im Zusammenhang mit tatsächlichen oder potenziellen Bedrohungen aufzudecken.
Eine Plattform, die solche Informationen liefert, ist zum Beispiel AV-ATLASs. Dort finden sich die ausgewerteten Bedrohungsdaten, die von den AV-TEST-Experten gesammelt und von den Analyse-Systemen des Instituts bereitgestellt werden. Die Plattform ist in der Basis-Version für jedermann kostenlos zugänglich und zeigt einen eindrucksvollen Ausschnitt der verfügbaren TI-Daten. Für Unternehmen stellt das System auch Threat Intelligence Feeds bereit, die sich mit Schutzlösungen verknüpfen lassen oder Threat Hunter mit passenden Tools nutzen können. Wie Maik Morgenstern, CTO der AV-TEST und selbst Threat Hunter, anmerkt: „Für die Auswertung eines potenziellen Vorfalls ist gute Threat Intelligence, zum Beispiel in Form von IoC – Indicators of Compromise – für Schutzlösungen sowie Threat Hunter unerlässlich. Mit Hilfe der in der TI enthaltenen TTPs – Tactics, Techniques, and Procedures – lässt sich eine IT-Security-Abwehr- oder Verteidigungsstrategie erst verlässlich planen und umsetzen.“
Weitere Quellen für Threat Intelligence sind CTI-Reports, wie der von AV-TEST, die in kurzen Zeitfenstern, hier wöchentlich, die Sicherheitslage beschreiben und über Angriffskampagnen von APT-Gruppen berichten. Aber auch über große Zeiträume angelegte Reports, wie zum Beispiel Check Point Software’s 2023 Cyber Security Report liefern wichtige Threat Intelligence in einer internationalen Übersicht. Der Bericht nennt Trends, besonders gefährdete Branchen, oft genutzte Angriffs-Tools und Taktiken, sowie Hintergründe zu Netzwerk- und Cloud-Angriffen. Weniger international ausgerichtet, aber nicht weniger informativ ist der aktuelle AV-TEST-Report „Cyber-Vorfälle in Zahlen: Das Jahr 2023“, der frei zum Download steht.
Was steckt alles in Threat Intelligence?
Die verfügbaren Threat Intelligence Feeds haben teils verschiedene Inhalte. Einige Schlüsselkomponenten sind:
- Bedrohungen, die Unternehmen betreffen: Dabei geht es meist um aktuelle Kampagnen gegen bestimmte Branchen, zum Beispiel deren Lieferketten, die im Fokus von Angreifern stehen und um die Art und Weise, wie diese Attacken ausgeführt werden.
- Bedrohungsakteure: Mit Hintergrunddaten zu APT-Gruppen und anderen Angreifern lassen sich Abwehrstrategien aus deren bisherigem Vorgehen entwickeln.
- TTPs – Tactics, Techniques, and Procedures: TTP informiert über Techniken und Werkzeuge, die Angreifer bei ihren Attacken einsetzen.
- IoCs – Indicators of Compromise: Diese Daten benennen Signale bzw. verdächtige Vorgänge, mit der sich eine Cyber-Attacke ankündigt und identifizieren lässt.
- Ausgewertete Daten-Streams und Dateien: Aus einem Feed mit gefährlichen URLs wird zum Beispiel eine Endpoint-Schutzlösungen mit EDR versorgt. Diese verhindert aufgrund aktueller Informationen, dass Mitarbeitende eines Unternehmens auf gefährliche Websites gelangen oder als gefährlich klassifizierte Downloads durchführen.
- Schwachstellenauswertungen: Hinweise zu neuen Schwachstellen, für die es noch keine Patches, aber bereits einen Walktrough oder vorläufige Gegenmaßnahmen gibt, wie etwa die Sperrung eines Netzwerk-Ports oder das Herabstufen von Nutzerrechten.
Die verschiedenen Arten von Threat Intelligence
Die Experten unterteilen Threat Intelligence häufig in drei Kategorien: strategisch, taktisch und operativ. Da diese Einteilung nicht standardisiert sind, wandern die Unterpunkte je nach bearbeitendem Experten etwas in den Kategorien. Klassisch sind sie wie folgt aufgeteilt:
- Strategische Threat Intelligence: Diese Analyse ist stark zusammengefasst und richtet sich an Nicht-Experten, etwa Vorstandsmitglieder. Dabei wird der Fokus nur auf bedrohte Bereiche gelegt. Weiterhin stehen aktuelle Trends im Mittelpunkt die oft aus öffentlichen Reports stammen. Das Ganze ist eine Art Risikobarometer.
- Taktische Threat Intelligence: Dabei werden bereits erste praktische Schritte eingeleitet und etwa IoCs genutzt, um Netzwerke zu prüfen und wahrscheinliche Angriffe abzuwehren. Die Informationen kommen meist per TI- oder CTI-Feed und werden in der Regel automatisiert ausgewertet.
- Operative Threat Intelligence: Dieser Teil bezeichnet die TI während und nach einem Angriff. So werden aktuelle Informationen zu den Taktiken, Techniken und Verfahren (TTP) der Angreifer bewertet und genutzt. Aber auch nach der abgewehrten Attacke gilt es Rückschlüsse zu ziehen, etwa auf Angriffsziele: Hatten es die Angreifer auf bestimmte Daten abgesehen, und falls ja, welche? Oder ist der Angriff vielleicht nur als Test der einzelnen Verteidigungspunkte zu bewerten und der richtige Angriff steht erst noch aus?
Lebenszyklus von Threat Intelligence
Wenn Security-Experten vom Lebenszyklus einer Cyber-Bedrohung sprechen, meinen sie damit eine Aufteilung nach folgenden „Phasen der Bedrohung“:
- Planning (Richtung)
- Collection (Erfassung)
- Processing (Verarbeitung)
- Analysis (Analyse)
- Dissemination (Verteilung)
- Feedback
Dieser Prozess ist nicht einmalig, sondern sollte für eine perfekte und kostenoptimierte Cyber-Verteidigung immer wieder durchgespielt werden.
In der Phase „Richtung“ gilt es, Ziele für die Threat Intelligence zu setzen, etwa welche Teile des Unternehmens besonders geschützt werden müssen und welche Folgen ein Angriff haben könnte.
In der 2. Phase „Erfassung“ werden die Daten und IT-Strukturbereiche definiert, die in der 1. Phase als besonders gefährdet erkannt wurden. In dieser Phase sollte sich ein Unternehmen für die Datenquellen seiner zukünftige Threat Intelligence entscheiden, etwa Reports, Blogs, CTI-Feeds von Sicherheitsanbietern oder auch Metadaten aus dem eigenen Netzwerk, die etwa EDR oder SIEM liefern.
In der 3. Phase „Verarbeitung“ muss geklärt werden, wie der Strom an Information sinnvoll verarbeitet wird. Können verfügbare Systeme diese Feeds bereits direkt verwerten und haben SOC und Threat Hunter die richtigen Tools?
Ist das geklärt, geht es in die Phase 4, die „Analyse“. Dabei sollen die Informationen ausgewertet und in praktisch verwertbare Erkenntnisse transformiert werden. Die Ergebnisse dieser Prüfung zeigen auch schnell, ob noch wichtige Security-Tools fehlen und ob etwas das aktuelle Security-Budget ausreichend bemessen ist.
Die Phasen 5 und 6, „Verteilung“ und „Feedback“, nutzen die eigentlichen Erkenntnisse des Lebenszyklus von Threat Intelligence. Die Schlussfolgerungen müssen innerhalb der unterschiedlichen Teams eines Unternehmens umgesetzt werden, etwa dem SOC und der klassischen IT-Abteilung. Aber auch die Unternehmensleitung sollte in diese Phasen eingebunden sein. In der Feedback-Phase müssen die Verantwortlichen Abteilungs- und Projektleiter sicherstellen, dass alle Phasen zuvor auch sinnvoll für die Sicherheitsanforderungen und -ziele umgesetzt sind.