Cyber Threat Intelligence (CTI) liefert eine breite Palette von Ressourcen, von taktischen und operativen bis hin zu eher strategischen Anwendungsfällen.
Taktische Threat Intelligence
Taktische Threat Intelligence richtet sich an eine eher technisch orientierte Zielgruppe – vom Security Operations Center (SOC) über die Incident Responder, die im Falle eines Sicherheitsvorfalls eingreifen, bis hin zu Sicherheitsexperten. Die Daten zur taktischen Bedrohungsaufklärung sind in der Regel in maschinenlesbarem Format verfügbar. Sie lassen sich über APIs und programmierte Threat-Intelligence-Feeds einfach in verschiedene Threat-Intelligence-Tools und -Plattformen integrieren.
Die Datenpunkte, die zur Erkennung von bösartigen Aktivitäten genutzt werden, werden als Indicators of Compromise (IoCs) bezeichnet und sind Schlüsselelemente bei dieser Art der Bereitstellung von Daten zur Bedrohungsaufklärung. Zu den IOCs gehören IP-Adressen, die mit bekannten Bedrohungen verknüpft sind, Namen von Schaddomänen und Datei-Hashes, die als schädlich identifiziert wurden.
Da sich diese Indikatoren sehr schnell weiterentwickeln, ist es wichtig, eine Quelle zu haben, die stets auf dem neuesten Stand ist.
Da sie unmittelbar verwertbare Daten ohne langfristige Analysen oder umfassende Erkenntnisse liefern, ergänzen die Daten zur taktischen Bedrohungsaufklärung operative und strategische Informationen. Wenn sich ein Unternehmen nur auf die Daten zur taktischen Bedrohungsaufklärung verlässt, besteht ein erhöhtes Risiko für Fehlalarme, also Fälle, in denen harmlose Aktivitäten fälschlicherweise als bösartig erkannt werden.
Einsatzmöglichkeiten und Beispiele für taktische Cyber Threat Intelligence
· Feeds mit Bedrohungsdaten: Kontinuierliche Datenströme, die Informationen über potenzielle Bedrohungen liefern.
· Echtzeit-Warnmeldungen: Sofortige Benachrichtigungen, die Unternehmen über aktive Bedrohungen in ihrer Umgebung informieren.
· Automatische Malware-Analyse: Automatisierte Prozesse, die Schadsoftware untersuchen, um ihre Funktion und ihr Bedrohungspotenzial zu verstehen.
Operative Threat Intelligence
Bei den Daten, die im Rahmen der operativen Threat Intelligence gesammelt werden, geht es um den Kontext im IT-Betrieb. Es werden Erkenntnisse über Cyberangriffe gesammelt, um grundlegende Fragen zu den Kampagnen und Operationen der Angreifer zu klären. Der Schwerpunkt liegt hierbei auf den Taktiken, Techniken und Verfahren (TTPs) sowie der Absicht und dem Timing der Angriffe.
Diese Daten lassen sich nicht so einfach erfassen, da sie aus verschiedene Quellen stammen – von Chatrooms, sozialen Medien und Protokollen von Virenschutzprogrammen bis hin zu Aufzeichnungen aus früheren Angriffen. Herausforderungen bei diesem Ansatz ergeben sich dadurch, dass die Angreifer häufig Datenverschlüsselung, mehrdeutige oder verschlüsselte Sprache und private Chatrooms nutzen. Große Datenmengen können zwar oft mithilfe von Data Mining und Machine Learning verarbeitet werden, aber um eine definitive Analyse zu erstellen, müssen die Informationen von Experten in den richtigen Kontext gesetzt werden.
Die Nutzung der operativen Threat Intelligence in SOCs trägt dank Daten zur operativen Bedrohungsaufklärung zur Verbesserung der Cybersicherheitsmethoden wie Management von Sicherheitslücken, Bedrohungsüberwachung, Reaktion auf Sicherheitsvorfälle usw. bei.
Einsatzmöglichkeiten und Beispiele für operative Cyber Threat Intelligence
· Täter-Profiling: Verstehen und Kategorisieren von Cyber-Angreifern anhand ihrer Taktiken, Techniken und Verfahren.
· Patch-Priorisierung: Bestimmung der vorrangig zu behebenden Software-Sicherheitslücken auf der Grundlage der Daten zur Bedrohungsaufklärung.
· Reaktion auf Sicherheitsvorfälle: Maßnahmen, die bei Bedrohungen ergriffen werden, um sie nach ihrer Erkennung direkt zu entschärfen.
Strategische Threat Intelligence
Die im Rahmen der strategischen Threat Intelligence gewonnenen komplexen und detaillierten Daten werden so umgesetzt, dass Stakeholder wie Vorstand, Führungskräfte und leitende Entscheidungsträger sie als Basis für ihre Maßnahmen verwenden können. Die von der strategischen Threat Intelligence gelieferten Daten können Präsentationen, Berichte über die unternehmensweiten Risiken und die Darstellung vergangener, gegenwärtiger und zukünftiger Risiken innerhalb des Unternehmens und im Vergleich mit Branchenstandards sowie Best Practices umfassen. Die Erkennung, welche Defizite bei der Einhaltung von Vorschriften vorliegen, ist ein wesentlicher Grund für den Einsatz von strategischer Threat Intelligence.
Diese Art von Daten zur Bedrohungsaufklärung wird zwar in Form von zusammenfassenden Berichten ausgegeben, muss aber auch eine umfassende Analyse lokaler und globaler Trends, aufkommender Cyberrisiken und sogar geopolitischer Faktoren liefern. Daten zur strategischen Bedrohungsaufklärung sind ein wesentlicher Bestandteil der langfristigen Planung, des Risikomanagements und umfassender strategischer Entscheidungen. Die Unternehmen nutzen die Daten zur strategischen Bedrohungsaufklärung für ihre langfristige Planung zur Abstimmung ihrer Cybersicherheitsstrategien mit den Geschäftszielen.
Einsatzmöglichkeiten und Beispiele für strategische Cyber Threat Intelligence
· Bedrohungen durch Insider: Entwicklung umfassender Strategien zur Identifizierung und Bekämpfung von Bedrohungen, die aus dem Unternehmen stammen. Hierzu werden Verfahren wie die Analyse von Verhaltensmustern und Zugriffsprotokollen eingesetzt.
· Täuschungsoperationen: Entwerfen und Implementieren von Täuschungsstrategien, um potenzielle Angreifer in die Irre zu führen und zu verfolgen, wobei ihre Techniken und Absichten aufgedeckt werden können, ohne wirkliche Ressourcen zu gefährden.
· Ressourcenzuweisung: Bestimmung, wie Ressourcen für die Cybersicherheit auf der Grundlage der Bedrohungslandschaft am besten zugewiesen werden können. Dabei geht es um Investitionen in neue Sicherheitstechnologien, die Einstellung von Fachpersonal oder die Freigabe von Mitteln für Mitarbeiterschulungsprogramme.