Was ist eigentlich Threat Intelligence?

Unter Threat Intelligence versteht man das Wissen über aktuelle und mögliche Bedrohungen und Angriffsszenarien. Was genau das bedeutet, erkläre ich in diesem Blog-Beitrag.

Theoretisches zu Threat Intelligence

Threat Intelligence ist keine Software oder Anwendung sondern eher eine Art Sammlung von Informationen und Daten. Bei diesen Sammlungen handelt es sich beispielsweise um Informationen über neue Angriffsmethoden. Diese können dann genutzt werden, um Angriffe ganz gezielt abzuwehren.

Auf dem Markt gibt es bereits einige Anbieter, die Threat Intelligence Produkte verkaufen. Die Produkte arbeiten dabei auf einer der folgenden Ebenen :

  • operativer Ebene: Adressen verdächtiger URLs, MD5-Hashes von Schadprogrammen
  • taktischer Ebene: Wie gehen die Täter vor?
  • strategischer Ebene: Wo sind welche Tätergruppen aktiv?

Die operativen Informationen werden auch Indicators of Compromise genannt, da mit diesen Informationen festgestellt werden kann, ob ein Unternehmen bereits kompromittiert wurde.

Das britische Centre for the Protection of National Infrastructure (CPNI) benennt sogar vier Ebenen. Hier liefert die operative Ebene Informationen zu bekannten Angriffen, mit denen Abwehrmaßnahmen für diese Art von Attacken getroffen werden können und die vierte, „technische“ Ebene bietet konkrete Informationen, die Sicherheitssystemen erlauben, Angriffe zu erkennen.

Die gelieferten Informationen des Anbieters kann der Kunde in seine bereits existierenden Sicherheitskomponenten wie Firewalls, SIEM oder andere Produkte einpflegen.

Kritik an Threat Intelligence

Derzeit stehen Anbieter von Threat Intelligence zum Teil unter Kritik. Die Kritiker bemängeln einerseits, dass die Anbieter in diesem Rahmen Daten und Informationen verkaufen, die eh bei ihnen anfallen und die eigentlich nur ihre eigene Sicherheitssoftware ergänzen.

Andererseits seien einige Unternehmen mit den Informationen zum Teil überfordert. Denn die Threat Intelligence Programme geben nur Informationen aus, jedoch keine Lösungen. Außerdem wird nicht differenziert, welche Infos für ein spezielles Unternehmen überhaupt relevant sind. Denn nicht jedes Unternehmen ist jedem Risiko gleichermaßen ausgesetzt.

Einsatzmöglichkeiten

Trotz der Kritik, gibt es auch sinnvolle Einsatzmöglichkeiten. So können mit Hilfe von Threat Intelligence besonders gut spezialisierte Angriffe entdeckt werden, die Standard-Software nicht findet.

Wird zuerst das eigene Risiko analysiert und ausgewertet und im Anschluss daran Threat Intelligence gezielt eingekauft, bei einem Anbieter, der genau die Infos bietet, die man selbst braucht, so kann Threat Intelligence die eigene IT-Sicherheit nachhaltig verbessern.

Bei der Auswahl des Anbieters kann beispielsweise darauf geachtet werden, ob er Informationen zu den für mich relevanten Täter-Teams in der für mich relevanten Region bietet. Auch bieten manche Anbieter zusätzliche Teams an, die im Fall einer Kompromittierung vor Ort Hilfe leisten, falls gewünscht. Ebenso können weitere Kontextinformationen zu den Indikatoren sinnvoll sein. Je nachdem wie man selber aufgestellt ist und welche Aspekte der Lösung man selber leisten kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *