Cohesity and Veritas have joined forces!
See why this is a game changer for the data security space.
Threat Intelligence, auch Cyber Threat Intelligence (CTI) genannt, sind kuratierte Daten über bestehende oder aufkommende Cybersicherheitsbedrohungen wie Ransomware. Auf der Grundlage der Zusammenstellung und Analyse sicherheits- und bedrohungsbezogener Daten aus verschiedenen Quellen liefert Cyber Threat Intelligence Informationen über tatsächliche oder mögliche Bedrohungen für digitale Infrastrukturen und Anwendungen. Mit Nachweisen und der Fähigkeit, zusätzliche Data Insights zu nutzen, können Cybersicherheitsteams die Threat Intelligence Informationen effektiv nutzen, um sich auf potenzielle Bedrohungen vorzubereiten und diese sogar zu verhindern. Sie können aktive Bedrohungen schnell erkennen und darauf reagieren, und zwar auf proaktive statt auf reaktive Weise.
Threat Intelligence ist eine wichtige Säule in modernen Cybersicherheitsstrategien, die darauf abzielen, die Cyber-Resilienz von Unternehmen zu verbessern. Mehr als die Hälfte (51 %) der Teilnehmenden an der SANS CTI Umfrage 2023 gaben an, dass ihre Unternehmen über ein formelles, dediziertes Threat Intelligence Team verfügen.
Threat Intelligence ist wichtig, weil Unternehmen mit einer ganzen Reihe von Herausforderungen im Zusammenhang mit dem Datenschutz konfrontiert sind:
Da einzelne Kriminelle, Gruppen von Cyberkriminellen und Nationalstaaten Möglichkeiten sehen, sowohl Geld zu verlangen als auch politischen Schaden anzurichten, müssen Unternehmen ihr Data Security Posture Management (DSPM) und ihre Threat Intelligence Fähigkeiten kontinuierlich ausbauen. Nur so können sie ihre Einnahmen, den Ruf ihrer Marke und ihre betrieblichen Kapazitäten schützen.
Threat Intelligence ermöglicht es Unternehmen, sich besser gegen Kriminelle zu wappnen, indem sie ein Verständnis für Bedrohungstrends und das Verhalten, die Methoden, Absichten und Fähigkeiten von Kriminellen erlangen. Durch das Erkennen potenzieller, zukünftiger und akuter Bedrohungen nahezu oder tatsächlich in Echtzeit können Führungskräfte Entscheidungen und Maßnahmen zum Schutz sensibler Daten und geistigen Eigentums (Intellectual Property, IP) beschleunigen.
Threat Intelligence lässt sich entlang eines Spektrums in drei Hauptkategorien einteilen: taktisch, operativ und strategisch.
Taktisch – Auf grundlegender Ebene hilft die taktische Threat Intelligence Unternehmen, sich darauf zu konzentrieren, wie Bedrohungen ausgeführt und abgewehrt werden. Oftmals werden nur einfache Indicators of Compromise (IOCs) identifiziert, z. B. falsche IP-Adressen, bekannte schädliche Domainnamen und E-Mail-Betreffzeilen im Zusammenhang mit Phishing-Angriffen. Diese Art von Informationen ist online auffindbar (sogar in kostenlosen Datenfeeds), ist aber nur für kurze Zeit nutzbar, da diese IOCs oft innerhalb von Stunden oder Tagen verschwinden. Taktische Threat Intelligence richtet sich in der Regel an drei Sicherheitsteams: Incident Response, Security Operations Center (SOC) und Threat Hunting. Incident Response Teams verwenden Cyber Threat Intelligence, um falsch-positive von echten Angriffen zu unterscheiden, während SOC-Fachleute sie nutzen, um aktive und akute Bedrohungen zu erkennen und darauf zu reagieren. Threat Hunting-Teams stützen sich auf Threat Intelligence, um Advanced Persistent Threats (APTs) und andere maskierte Angriffsformen zu identifizieren.
Operativ – Auf der nächsthöheren Ebene, der operativen Threat Intelligence, können Teams die technischen Aspekte von Angriffen und Kriminellen untersuchen, z. B. Absichten, bevorzugte Angriffsvektoren und Schwachstellen, die ausgenutzt werden. Sie kann sogar Aufschluss über die Art und den Zeitpunkt eines geplanten Angriffs geben. Anhand der Bereitstellung dieses Kontexts durch die operative Threat Intelligence können Sicherheitsverantwortliche und Entscheidungsträger die wahrscheinlichsten Bedrohungen identifizieren und Sicherheitsmechanismen einrichten, um bestimmte Angriffe abzuwehren. Diese Informationen versetzen SOC-Cybersicherheitsexperten in die Lage, Schwachstellen besser zu verwalten, Bedrohungen zu überwachen und auf Vorfälle zu reagieren. Während taktische Threat Intelligence von einem Rechner generiert werden kann – oft mithilfe von maschinellem Lernen und künstlicher Intelligenz (AI/ML) – ist für operative Threat Intelligence eine menschliche Analyse erforderlich. Im Rahmen ihres Ansatzes nutzen Analysten Datenklassifizierung, um die Taktiken, Methoden und Verfahren (Tactics, Techniques, and Procedures, TTPs) der Angreifer zu organisieren und zu bewerten. Operative Threat Intelligence ist länger nutzbar als taktische Threat Intelligence, da es für Kriminelle nicht so einfach ist, ihre TTPs zu ändern wie einen schädlichen Domainnamen.
Strategisch – Strategische Threat Intelligence hilft Unternehmen dabei, ihre allgemeine Position in der globalen Bedrohungslandschaft besser einzuschätzen. Genauer gesagt ist strategische Threat Intelligence ein nicht technischer Ansatz, der den Kontext für die potenziellen Cybersicherheitsrisiken eines Unternehmens auf der Grundlage aktueller globaler Ereignisse, außenpolitischer Maßnahmen, Branchentrends und anderer vorherrschender Einflüsse liefert. Dieses Verständnis ermöglicht es Führungskräften aus der IT und anderen Abteilungen gleichermaßen, Investitionen in Cybersicherheit und Risikomanagement strategisch zu koordinieren. Aufgrund der Komplexität und der Nuancen auf dieser Ebene ist strategische Threat Intelligence am schwersten zu gewinnen. Menschliche Analysten müssen die globale Cybersicherheitslandschaft und die geopolitischen Verhältnisse genau verstehen, um zeitnahe, aussagekräftige und zielführende Berichte zu erstellen.
Bei Threat Intelligence geht es um die Sammlung, Analyse und Anwendung von Daten über potenzielle oder aktuelle Cyberbedrohungen. Das Hauptziel ist die Gewinnung zielführender Erkenntnisse über die Taktiken, Methoden und Verfahren der Angreifer, um die Defensivhaltung eines Unternehmens zu verbessern.
Threat Hunting ist ein proaktiver Ansatz, mit dem aktiv nach Anzeichen für eine Gefährdung oder Schwachstellen im Netzwerk eines Unternehmens gesucht wird. Im Gegensatz zu herkömmlichen Erkennungsmethoden verlässt man sich beim Threat Hunting nicht ausschließlich auf bekannte Bedrohungen oder Warnungen von Sicherheitssystemen.
Während die aus der Threat Intelligence gewonnenen Erkenntnisse Unternehmen bei der Vorbereitung auf potenzielle Angriffe helfen, besteht das Ziel beim Threat Hunting darin, fortschrittliche persistente Bedrohungen und einzigartige Malware zu erkennen, bevor sie Schaden anrichten können, und so die Zeit vom Eindringen bis zur Entdeckung zu verkürzen.
Die Operationalisierung von Threat Intelligence in einem Unternehmen kann aus verschiedenen Gründen eine Herausforderung darstellen:
Der Lebenszyklus von Threat Intelligence ist ein strukturierter Rahmen, den Unternehmen zur effektiven Verwaltung und Nutzung von Threat Intelligence verwenden. Er umfasst sechs miteinander verbundene Phasen, die Teams beim Erheben, Analysieren und Verbreiten von Informationen über potenzielle Bedrohungen anleiten. Dieser zyklische Prozess hilft Unternehmen, sich an die sich entwickelnden Bedrohungen anzupassen und ihre Cybersicherheitslage zu verbessern. Die Phasen lauten wie folgt:
1. Planung und Ausrichtung
In dieser ersten Phase werden die Ziele und der Umfang des Threat Intelligence Programms festgelegt. Unternehmen bewerten ihre Risikotoleranz, ermitteln die wichtigsten zu schützenden Assets und bestimmen den spezifischen Informationsbedarf auf der Grundlage ihrer Branche und Bedrohungslandschaft.
2. Datenerhebung
In dieser Phase werden relevante Daten aus verschiedenen Quellen gesammelt, darunter Open-Source Intelligence (OSINT), Deep- und Dark-Web-Ressourcen, interne Protokolle und Threat Intelligence Plattformen. Das Ziel ist, umfassende Informationen über potenzielle Bedrohungen zusammenzutragen.
3. Verarbeitung
Die gesammelten Daten werden verarbeitet, um irrelevante Informationen herauszufiltern und sie für die Analyse zu strukturieren. Dieser Schritt kann die Bereinigung von Daten, das Entfernen von Duplikaten und die Anreicherung mit zusätzlichem Kontext beinhalten.
4. Analyse
Analysten untersuchen die verarbeiteten Daten, um Muster, Trends und potenzielle Bedrohungen zu erkennen. In dieser Phase werden verschiedene Analysemethoden eingesetzt, darunter Data Mining und maschinelles Lernen, um Rohdaten in zielführende Informationen umzuwandeln.
5. Verbreitung
Die analysierten Informationen werden zeitnah an die relevanten Stakeholder weitergegeben. Durch eine wirksame Verbreitung wird sichergestellt, dass die Entscheidungsträger zielführende Erkenntnisse für Sicherheitsmaßnahmen und Reaktionen auf Vorfälle erhalten.
6. Feedback und Verbesserung
In dieser letzten Phase wird das Feedback der Stakeholder eingeholt, um die Wirksamkeit der bereitgestellten Threat Intelligence zu bewerten. Die hier gewonnenen Erkenntnisse verfeinern den gesamten Lebenszyklusprozess und gewährleisten eine kontinuierliche Verbesserung der Bedrohungserkennung und der Reaktionsstrategien.
Der Lebenszyklus von Threat Intelligence verbessert die Fähigkeit eines Unternehmens, potenzielle Cyberbedrohungen proaktiv zu erkennen und darauf zu reagieren. Mithilfe dieses strukturierten Ansatzes können Unternehmen ihre Schwachstellen besser verstehen, ihre Ressourcen effektiv einsetzen und ihre allgemeine Cybersicherheitsabwehr stärken.
Angesichts von Ransomware und anderen Cyberangriffen, die betrügerische Methoden anwenden, benötigen Unternehmen Lösungen, die Bedrohungen erkennen, die Auswirkungen der Offenlegung sensibler Daten analysieren und Daten sicher isolieren können. Das alles erfordert eine nahtlose Integration in Sicherheitsabläufe und Lösungen, denen Teams bereits vertrauen.
Unternehmen, die ihre Cyber Threat Intelligence verbessern wollen, können sich für folgende Services auf Cohesity DataHawk verlassen:
Unternehmen können Bedrohungen in ihren Backup-Snapshots identifizieren und so das Risiko einer erneuten Infektion verringern und gleichzeitig die Wiederherstellung optimieren. Da DataHawk in die Sicherheitsabläufe von Unternehmen und in bestehende Prozesse zur Reaktion auf Vorfälle und zur Behebung von Problemen integriert werden kann, ist es einfacher zu implementieren und anzuwenden.
Gleichzeitig nutzt Cohesity Threat Hunting die KI/ML-gesteuerte Erkennung von Bedrohungen, um die neuesten Ransomware-Varianten und andere Cyberangriffe zu identifizieren. Um spezifische Bedrohungen zu finden, können Unternehmen benutzerdefinierte oder bestehende YARA-Regeln erstellen und importieren.
