Die vier Säulen der Threat Intelligence

Frank Lange Frank Lange  |
  • Experte
Threat Intelligence als Trend

Die vier Säulen der Threat Intelligence

Die Finanzbranche steht im Zeitalter der Digitalisierung vor enormen Herausforderungen im Bereich der Cybersicherheit. Angriffe werden zunehmend raffinierter, von gezielten Phishing-Kampagnen bis hin zu komplexen APTs (Advanced Persistent Threats), die speziell auf Schwachstellen in Finanzsystemen abzielen. In diesem Kontext wird effektive Threat Intelligence zur unverzichtbaren Komponente für den Schutz gegen Cyberbedrohungen.

Doch nicht alle Bedrohungsinformationen sind gleich wertvoll. Ein tiefgreifendes Verständnis der vier Hauptkategorien von Threat Intelligence—strategisch, taktisch, operativ und technisch—sowie deren spezifische Anwendung ist entscheidend, um in der dynamischen Bedrohungslandschaft der Finanzbranche bestehen zu können. So werden verschiedene Arten von Bedrohungsdaten innerhalb des Security Stacks richtig verwendet:

Threat Intelligence Platforms (TIPs)

TIPs sammeln, normalisieren und bewerten eingehende Bedrohungsdaten. Sie nutzen die verschiedenen Arten von Bedrohungsinformationen dabei wie folgt:

  • Strategische Bedrohungsdaten: Helfen Führungskräften, ein umfassendes Verständnis der Bedrohungslandschaft zu erlangen und die Relevanz von Bedrohungen für ihre Organisation zu beurteilen.
  • Taktische Bedrohungsinformationen: Bieten aktuelle Indikatoren für Kompromittierungen (IOCs) und Angriffsmuster, die innerhalb der Organisation oder mit vertrauenswürdigen Partnern geteilt werden können, um spezifische Angriffsmethoden vorherzusehen und abzuwehren.
  • Operative Bedrohungsinformationen: Liefern Echtzeit-Warnungen zu aktiven Bedrohungen, sodass Organisationen Informationen über laufende Angriffe austauschen und ihre Reaktionsmaßnahmen schnell koordinieren können.
  • Technische Bedrohungsinformationen: Stellen eine zentrale Sammlung bekannter IOCs bereit, die aus verschiedenen Quellen aggregiert werden, um Sicherheitsteams bei der Priorisierung von Bedrohungen und der Optimierung von Reaktionsmaßnahmen zu unterstützen.

Security Information and Event Management (SIEM)

SIEM-Systeme sammeln und analysieren Protokolldaten aus verschiedenen Quellen innerhalb der IT-Infrastruktur, um potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Einige dieser Informationen, wie IOCs und Profile von Bedrohungsakteuren, stammen aus TIPs.

  • Strategische Bedrohungsinformationen: Unterstützen SIEMs dabei, die kontextuelle Relevanz von Bedrohungen zu verstehen, beeinflussen Korrelationsregeln und verbessern die Priorisierung von Vorfällen.
  • Taktische Bedrohungsinformationen: Ermöglichen präzisere Warnungen und Erkennungen, indem SIEM-Regeln so konfiguriert werden, dass sie spezifische Tactics, Techniques, and Procedures (TTPs) erkennen und Fehlalarme reduzieren.
  • Operative Bedrohungsinformationen: Reichern SIEM-Warnmeldungen mit detaillierten Kontextinformationen an, was die Geschwindigkeit und Genauigkeit der Erkennung sowie Reaktion auf Vorfälle erhöht.
  • Technische Bedrohungsinformationen: Werden integriert, um die Erkennung bekannter Bedrohungen zu verbessern. SIEM-Regeln nutzen IOCs aus technischen Feeds, um ähnliche Aktivitäten im Netzwerk zu identifizieren.

Security Orchestration, Automation, and Response (SOAR)

SOAR ist ein Cloud-Service, der Organisationen bei der Automatisierung manueller Prozesse wie Überwachung, Warnmeldungen, Untersuchungen und Berichterstattung unterstützt. Er basiert auf Bedrohungsdaten, um effektive Reaktionsmaßnahmen durchzuführen.

  • Strategische Bedrohungsdaten: Verbessern die Erstellung automatisierter Workflows, die auf die Prioritäten und langfristigen Ziele der Organisation abgestimmt sind.
  • Taktische Bedrohungsdaten: Treiben die Entwicklung automatisierter Reaktionsabläufe voran. Die Kenntnis der TTPs von Angreifern ermöglicht schnelle Eindämmungsmaßnahmen wie die Isolierung kompromittierter Endpunkte oder das Blockieren bösartiger IP-Adressen.
  • Operative Bedrohungsinformationen: Ermöglichen automatisierte Echtzeit-Reaktionen auf aktive Bedrohungen, z.B. durch Blockieren bösartiger IPs oder Deaktivieren kompromittierter Konten.
  • Technische Bedrohungsinformationen: Erlauben automatisierte Reaktionen auf bekannte Bedrohungen, indem mit IOCs verbundene Entitäten automatisch blockiert oder isoliert werden. Dies reduziert den manuellen Aufwand für Sicherheitsanalysten erheblich.

Das ganzheitliche Threat-Intelligence-Ökosystem verstehen

Gut verwaltete Bedrohungsdaten können den Unterschied zwischen einer sicheren und produktiven Organisation sowie einem sehr öffentlichen Gesichtsverlust ausmachen. Sie sind daher eine entscheidende Komponente der modernen Cybersicherheit und bieten Einblicke in die endlose Reihe potenzieller Bedrohungen und Schwachstellen. Das Entscheidende ist, dass gute Informationen allein nicht ausreichen: Unternehmen müssen in der Lage sein, entsprechend zu handeln, und zwar schnell genug, um Angriffe zu stoppen, bevor sie Fahrt aufnehmen.

Autor

  • : Autor

    Frank Lange ist Technical Director bei Anomali in Deutschland. Mit mehr als zwanzig Jahren einschlägiger Berufserfahrung berät er Kunden bei der Früherkennung von Bedrohungen im Bereich Security Operations. In seiner Laufbahn verantwortete Herr Lange mehrere Architect-Positionen wie beispielsweise bei iSIGHT Partners/FireEye für den Bereich Threat Intelligence oder bei ArcSight/Hewlett-Packard Enterprise für den Bereich Security Information and Event Management (SIEM).

    Neueste Beiträge
    Die vier Säulen der Threat Intelligence
Zurück zu allen Artikeln

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content