Wir beschäftigen uns mit Threat Intelligence in a eine Reihe von Beiträge hier im Blog. Zuvor haben wir darüber gesprochen, wie diese Strategie funktioniert; wir weisen auf den Zyklus hin, der durchlaufen werden muss, um ihn zu erreichen.
Heute werden wir Ihnen helfen, über die verschiedenen Arten von Bedrohungsinformationen nachzudenken. Sie werden sehen, dass jeder von ihnen einem Ziel oder einer geschäftlichen Realität in Bezug auf die Informationssicherheit entspricht.
Nachverfolgen!
3 Arten von Bedrohungsinformationen
Threat Intelligence wird im Allgemeinen in drei Unterkategorien unterteilt:
- strategisch — allgemeinere Trends, die sich normalerweise an ein technisch nicht versiertes Publikum richten;
- Taktik — Umrisse der Taktiken, Techniken und Verfahren von Bedrohungsakteuren für ein eher fachkundiges Publikum;
- Operativ — technische Details zu bestimmten Angriffen und Kampagnen.
Schauen Sie sich unten eine Aufschlüsselung jeder dieser Unterkategorien an!
1. Strategische Bedrohungsinformationen
Strategische Threat Intelligence bietet einen breiten Überblick über die Bedrohungslandschaft des Unternehmens. Es soll hochrangige Entscheidungen von Führungskräften und anderen Entscheidungsträgern in einer Organisation informieren – daher ist der Inhalt oft weniger technisch und wird in Form von Berichten oder Briefings präsentiert.
Gute strategische Intelligenz sollte Einblicke in Bereiche wie die mit bestimmten Handlungsoptionen verbundenen Risiken, allgemeine Muster in den Taktiken und Zielen von Bedrohungsakteuren sowie geopolitische Ereignisse und Trends liefern.
Zu den gängigen Informationsquellen für strategische Threat Intelligence gehören:
- politische Dokumente von Nationalstaaten oder Nichtregierungsorganisationen;
- Nachrichten aus lokalen und nationalen Medien, branchen- und fachspezifischen Publikationen oder anderen Fachexperten;
- Whitepaper, Forschungsberichte und andere von Sicherheitsorganisationen erstellte Inhalte.
Die Erstellung starker strategischer Threat Intelligence beginnt mit spezifischen, fokussierten Fragen zur Definition der Intelligence-Anforderungen. Analysten mit Erfahrung außerhalb der typischen Cybersicherheitsfähigkeiten werden ebenfalls benötigt – insbesondere ein starkes Verständnis von gesellschaftspolitischen und geschäftlichen Konzepten.
Während das Endprodukt nicht technisch ist, erfordert die Erstellung effektiver strategischer Informationen eine gründliche Recherche großer Datenmengen, oft in mehreren Sprachen.
Dies kann die anfängliche manuelle Erfassung und Verarbeitung von Daten sehr schwierig machen, selbst für die seltenen Analysten, die über die richtigen Sprachkenntnisse, den richtigen technischen Hintergrund und die richtigen Fähigkeiten verfügen.
Eine Threat-Intelligence-Lösung, die die Erfassung und Verarbeitung von Daten automatisiert, trägt also dazu bei, diese Belastung zu verringern, und ermöglicht es weniger erfahrenen Analysten, effizienter zu arbeiten.
2. Taktische Bedrohungsinformationen
Tactical Threat Intelligence beschreibt die Taktiken, Techniken und Verfahren von Bedrohungsakteuren. Es sollte Verteidigern helfen, konkret zu verstehen, wie ihre Organisation angegriffen werden kann und wie sich diese Angriffe am besten abwehren oder abwehren lassen.
Es enthält in der Regel den technischen Kontext und wird von Mitarbeitern verwendet, die direkt an der Verteidigung einer Organisation beteiligt sind, z. B. Systemarchitekten, Administratoren und Sicherheitspersonal.
Von Sicherheitsanbietern erstellte Berichte sind oft der einfachste Weg, um taktische Bedrohungsinformationen zu erhalten.
Aktive Suche nach Informationen in Berichten über die Angriffsvektoren, Tools und Infrastrukturen, die Angreifer verwenden. Einschließlich Details darüber, auf welche Schwachstellen abgezielt wird und welche Exploits Angreifer ausnutzen, sowie welche Strategien und Tools sie möglicherweise verwenden, um die Erkennung zu vermeiden oder zu verzögern.
3. Operative Bedrohungsinformationen
Operational Intelligence ist Wissen über Cyberangriffe, Ereignisse oder Kampagnen. Es bietet Experteneinblicke, die Incident-Response-Teams helfen, Art, Absicht und Zeitpunkt bestimmter Angriffe zu verstehen.
Da dies häufig technische Informationen enthält – wie zum Beispiel welcher Angriffsvektor verwendet wird, welche Schwachstellen ausgenutzt werden oder welche Befehls- und Kontrolldomänen verwendet werden – wird diese Art von Informationen auch als technische Bedrohungsinformationen bezeichnet.
Eine gängige Quelle für technische Informationen sind Bedrohungsdaten-Feeds, die sich häufig auf einen einzigen Indikatortyp konzentrieren, z. B. Malware-Hashes oder verdächtige Domänen.
Aber wenn technische Bedrohungsinformationen streng als abgeleitet von technischen Informationen wie Bedrohungsdaten-Feeds betrachtet werden, sind technische und operative Bedrohungsinformationen nicht vollständig synonym – eher wie ein Venn-Diagramm mit großen Überschneidungen.
Andere Informationsquellen über bestimmte Angriffe können aus geschlossenen Quellen stammen, wie z. B. das Abfangen von Kommunikationen von Bedrohungsgruppen, entweder durch Infiltration oder Eindringen in diese Kommunikationskanäle.
Folglich gibt es einige Hindernisse für das Sammeln dieser Art von Informationen:
- Zugreifen — Bedrohungsgruppen können über private, verschlüsselte Kanäle kommunizieren oder einen Identitätsnachweis verlangen. Es gibt auch Sprachbarrieren mit Bedrohungsgruppen, die sich im Ausland befinden.
- Ruido — Es kann schwierig oder unmöglich sein, aus hochvolumigen Quellen wie Chatrooms und sozialen Medien manuell gute Informationen zu sammeln.
- Verschleierung — Um eine Entdeckung zu vermeiden, können Bedrohungsgruppen Verschleierungstaktiken anwenden, wie z. B. die Verwendung von Aliasnamen.
Threat-Intelligence-Lösungen, die auf maschinellen Lernprozessen für die automatisierte groß angelegte Datenerfassung beruhen, können viele dieser Probleme überwinden, wenn sie versuchen, effektive Threat Operational Intelligence zu entwickeln.
Eine Lösung, die beispielsweise die Verarbeitung natürlicher Sprache verwendet, wird in der Lage sein, Informationen aus fremdsprachigen Quellen zu sammeln, ohne dass menschliches Wissen erforderlich ist, um sie zu entschlüsseln.
Wie wird in Ihrem Unternehmen mit dem Thema Threat Intelligence umgegangen? Tauchen Sie tiefer in dieses Konzept ein, indem Sie das eBook herunterladen die wir gerade veröffentlicht haben!
