Threat Intelligence: Wie funktioniert das in der Praxis?

So funktioniert Threat Intelligence – Flexa Cloud

Wie werden Informationen zu Cyber-Bedrohungen erstellt? Wie funktioniert das im Unternehmensalltag? Welche Vorteile erzielen Unternehmen, die es nutzen, im Vergleich zu ihren Kollegen, die es noch nicht geschafft haben, eher?

In unserer Artikelserie zu diesem Thema möchten wir Ihnen helfen zu verstehen, warum dieses Konzept von grundlegender Bedeutung ist. Lassen Sie uns nun versuchen, diese Fragen zu beantworten. Kasse! 

→ Vielleicht möchten Sie eine Einführung in das Konzept der Threat Intelligence. Lesen Sie in diesem Fall zuerst diesen Artikel: 

Die sechs Phasen des Threat Intelligence-Zyklus

Cyber ​​Threat Intelligence ist das Endprodukt, das aus einem sechsteiligen Zyklus der Erfassung, Verarbeitung und Analyse von Daten hervorgeht. Dieser Prozess ist ein Zyklus, da während der Intelligence-Entwicklung neue Probleme und Wissenslücken identifiziert werden, was zur Definition neuer Erfassungsanforderungen führt. 

In diesem Sinne ist ein effektives Aufklärungsprogramm iterativ und wird mit der Zeit immer weiter verfeinert.

Um den Wert der von Ihnen erstellten Bedrohungsinformationen zu maximieren, ist es wichtig, Ihre Anwendungsfälle zu identifizieren und Ziele zu definieren, bevor Sie irgendetwas anderes tun. Folgen Sie den folgenden Themen!

1. Planung und Leitung

Der erste Schritt zur Erstellung verwertbarer Threat Intelligence besteht darin, die richtigen Fragen zu stellen.

Die Fragen, die die Erstellung umsetzbarer Bedrohungsinformationen am besten vorantreiben, konzentrieren sich auf eine einzelne Tatsache, ein Ereignis oder eine Aktivität – allgemeine, offene Fragen sollten im Allgemeinen vermieden werden.

Priorisieren Sie Ihre Intelligence-Ziele basierend auf Faktoren wie der Übereinstimmung mit den Kernwerten Ihres Unternehmens, der Auswirkung der resultierenden Entscheidung und der Sensibilität der Entscheidung.

Ein wichtiger Leitfaktor in dieser Phase ist das Verständnis, wer das Endprodukt konsumieren und davon profitieren wird. 

Sie müssen fragen und antworten: 

  • Werden die Informationen an ein Team technisch versierter Analysten gehen, die einen schnellen Bericht über einen neuen Exploit benötigen? 
  • Oder für eine Führungskraft, die nach einem breiten Überblick über Trends sucht, um ihre Entscheidungen über Sicherheitsinvestitionen für das nächste Quartal zu treffen?

2. Sammlung

Der nächste Schritt besteht darin, Rohdaten zu sammeln, die die in der ersten Stufe definierten Anforderungen erfüllen. Es ist am besten, Informationsressourcen aus einer Vielzahl von Quellen zu sammeln – intern, wie z. B. Netzwerkereignisprotokolle und frühere Aufzeichnungen zur Reaktion auf Vorfälle; und externe Quellen aus dem Open Web, Dark Web und technischen Quellen.

Bedrohungsdaten werden im Allgemeinen als Listen von IoCs angesehen, z. B. böswillige IP-Adressen, Domänen und Datei-Hashes. Aber es kann auch Schwachstelleninformationen enthalten, wie z. B. persönlich identifizierbare Informationen von Kunden, Rohcode von eingefügten Websites und Text aus Nachrichtenquellen oder sozialen Netzwerken.

3. Verarbeitung

Nachdem alle Rohdaten gesammelt wurden, müssen Sie sie klassifizieren, mit Metadaten-Tags organisieren und redundante Informationen oder falsch positive und negative Ergebnisse herausfiltern.

Heute sammeln selbst kleine Organisationen täglich Daten in der Größenordnung von Millionen von Protokollereignissen und Hunderttausenden von Indikatoren. Es ist zu viel für menschliche Analysten, um es effizient zu verarbeiten – die Datenerfassung und -verarbeitung muss automatisiert werden, um sinnvoll zu werden.

Lösungen wie SIEMs sind ein guter Ausgangspunkt, da sie die Strukturierung von Daten mit Korrelationsregeln relativ einfach machen, die für einige verschiedene Anwendungsfälle konfiguriert werden können, aber nur eine begrenzte Anzahl von Datentypen aufnehmen können.

Wenn Sie unstrukturierte Daten aus vielen verschiedenen internen und externen Quellen sammeln, benötigen Sie eine robustere Lösung. 

4. Analyse

Der nächste Schritt besteht darin, die verarbeiteten Daten zu verstehen. Der Zweck der Analyse besteht darin, nach potenziellen Sicherheitsproblemen zu suchen und relevante Teams in einem Format zu benachrichtigen, das die im Planungs- und Richtungsschritt beschriebenen Informationsanforderungen erfüllt.

Threat Intelligence kann viele Formen annehmen, abhängig von Ihren anfänglichen Zielen und Ihrer Zielgruppe. Aber die Idee ist, Informationsressourcen in ein Format zu bringen, das die Öffentlichkeit versteht, das von einfachen Bedrohungslisten bis hin zu Peer-Review-Berichten reichen kann.

5. Offenlegung

Das fertige Produkt wird dann an die vorgesehenen Verbraucher verteilt. Damit Threat Intelligence umsetzbar ist, muss sie die richtigen Personen zur richtigen Zeit erreichen.

Es muss auch rückverfolgbar sein, damit eine Kontinuität zwischen einem Geheimdienstzyklus und dem nächsten besteht. Auf diese Weise geht das Lernen nicht verloren. 

Es wird empfohlen, Ticketing-Systeme zu verwenden, die sich in Ihre anderen Sicherheitssysteme integrieren lassen, um jeden Schritt des Intelligence-Zyklus zu verfolgen – jedes Mal, wenn eine neue Intelligence-Anfrage eingeht, können Tickets von mehreren Personen in verschiedenen Teams eingereicht, geschrieben, überprüft und ausgefüllt werden .

6. Kommentare

Die letzte Phase ist, wenn der Intelligenzzyklus abgeschlossen ist, wodurch er eng mit der anfänglichen Planungs- und Richtungsphase verbunden ist. 

Nach Erhalt des fertigen Intelligence-Produkts überprüft der ursprüngliche Anforderer es und stellt fest, ob seine Fragen beantwortet wurden. Dies treibt die Ziele und Verfahren des nächsten Intelligence-Zyklus voran und macht Dokumentation und Kontinuität unerlässlich.

Wie wird in Ihrem Unternehmen mit dem Thema Threat Intelligence umgegangen? Tauchen Sie tiefer in dieses Konzept ein, indem Sie das eBook herunterladen die wir gerade veröffentlicht haben!

Klicken Sie hier zum Herunterladen