Firmen jedweder Größe sind für kriminelle Angreifer ein lohnendes Ziel. Denn die erbeuteten Daten bringen den Gaunern oftmals viel Geld ein, eventuell kassieren so sogar noch Lösegeld. Threat Intelligence hilft, die Bedrohungslage zu verstehen und einzuordnen.
Was Threat Intelligence genau ist und wie dadurch Gefahren abgewehrt werden können, erfahren Sie bei uns.
Unser Beitrag über Threat Intelligence im Überblick:
Was ist Threat Intelligence?
Threat Intelligence (kurz TI oder auch Security Intelligence) basiert auf Telemetriedaten, die von einer Vielzahl von aktiven Endpunkten weltweit stammen. Diese Telemetrie umfasst nicht nur physikalische Endpunkte, sondern auch erweiterte Cloud-Instanzen und IoT-Systeme.
Diese unterschiedlichen Quellen liefern Einzelheiten über beobachtetes Verhalten, identifizieren die Urheber von Cyberkriminalität und lokalisieren die Auswirkungen von Angriffen anhand des MITRE-Frameworks (Richtlinie zur Klassifizierung und Beschreibung von Cyberangriffen). Zusätzlich gibt es Informationen über die geografische Verbreitung von Angriffen und die bevorzugten Plattformen der Angreifer. Dieses Wissen hilft Unternehmen, die Wahrscheinlichkeit eines Angriffs auf ihre jeweiligen Systeme einzuschätzen.
TI beschreibt Cyber-Bedrohungsdaten, weshalb auch immer wieder von Cyber Threat Intelligence die Rede ist. Dabei handelt es sich um ein Gesamtbild aus Informationen über potenzielle Angriffe, denen Unternehmen ausgesetzt sein können. TI dient dazu, Unternehmen, Behörden und andere Organisationen über Risiken von häufigen und schwerwiegenden Bedrohungen ihrer IT von außen und innen zu verstehen und einzuordnen. Dahinter steht das Ziel, das Unternehmen proaktiv vor Angriffen von außen zu schützen – entweder in Eigenregie oder durch einen beauftragten IT-Dienstleister wie PC-SPEZIALIST.
Bedrohungslagen frühzeitig zu erkennen und Hackern einen Schritt voraus zu sein, ist das Ziel von Threat Intelligence. Bild: Pexels/Mati Mango
Welche Infos bietet TI?
TI kann für Unternehmen die verschiedensten Informationen liefern. Folgende Angaben können enthalten sein:
- Mechanismen eines Angriffs
- Erkennungsmöglichkeiten von Angriffen?
- Beeinträchtigungen des Unternehmens durch unterschiedliche Angriffsarten
- Maßnahmenorientierte Empfehlungen zur Verteidigung gegen Angriffe
Cyberkriminelle haben vielfältige Angriffstechniken entwickelt. Dazu gehören unter anderem Zero-Day-Exploits, Malware, Phishing, Man-in-the-Middle-Angriffe und Denial-of-Service-Angriffe. Außerdem entwickeln die Kriminellen die Möglichkeiten, Computersysteme und Netzwerke anzugreifen, ständig weiter. Grund hierfür sind immer neue Schwachstellen, die sie finden und auszunutzen versuchen.
Mit Cyber Threat Intelligence (CTI) bleiben Unternehmen über neue Bedrohungen auf dem Laufenden, sodass sie sich schützen können und Entscheidungen über das weitere Vorgehen treffen können. Denn: TI oder auch CTI kann helfen, laufende Angriffe zu stoppen oder abzuschwächen. Je mehr ein IT-Team über einen Angriff weiß, desto eher kann es eine fundierte Entscheidung über dessen Bekämpfung treffen.
Informationen als Basis
Je mehr Informationen man also sammelt, desto eher ist ein Unternehmen in der Lage, potenzielle Angriffe abzuwehren. Wichtig hierfür ist allerdings, dass die Informationen in einen aussagekräftigen Kontext gestellt und mit dem Verhalten eines Bedrohungsmusters korreliert werden. Nur dann ist es möglich, potenzielle Angriffe frühestmöglich erkennen. Von Interesse sind Informationen wie Daten über die Herkunft stattfindender Angriffe und die Art der Informationen, die Hacker im Visier haben.
Threat Intelligence unterstützt durch den kontinuierlichen Informationsfluss an Telemetriedaten die Prävention komplexer Angriffe, da in Echtzeit eine stets aktuelle Datenbasis zur aktiven Gefahrenlage vorhanden ist. Einen ersten IT-Sicherheitscheck erhalten Sie bei Ihrem PC-SPEZIALIST in Ihrer Nähe. Er nimmt Ihre IT genau unter die Lupe, um mögliche Schwachstellen zu finden und berät Sie anschließend, wie sich vorhandene Lücken schließen lassen.
Egal, wie sehr Sie Ihre IT absichern und Ihre Systeme abschotten Hacker finden immer wieder Lücken, die sie auszunutzen versuchen. Bild: Pexels/Travis Saylor
Arten der Threat Intelligence
Schwachstellen in Systemen wird es vermutlich immer geben. Und deshalb entwickeln sich auch die Angriffsmöglichkeiten auf IT-Systeme immer weiter. Threat Intelligence sorgt dafür, dass Sie in Sachen Angriffstechniken auf dem Laufenden bleiben. Dabei gibt es verschiedenen Arten von TI, die wir für Sie zusammenfassen:
- Strategische Threat Intelligence stellt allgemeine Informationen dar, die die Bedrohung in einen Kontext stellen. Es handelt sich dabei um nicht-technische Informationen. Ein Beispiel hierfür ist die Analyse, welches Risiko eine geschäftliche Entscheidung in Bezug auf die Anfälligkeit für Cyberangriffe darstellt.
- Taktische Threat Intelligence enthält dagegen bereits Details zur Ausführung und Abwehr von Bedrohungen, einschließlich Angriffsvektoren, Tools und Infrastrukturen, welche die Angreifer verwenden werden, Arten von Unternehmen oder Technologien, auf die die Angriffe abzielen, sowie Vermeidungsstrategien. Aus diesen Informationen kann ein Unternehmen die Wahrscheinlichkeit eines Angriffs ableiten.
- Operative Threat Intelligence sind Informationen, die eine IT-Abteilung im Rahmen des aktiven Bedrohungsmanagements nutzen kann, um Maßnahmen gegen einen bestimmten Angriff zu ergreifen. Diese Informationen geben Aufschluss über die Absicht hinter dem Angriff sowie über Art und Zeitpunkt des Angriffs.
- Technische Threat Intelligence liefert konkrete Beweise dafür, dass gerade ein Angriff stattfindet, oder Indicators of Compromise (IoCs). Einige Threat-Intelligence-Tools suchen mithilfe Künstlicher Intelligenz nach diesen Indikatoren.
Wenn Sie in Ihrer Firma Tools für Threat Intelligence einsetzen, können Sie mögliche Cyberbedrohungen frühzeitig erkennen und sich bestmöglich schützen. PC-SPEZIALIST unterstützt Sie dabei.
Was sind Indicators of Compromise?
Wir haben beschrieben, dass technische Threat Intelligence Indicators of Compromise (IoCs) liefert. Doch was genau sind diese Indikatoren? Dazu gehören ganz allgemein:
- Ungewöhnliche Aktivitäten bei einem Nutzerkonto mit erweiterten Rechten weisen oft auf Angriffsversuche hin.
- Ungewöhnliche Anmeldungen außerhalb der regulären Arbeitszeiten, Zugriffsversuche auf nicht autorisierte Dateien, wiederholte Anmeldungen von verschiedenen Orten weltweit oder fehlgeschlagene Anmeldungen von nicht existierenden Konten können auf einen Angriff hindeuten.
- Eine plötzliche Zunahme der Datenbank-Leseaktivität könnte bedeuten, dass ungewöhnlich große Datenmengen abgerufen werden. Ein Beispiel wäre das Sammeln aller Kreditkartennummern aus einer Datenbank.
- Auffällige „Domain Name System (DNS)“-Anfragen, sei es ein plötzlicher Anstieg von Anfragen von einem spezifischen Ort oder ein Muster von Anfragen an externe Hosts, könnten auf den Versand von Befehlen und Kontrolldaten von außerhalb des Firmennetzwerks hinweisen.
- Eine ungewöhnlich hohe Anzahl von Anfragen für dieselbe Datei kann bedeuten, dass jemand verschiedene Methoden nutzt, um eine Sicherheitslücke zu finden – ein Warnsignal für potenzielle Angriffe.
- Unerklärliche Änderungen an Konfigurations- oder Systemdateien sind möglicherweise Anzeichen für das Vorhandensein von Schadsoftware, beispielsweise Kreditkarten-Harvesting-Tools. Diese Veränderungen können einfacher identifiziert werden als das Tool selbst.
Diese und andere Auffälligkeiten sind es, die Sie aufmerksam werden lassen sollten. Wenn Sie in Ihrer Firma allerdings keine IT-Abteilung und auch keinen IT-Verantwortlichen haben, der sich um die Sicherheit Ihrer sensiblen Firmendaten kümmert, dann sollten Sie diese wichtige Aufgabe unbedingt in die Hände eines erfahrenen IT-Dienstleisters wie PC-SPEZIALIST in Ihrer Nähe legen. Unsere IT-Experten kümmern sich darum, dass Ihre IT sicher ist, beispielsweise mit dem IT-Basisschutz. Nehmen Sie gern Kontakt zu uns auf und lassen Sie sich informieren.
_______________________________________________
Quellen: it-daily, kaspersky, vmware, it-business, anomali, Pexels/Tima Miroshnichenko (Headerbild)
Schreiben Sie einen Kommentar