Cyber Threat Intelligence (CTI)
Threat Intelligence bezeichnet ganz allgemein die Analyse der Taktiken und Vorgehensweisen von Angreifern, oft zusammengefasst als TTP (Tactics, Techniques, and Procedures, also Taktiken, Techniken und Prozeduren). Beispielsweise enthält die MITRE ATT&CK Matrix eine umfassende Übersicht von häufig eingesetzten Taktiken und Techniken sowie eine Zuordnung der TTPs zu bekannten Gruppen.
Das zentrale Ziel der Threat Intelligence ist, frühzeitig Informationen über Angriffe und deren Methoden zu erhalten. Daraus können dann oft wirksame Schutzmaßnahmen abgeleitet werden. Das können sowohl Informationen zur Verhinderung eines Angriffs (präventive Maßnahmen, z.B. Signaturen für das IPS/IDS) aber auch Informationen zur schnellen Erkennung eines erfolgreichen Angriffs (reaktive Maßnahmen, z.B. Indicator of Compromise (IoC) für ein SIEM) sein. Insbesondere Security Operations Center (SOC) sind auf Threat Intelligence angewiesen, um aus der Fülle an Daten die nötigen Informationen zu extrahieren.
Arten von Threat Intelligence
Threat Intelligence unterscheidet in der Regel zwischen allgemeinen, nicht-technischen Informationen, die z.B. von der Geschäftsführung für die Bewertung des Risikos und Veränderungen der allgemeine Informationssicherheitslage genutzt werden können sowie spezifischen technischen Informationen, die z.B. im IT-Betrieb zur Erkennung von Angriffen genutzt werden können.
Strategisch | Taktisch | |
Langzeit | Zusammenfassende Informationen über sich verändernde Risken und Bedrohungen | Informationen über die allgemeine Vorgehensweise und Methodik von Angreifern (TTPs) |
| Für die Geschäftsleitung, Entscheider | Für den ISB, das SOC, das IT-Management | |
Operativ | Technisch | |
KurzzeitSofortige Verwendung | Informationen über konkrete, aktuell durchgeführte Angriffe und deren Vorgehensweise | Informationen über konkrete Signaturen, IP-Adressen, Domänen und zugehörige Indicator of Compromise (IoC) |
| Für das IT-Management, den IT-Betrieb, Administratoren | Für das SOC und Incident Response Teams |
Bausteine der Threat Intelligence
Wirksame Cyber Threat Intelligence besteht heute in der Regel aus zwei Bausteinen.
Zum einen muss aus eigenen Logfiles Threat Intelligence gewonnen werden. Das kann durch die Auswertung von Logfiles in SIEM-Systemen, insbesondere nach ungewöhnlichem Verhalten und verdächtigen Ereignissen erfolgen. Das kann durch die Analyse des Netzwerkverkehrs bzw. der Logfiles der Firewall nach verdächtiger Kommunikation z.B. von kompromittierten Clients mit einem C&C-Server erfolgen. Threat Intelligence kann sogar durch Honeypots gewonnen werden, die ungewöhnliche Daten aufzeichnen und neue Angriffe bzw. Exploits erkennen können.
Zum anderen gibt es Threat Intelligence Communities in denen von der Community gewonnene Daten über Bedrohungen gesammelt und ausgetauscht werden. Durch das geteilte gemeinsame Wissen kann die Gemeinschaft insgesamt schneller auf Angriffe reagieren, wirksame und effiziente Sicherheitsmaßnahmen umsetzen und sich so besser absichern.
Threat Intelligence in ISO 27001:2022
Threat Intelligence ist übrigens inzwischen auch in den relevanten Informationssicherheitsstandards angekommen.
Die neue Fassung ISO 27001:2022 fordert in Anhang A 5.7 Bedrohungsanalyse (Threat Intelligence) konkret: "Informationen über Bedrohungen der Informationssicherheit sollten gesammelt und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen".
Spätestens bei einer Rezertifizierung nach dem neuen Standard muss eine Cyber Threat Intelligence deshalb umgesetzt werden. Dabei sollte nicht nur auf interne Threat Intelligence gesetzt sondern auch externe Threat Intelligence mit eingebunden werden.
Unsere Leistung
Mit Threat Intelligence können Sie sich und Ihr Unternehmen besser und effizienter vor aktuellen Bedrohungen schützen.
Wir beraten Sie bei der Auswahl geeigneter Lösungen zur Gewinnung von Threat Intelligence sowie bei der Auswahl der geeigneten Threat Community sowie dem Austausch von Informationen. Wir unterstützen Sie bei der Implementierung und Integration Ihrer Threat Intelligence Systeme. Falls nötig unterstützen wir Sie beim Aufbau eines eigenen Security Operations Center (SOC).