Was ist Bedrohungsanalyse?

Autor

Matthew Kosinski

Staff Editor

IBM Think

Was ist Bedrohungsanalyse?

Threat-Intelligence – auch Cyberthreat Intelligence (CTI) oder Threat Intel genannt – sind detaillierte, umsetzbare Informationen zu Bedrohungen der Cybersicherheit. Threat-Intelligence hilft Sicherheitsteams dabei, Cyberangriffe proaktiver zu erkennen, abzuschwächen und zu verhindern.

Threat-Intelligence ist mehr als nur reine Bedrohungsinformationen. Es sind Bedrohungsinformationen, die korreliert und analysiert wurden, um Sicherheitsexperten ein tiefes Verständnis der potenziellen Bedrohungen zu vermitteln, denen ihre Unternehmen ausgesetzt sind – und auch, wie man sie abwehren kann.

Genauer gesagt weist Threat-Intelligence drei Hauptmerkmale auf, die sie von rohen Bedrohungsinformationen unterscheiden:  

  • Unternehmensspezifisch: Threat-Intelligence geht über allgemeine Informationen zu hypothetischen Bedrohungen und Angriffen hinaus. Stattdessen konzentriert es sich auf die einzigartige Situation des Unternehmens: spezifische Schwachstellen in der Angriffsfläche des Unternehmens, die Angriffe, die diese Schwachstellen ermöglichen, und die Assets, die sie offenlegen. 

  • Detailliert und kontextbezogen: Threat-Intelligence deckt mehr als nur die potenziellen Bedrohungen für ein Unternehmen ab. Sie behandelt auch die Bedrohungsakteure, die hinter den Angriffen stehen, die Taktiken, Techniken und Verfahren, die sie verwenden, und die Kompromittierungsindikatoren (Indicators of Compromise, IoCs), die auf einen erfolgreichen Cyberangriff hinweisen könnten. 

  • Umsetzbar: Die Threat-Intelligence gibt Informationssicherheitsteams Erkenntnisse, die sie nutzen können, um Schwachstellen zu beheben, Bedrohungen zu priorisieren, Risiken zu beseitigen und den allgemeinen Sicherheitsstatus zu verbessern.

Laut dem Cost of a Data Breach Report von IBM kostet ein Data Breach das betroffene Unternehmen im Durchschnitt 4,44 Millionen US-Dollar. Die Kosten für die Erkennung und Eskalation machen mit 1,47 Millionen US-Dollar den größten Teil dieses Preises aus.

Threat-Intelligence-Programme geben Sicherheitsexperten Informationen an die Hand, die dazu beitragen können, Angriffe früher zu erkennen – und manche Angriffe ganz zu verhindern. Diese schnelleren und effektiveren Reaktionen können die Kosten für die Erkennung senken und die Auswirkungen erfolgreicher Angriffe erheblich einschränken.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Der Threat-Intelligence-Lebenszyklus

Der Threat-Intelligence-Lebenszyklus ist ein iterativer, fortlaufender Prozess, bei dem Sicherheitsteams Bedrohungsinformationen erstellen und verbreiten. Die Einzelheiten können zwar von Unternehmen zu Unternehmen variieren, doch die meisten Bedrohungsinformationsteams folgen einem ähnlichen sechsstufigen Prozess.

Schritt 1: Planung

Sicherheitsanalysten arbeiten mit den Stakeholdern der Organisation zusammen, um nachrichtendienstliche Anforderungen festzulegen. Zu den Stakeholdern können Führungskräfte, Abteilungsleiter, IT- und Sicherheitsteams und alle anderen Personen gehören, die an Entscheidungen im Bereich Cybersicherheit beteiligt sind.  

Die Anforderungen an die Aufklärungsarbeit sind im Wesentlichen die Fragen, welche die Threat-Intelligence für die Stakeholder beantworten müssen. Beispielsweise könnte der Chief Information Security Officer (CISO) wissen wollen, ob eine neue Variante von Ransomware Auswirkungen auf das Unternehmen haben wird.

Schritt 2: Erfassung von Bedrohungsdaten

Das Sicherheitsteam sammelt Bedrohungsrohdaten, um die Anforderungen an die Informationsbeschaffung zu erfüllen und die Fragen der Stakeholder zu beantworten.

Wenn ein Sicherheitsteam beispielsweise eine neue Ransomware-Variante untersucht, kann es Informationen über die Ransomware-Gruppe sammeln, die hinter den Angriffen steckt. Das Team würde zudem untersuchen, welche Arten von Unternehmen in der Vergangenheit angegriffen wurden und welche Angriffsvektoren die Angreifer genutzt haben, um frühere Opfer zu infizieren.

Diese Bedrohungsdaten können aus verschiedenen Quellen stammen. Zu den häufigsten Quellen gehören:

Feeds zu Threat-Intelligence

Threat-Intelligence-Feeds sind Ströme von Echtzeit-Bedrohungsdaten. Der Name ist manchmal irreführend: Während einige Feeds verarbeitete oder analysierte Threat-Intelligence enthalten, bestehen andere aus rohen Bedrohungsdaten. (Letztere werden manchmal auch als „Bedrohungsdaten-Feeds“ bezeichnet.)

Sicherheitsteams abonnieren in der Regel mehrere Open-Source- und kommerzielle Feeds, die von verschiedenen Threat-Intelligence-Services bereitgestellt werden. Verschiedene Feeds können unterschiedliche Dinge abdecken.

So könnte ein Unternehmen beispielsweise für jeden dieser Zwecke separate Feeds haben:

  • Verfolgung der IoCs gängiger Angriffe

  • Aggregation von Cybersicherheitsnachrichten

  • Bereitstellung detaillierter Analysen neuer Malware-Stämme

  • Durchforstung sozialer Medien und des Dark Web nach Gesprächen über neue Cyberbedrohungen

Communitys zum Informationsaustausch

Communitys zum Informationsaustausch sind Foren, Berufsverbände und andere Gemeinschaften, in denen Analysten Erfahrungen, Erkenntnisse, Bedrohungsdaten und andere Informationen aus erster Hand austauschen.  

In den USA betreiben viele wichtige Infrastruktursektoren (wie das Gesundheitswesen, die Finanzdienstleistungsbranche und die Öl- und Gasindustrie) branchenspezifische Informationsaustausch- und Analysezentren (ISACs). Diese ISACs koordinieren sich untereinander über den National Council of ISACs (NSI).

International unterstützt die Open-Source-Plattform MISP Threat Sharing mehrere Communitys zum Informationsaustausch, die sich auf verschiedene Standorte, Branchen und Themen konzentrieren. MISP wurde sowohl von der NATO als auch von der Europäischen Union finanziell unterstützt.

Interne Sicherheitsprotokolle

Daten aus internen Sicherheitslösungen und Bedrohungserkennungssystemen können wertvolle Erkenntnisse in tatsächliche und potenzielle Cyberbedrohungen bieten. Zu den gängigen Quellen für interne Sicherheitsprotokolle gehören:

Interne Sicherheitsprotokolle bieten eine Aufzeichnung der Bedrohungen und Cyberangriffe, denen das Unternehmen ausgesetzt war, und können dabei helfen, bisher unerkannte Hinweise auf interne oder externe Bedrohungen aufzudecken.

Informationen aus diesen verteilten Quellen werden in der Regel in einem zentralen Dashboard, wie z. B. einem SIEM oder einer dedizierten Threat-Intelligence-Plattform, zusammengefasst, um die Verwaltung und automatisierte Verarbeitung zu erleichtern.

Schritt 3: Verarbeitung

In dieser Phase aggregieren, standardisieren und korrelieren Sicherheitsanalysten die gesammelten Rohdaten, um die Analyse zu erleichtern. Die Verarbeitung kann die Anwendung von MITRE ATT&CK oder einem anderen Threat-Intelligence-Framework umfassen, um Daten zu kontextualisieren, Fehlalarme herauszufiltern und ähnliche Vorfälle zu gruppieren.

Viele Threat-Intelligence-Tools automatisieren diese Verarbeitung, indem sie künstliche Intelligenz (KI) und maschinelles Lernen einsetzen, um Bedrohungsinformationen aus mehreren Quellen zu korrelieren und erste Trends oder Muster in den Daten zu identifizieren. Einige Threat-Intelligence-Plattformen enthalten jetzt generative KI-Modelle, die bei der Interpretation von Bedrohungsdaten helfen und auf der Grundlage ihrer Analyse Handlungsschritte generieren können.

Schritt 4: Analyse

Die Analyse ist der Punkt, an dem aus rohen Bedrohungsdaten echte Bedrohungsinformationen werden. In dieser Phase gewinnen Sicherheitsanalysten die Erkenntnisse, die sie benötigen, um die Anforderungen an die Informationsbeschaffung zu erfüllen und ihre nächsten Schritte zu planen.

Zum Beispiel könnten Sicherheitsanalysten feststellen, dass die mit einer neuen Ransomware-Variante in Verbindung gebrachte Bande andere Unternehmen in der Branche des Unternehmens ins Visier genommen hat. Diese Erkenntnis deutet darauf hin, dass diese Ransomware-Variante auch für das Unternehmen ein Problem darstellen könnte.  

Mit diesen Informationen kann das Team Schwachstellen in der IT-Infrastruktur des Unternehmens identifizieren, die die Bande möglicherweise ausnutzen wird, und die Sicherheitskontrollen, die sie zur Minderung dieser Schwachstellen einsetzen können.

Schritt 5: Verbreitung

Das Sicherheitsteam teilt seine Erkenntnisse und Empfehlungen mit den entsprechenden Stakeholdern. Auf der Grundlage dieser Empfehlungen können Maßnahmen ergriffen werden, wie z. B. die Festlegung neuer SIEM-Erkennungsregeln, um neu identifizierte Bedrohungsindikatoren ins Visier zu nehmen, oder die Aktualisierung von Firewalls, um verdächtige IP-Adressen und Domainnamen zu blockieren.

Viele Tools für Threat-Intelligence integrieren und teilen Daten mit Sicherheitstools wie SOARs, XDRs und Schwachstellenmanagementsystemen. Diese Tools können die Threat Intelligence nutzen, um automatisch Warnmeldungen für aktive Angriffe zu generieren, Risikobewertungen für die Priorisierung von Bedrohungen zuzuweisen und andere Reaktionsmaßnahmen auszulösen.

Schritt 6: Feedback

In dieser Phase reflektieren die Stakeholder und Analysten über den letzten Bedrohungsinformationszyklus, um festzustellen, ob die Anforderungen erfüllt wurden. Alle neuen Fragen, die sich ergeben, oder neue Informationslücken, die identifiziert werden, fließen in die nächste Runde des Lebenszyklus ein.

Typen von Threat-Intelligence

Sicherheitsteams produzieren und nutzen je nach ihren Zielen unterschiedliche Arten von Informationen. Zu den Arten von Threat-Intelligence gehören:

Taktische Threat-Intelligence

Taktische Threat-Intelligence hilft Sicherheitsoperationszentren (SOCs), zukünftige Angriffe vorherzusagen und laufende Angriffe besser zu erkennen.

Diese Threat-Intelligence identifiziert üblicherweise gängige IoCs, wie IP-Adressen, die mit Befehls- und Kontrollservern verbunden sind, Dateihashes bekannter Malware-Angriffe oder E-Mail-Betreffzeilen von Phishing -Angriffen.

Zusätzlich zur Unterstützung von Notfallteams beim Abfangen von Angriffen werden taktische Bedrohungsdaten auch von Bedrohungsjagd-Teams genutzt, um fortgeschrittene und anhaltende Bedrohungen (Advanced Persistent Threats, APTs) und andere aktive, aber verborgene Angreifer aufzuspüren.
Operative Threat-Intelligence

Operative Threat-Intelligence ist umfassender und technischer als taktische Threat-Intelligence. Es konzentriert sich darauf, die TTPs und das Verhalten von Bedrohungsakteuren zu verstehen – die Angriffsvektoren, die sie verwenden, die Schwachstellen, die sie ausnutzen, die Assets, auf die sie abzielen, und andere definierende Merkmale.

Entscheidungsträger im Bereich Informationssicherheit verwenden operative Threat-Intelligence, um Bedrohungsakteure zu identifizieren, die wahrscheinlich ihre Unternehmen angreifen werden, und legen die Sicherheitskontrollen und die Strategien fest, mit denen ihre Angriffe effektiv abgewehrt werden können.
Strategische Threat-Intelligence

Strategische Threat-Intelligence ist hochrangige Informationen über die globale Bedrohungslandschaft und die Position eines Unternehmens innerhalb dieser. Strategische Threat-Intelligence vermittelt Entscheidungsträgern außerhalb der IT-Abteilung, wie CEOs und anderen Führungskräften, ein Verständnis für die Cyberbedrohungen, denen ihr Unternehmen ausgesetzt sind.

Strategische Threat-Intelligence konzentriert sich in der Regel auf geopolitische Situationen, Trends bei Cyberbedrohungen in einer bestimmten Branche oder darauf, wie oder warum die strategischen Assets des Unternehmens ins Visier genommen werden könnten. Stakeholder nutzen diese Informationen, um die Risikomanagementstrategien und Investitionen ihres Unternehmens an die Bedrohungslandschaft im Internet anzupassen.
Weiterführende Lösungen
Threat Management Services

Prognostizieren, verhindern und reagieren Sie auf moderne Bedrohungen und erhöhen Sie so die Resilienz Ihres Unternehmens.

 

 Mehr über Threat Management Services erfahren
Lösungen für die Bedrohungserkennung und -reaktion

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 Lösungen zur Bedrohungserkennung erkunden
Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen (Mobile Threat Defense, MTD)

Schützen Sie Ihre mobile Umgebung mit den umfassenden Lösungen von IBM MaaS360 zur Abwehr von mobilen Sicherheitsbedrohungen.

 Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen kennenlernen
Machen Sie den nächsten Schritt

Profitieren Sie von umfassenden Lösungen für das Bedrohungsmanagement, die Ihr Unternehmen fachkundig vor Cyberangriffen schützen.

 Mehr über Threat Management Services erfahren Bedrohungsorientiertes Briefing buchen