So funktioniert Cyber Threat Intelligence

Was ist Threat Intelligence?

Cyber Threat Intelligence (CTI) bezeichnet das strategische Sammeln an Informationen über potenzielle Bedrohungen und Bedrohungs-Akteure für die IT-Sicherheit. Entsprechende Systeme sammeln unterschiedliche Rohdaten, analysieren sie und ermitteln so digitale Risiken. Die Sammlung und Analyse erfolgen kontinuierlich. Die Ergebnisse werden in Data-Feeds oder Reports in eine auswertbare Form zusammengestellt. IT-Verantwortliche und Sicherheitsexperten nutzen die Threat Intelligence als Ausgangspunkt für zeitnahe Sicherheitsmaßnahmen. In manchen Fällen fließen die Daten auch direkt in bestehende Systeme und führen automatisiert Aktionen durch. Ziel ist es Angriffe frühzeitig zu erkennen und präventiv abzuwehren.

Welche Infos liefert Threat Intelligence?

Verschiedene Anbieter liefern unterschiedliche Arten an Informationen. Hier sind einige Beispiele:

•  Erwähnungen in einschlägigen Foren und Marktplätzen (z. B. Unternehmensname, Marke, Produkt, Zulieferer, Partner, CEO etc.)
• Infos zu Technologien, Tools und Prozessen (TTPs) von Angreifern
• Genaue Profile von bekannten Akteuren und Angreifern
• Beschreibungen von Malware (z. B. branchenspezifische Ransomware)
• Bekanntgewordene Software Vulnerabilities
• Geleakte unternehmenseigene Daten (z. B. Logindaten, Patente)
• Meldungen zu aktuellen und vergangenen Sicherheitsvorfällen (z. B. Datenleaks, Angriffe von Hackergruppen)

Was nützen die Daten?

Gefahr erkannt, Gefahr gebannt. Nein, so einfach ist es leider nicht. Denn ein kontinuierlicher Strom an Sicherheitsdaten allein nützt tatsächlich nur wenig. Tatsächlich ist es für viele Unternehmen schwierig, die Flut an Infos effektiv und gezielt zu nutzen. Die Analyse ist daher ein wichtiges Entscheidungskriterium bei der Auswahl einer Cyber Threat Intelligence-Lösung. Nur weil ein User im Dark Web über einen erfolgreichen Hackerangriff berichtet, muss dies nicht automatisch stimmen. Nicht jedes Angebot im Darknet ist echt. Und nicht jede Malware stellt für jedes IT-Netzwerk eine Gefahr dar.

Sicherheitsexperten setzen daher verstärkt auf Digital Risk Protection (DRP). Dieses Konzept geht einen Schritt weiter und identifiziert Threats nicht nur. Es überwacht gezielt digitale Risiken fortwährend und unterstützt IT-Verantwortliche, diese schnell und sicher zu entschärfen. Zusammengefasst lässt sich sagen: Cyber Threat Intelligence sammelt und analysiert Risiken. Digital Risk Protection managt diese. Entsprechende Systeme helfen beispielsweise beim Einleiten von Takedown Verfahren bei falschen Social Media-Profilen oder Phishing Webseiten. Auch als gefährlich erkannte IP-Adressen und Fake Webseiten für Phishing-Angriffe fallen in diese Kategorie.

Was sind die wichtigsten Faktoren?

1. Zeitnahe Informationen

Je schneller Warnungen (Alerts) beim internen Security-Team ankommen, desto höher die Chance, dass sie Angriffe rechtzeitig abwehren. Kommt es trotzdem zum Ernstfall müssen die Verantwortlichen schnell und gezielt Entscheidungen treffen und auf detaillierte Daten zurückgreifen können. Daher liefern gute CTI-Anbieter nicht nur aktuelle Infos, sondern dokumentieren Vorfälle über längere Zeit hinweg. Auch müssen die Meldungen einfach zu verstehen sein und einen schnellen Einblick liefern.

Stellen wir uns zum Beispiel ein Unternehmen vor, dass Opfer von Cyber-Erpressung (Ransomware) wird. Ein ausführliches Profil über die Akteure hilft, die Gefahr realistisch einzuschätzen. Ist die Gruppe bekannt? Wie ist ihr übliches Vorgehen? Welche technischen Schritte haben sich als wirksam erwiesen? Soll ich das erpresste Lösegeld zahlen oder ignorieren?

Ein CTI-Tool braucht deswegen eine Reihe an Funktionen: einen leistungsstarken Filter, eine einfache Suchfunktion und automatische Benachrichtigungen. Im Endeffekt geht es darum, dass alle auf die Informationen direkt und unkompliziert zugreifen können. Das erlaubt die präventive Abwehr von Angriffen.

2. Relevanz

Zeitnahe Meldungen zu aktuellen globalen Threats helfen nur dann, wenn sie für die eigene Organisation auch tatsächlich relevant sind. Sind sie es nicht, müssen Anwender erst noch nach der Nadel im Heuhaufen suchen. Passgenaue Threat Intelligence berücksichtigt die Branche, die Firmengröße, die Kunden, den Wettbewerb, die Produkte und noch viele andere Kriterien. Das Stichwort lautet Kontext.

Cyberkriminelle nehmen oft aus ganz praktischen Gründen einzelne Branchen ins Visier. Die Methoden und Tricks werden dann genau auf dieses Umfeld angepasst. So gibt es spezielle Banking-Trojaner und Malware, die innerhalb von Banken ihr Unwesen treiben. Hersteller im Umfeld der Industrie 4.0 müssen ihre Lieferkette im Blick behalten. In der Weihnachtszeit werden Online-Shops mit DDoS-Attacken (Englisch-Deutsch: Distributed Denial of Service / Nichtverfügbarkeit eines Internetdienste) regelrecht bombardiert. Im Sommer wiederum haben Reiseveranstalter und Buchungsportale mit Kreditkartenbetrug und Phishing zu kämpfen.

Nicht jede neue Angriffswelle ist also gleichermaßen gefährlich. Idealerweise passen Anbieter die CTI passgenau an ihre Kunden an. Das Sammeln und Analysieren der Daten basiert dann auf einem Verzeichnis von sogenannten Key-Assets

3. Know-how von Experten

Algorithmen und smarte Suchfilter übernehmen in der Regel die Schwerstarbeit bei der Datenanalyse. Das heißt aber nicht, dass Threat Intelligence vollständig auf die Expertise und Erfahrung von Sicherheits-Analysten verzichten kann. Sie sind es, die als verdeckte Ermittler auf geschlossene Plattformen im Darknet mit Kriminellen in Kontakt treten. Sie recherchieren auf kriminellen Marktplätzen. Und sie prüfen Angebote, verfolgen Chatverläufe und beobachten Trends.

Fällt beispielsweise der Name eines Unternehmens in einem Forum, wird der gesamte Thread der Unterhaltung genauer unter die Lupe genommen. Einschließlich Zwischentöne und Anspielungen und Art der Bedrohung. Dabei identifizieren die Experten Fehlmeldungen („False Positives“) und priorisieren die Vorfälle nach ihrer Gefährlichkeit. Das spart viel Zeit.

Bei Digital Shadows übernimmt diese Aufgabe das Photon Research Team. Die Task Force gegen Cyberkriminalität besteht aus internationalen Sicherheitsspezialisten und verfolgt Cyberaktivitäten im Netz. Rund um die Uhr (24/7). In 20 Sprachen.