Threat Intelligence Grundlagen

Den Angreifern eine Nasenlänge voraus

Wissen ist ein wichtiges Instrument zur Abwehr von Cyber-Attacken. Wenn ein Unternehmen weiss, wie und auf was ein Angriff erfolgen könnte, kann es sich entsprechend wappnen. Hier, bei der Prävention, setzt Threat Intelligence an, ein Wissensvorsprung auf mehreren Ebenen.

Text: Andreas Heer, 12. März 2018

Jeden Tag eine schlechte Tat: Täglich sorgen neue Cyber-Attacken auf Unternehmen und Behörden für Schlagzeilen. Die Motivation der Angreifer ist dabei vielfältig. Manchmal ist das Ziel, an vertrauliche Daten zu gelangen (z.B. Betriebsgeheimnisse), manchmal soll ein Schaden angerichtet werden. Und in anderen Fällen geht es den Angreifern nur um Informationsbeschaffung, um sich für ein grösseres Ziel vorzubereiten. So vielfältig die Gründe für eine Cyber-Attacke sind, fast immer stehen kommerzielle Interessen dahinter: So schnell und so einfach wie möglich die Attacken in (digitales) Cash umzuwandeln.

Ein neuer Trend in der Cyberszene ist Crypto Mining. Die Mining-Komponenten werden in manipulierte Webseiten eingebaut, um die Rechnerressourcen der ahnungslosen Besucher zum Schürfen von Krypto-Coins einzusetzen. Der Fantasie der Cyber-Kriminellen sind keine Grenzen gesetzt. Fast täglich tauchen neue Geschäftsideen für Cybercrime und neue Angriffsmuster auf. Mit genügend krimineller Energie und dem entsprechenden Know-how gelingt es oft, die bestehenden Sicherheitsmassnahmen auszuhebeln – mit immer wieder anderen Angriffsformen.

Angriffe erkennen, bevor sie stattfinden

Schutzlos sind Unternehmen deswegen nicht. Denn auch gezielte Angriffe lassen sich abwehren, wenn die Bedrohungslage und die Angriffsszenarien bekannt sind. Mit Hilfe eines «Frühwarnsystems» können Unternehmen präventiv Schutzmassnahmen ergreifen, bevor ein Angriff erfolgt. Und genau hier setzt Threat Intelligence an. Darunter versteht man das Wissen über aktuelle und mögliche Bedrohungen und Angriffsszenarien. Threat Intelligence ist also keine Sicherheitssoftware, sondern eine Sammlung von Daten, die für die gezielte Abwehr potenzieller Angriffe genutzt werden kann. Das ist in etwa vergleichbar mit Wetterdaten, die verwendet werden, um den möglichen Verlauf von Wirbelstürmen vorherzusagen.

Threat Intelligence ist eine junge Disziplin der IT-Sicherheit und wird von verschiedenen Anbietern unterschiedlich interpretiert. So unterscheiden sich Art und Menge der Daten von Angebot zu Angebot. Und Threat Intelligence setzt Fachwissen auf dem Gebiet der Cybersecurity voraus, um die Informationen in konkrete Abwehrmassnahmen zu giessen. Dann aber erweist sich dieser Ansatz als wirksamer Schutz zur präventiven Verhinderung von Angriffen und damit auch zur Schadensverhinderung.

Threat Intelligence: nicht nur technisch, sondern auch strategisch

Doch Threat Intelligence beschränkt sich nicht auf die technische Umsetzung, sondern sollte in den gesamten Lebenszyklus der IT-Sicherheitsstrategie eingebunden werden. Das bedeutet, dass die vorliegenden Informationen auch in die strategische Planung einfliessen. Entsprechend benennt das britische «Centre for the Protection of National Infrastructure» (CPNI) vier Ebenen, auf denen Threat Intelligence ansetzt:

Strategisch: Informationen, mit denen das Risk Management die aktuelle Cyber-Bedrohungslage einschätzen kann. Dazu gehören etwa Angaben über die Häufigkeit regionaler oder branchenspezifischer Angriffe.
Taktisch: Wie gehen die Angreifer vor, und welche Werkzeuge und Informationsquellen nutzen sie? Wenn am Anfang eines Angriffs beispielsweise gezielte Phishing-Attacken auf einzelne Mitarbeiter stehen, lassen sich aus dieser Information entsprechende Präventionsmassnahmen ableiten.
Operativ: Details zu bekannten Angriffen, mit denen Abwehrmassnahmen für diese Art von Attacken getroffen werden können.
Technisch: Konkrete Informationen, die Sicherheitssystemen erlauben, Angriffe zu erkennen. Beispiele dafür sind Adressen von Command & Control Servern, Malware-Signaturen, IP-Adressen und Domain-Namen oder Social-Media-Konten, über die Angriffe lanciert wurden.

Sicherheit dank Wissensvorsprung

Richtig eingesetzt, ergänzt Threat Intelligence Cybersecurity um eine präventive Komponente. Denn technische Sicherheitssysteme greifen immer erst dann, wenn ein Angriff stattfindet. Mit Threat Intelligence können sich Unternehmen gegen mögliche Angriffe wappnen und frühzeitig Massnahmen ergreifen. Dazu gehört auch, dass die IT Security bei einer tatsächlichen Attacke vorbereitet ist und den Angriff abwehren kann. Threat Intelligence ist aber kein Selbstläufer, sondern benötigt Fachwissen auf strategischer und technischer Ebene, um die Daten zu interpretieren und die richtigen Schlüsse daraus zu ziehen. Dann bietet das Vorwissen einen hohen Nutzen bei der präventiven Abwehr von Angriffen. Oder anders gesagt: Threat Intelligence ist eine Chance für Unternehmen, den Angreifern im ewigen Katz-und-Maus-Spiel wieder eine Nasenlänge voraus zu sein.

Kostenloses PDF →

Whitepaper

Threat Intelligence

Threat Intelligence gewinnt für Unternehmen zunehmend an Bedeutung. Erfahren Sie in diesem Whitepaper wie Threat Intelligence definiert wird und welche Ziele sich damit verfolgen lassen.

Webinar Aufzeichnung

Threat Detection & Response

Wollen Sie Werkzeuge kennenlernen, um Cyber-Attacken frühzeitig zu verhindern, zu erkennen und adäquat zu bekämpfen?

Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?

> zur Anmeldung

Die dunkle Seite des Netzes im Griff

Aktive Incident Detection

Auf der Jagd nach verborgenen Angreifern

Digital Risk Protection: proaktives Risiko-Monitoring

Digital Risk Protection bietet umfassendes Risiko-Monitoring und Threat Intelligence, um proaktiv auf Bedrohungen und Cyberangriffe zu reagieren.

Zum Angebot