Was ist Bedrohungsinformationen?

Bedrohungsinformationen kombinieren Daten aus verschiedenen internen und externen Quellen, um bestehende und neu auftretende Cyberrisiken für das Unternehmen zu verstehen und Verteidigungsstrategien zu stärken. Ein erfolgreiches Bedrohungsinformations-Programm trianguliert Bedrohungsinformationen, filtert und priorisiert Bedrohungen auf der Grundlage des Geschäftsrisikos und speist sie zurück in interne Systeme und Sicherheitskontrollen ein. Bedrohungsinformationen sind eine Schlüsselkomponente eines ausgereiften Cybersicherheitsprogramms.

Cyber-Bedrohungsinformationen decken aktuelle und aufkommende Bedrohungen für das Unternehmen auf. Durch das Verständnis der Taktiken, Techniken und Vorgehensweisen von Angreifern können Unternehmen Bedrohungen vor, während und nach einem Ereignis wirksamer bekämpfen.

Programme zur Bedrohungsinformation helfen Unternehmen dabei, effektivere Entscheidungen darüber zu treffen, wie Schwachstellen behoben, Teststrategien durchgeführt, Pläne für die Reaktion auf Ereignisse entwickelt und die Geschäftskontinuität im Falle eines Ereignisses sichergestellt werden können. Teams für Bedrohungsinformationen arbeiten mit Teams für Cyberrisiken und Sicherheitsteams zusammen.

Ein Bedrohungsinformations-System ist eine zentrale Drehscheibe, die Daten zur Cybersicherheit sammelt, analysiert und daraus Insights generiert. Diese Systeme helfen dabei, Sicherheitsereignisse nachzuverfolgen, zu ermitteln, welche Bedrohungsakteure vorhanden sind, und Sicherheitsteams über die zu ergreifenden Maßnahmen zu informieren. Sie stützen sich häufig auf „Cyber Threat Intelligence“ (CTI), eine Sammlung interner und externer Datenquellen, die dazu beitragen, dem System Kontext zu verleihen.

Ein Bedrohungsinformations-System ist Teil einer ganzheitlichen Sicherheitssoftwarelösung. Lösungen wie AWS Security Hub integrieren häufig Bedrohungsinformationen-Lebenszyklusaktivitäten für eine zentralisierte Verwaltung.

Der Lebenszyklus von Bedrohungsinformationen ist ein kontinuierlicher Prozess, der regelmäßige Aktualisierungen und Überprüfungen erfordert.

Hier sind die wichtigsten Stufen des Lebenszyklus von Bedrohungsinformationen.

Umfang der Umgebung

Vor der Bereitstellung eines Programms für Bedrohungsinformationen müssen Unternehmen ihre Systeme, Daten, Netzwerke, Services, Benutzer und andere Unternehmensressourcen definieren. Unternehmen sollten ihre Vermögenswerte nach betrieblicher Kritikalität und Datensensibilität klassifizieren. Durch das Verständnis des Umfangs der Unternehmensumgebung wird es möglich zu erkennen, welche Bedrohungen für das Unternehmen relevant sind und welche Vermögenswerte ein größeres Ziel darstellen könnten.

Erfassung von Bedrohungsdaten

Sobald der Umfang festgelegt ist, besteht der nächste Schritt im Lebenszyklus der Cyber-Bedrohungsinformationen darin, zahlreiche Datenquellen in einer zentralen Quelle zusammenzuführen. Das Bedrohungsinformationssystem erfasst interne Sicherheitsdaten, Systemberichte und externe Quellen wie Echtzeit-Open-Source- und von Anbietern bereitgestellte Bedrohungs-Feeds, Schwachstellen-Datenbanken sowie Social-Media- und Dark-Web-Überwachung.

In dieser Stufe sollen so viele Bedrohungsdaten wie möglich erfasst werden, um ein umfassendes Spektrum an Informationen zu erhalten. Die Datenerfassung in dieser Stufe ist hochgradig automatisiert, erfolgt kontinuierlich und wird nicht nach geschäftlichem Umfang gefiltert.

Datenverarbeitung

Nach der Datenerfassung filtert, strukturiert, standardisiert, bereichert und transformiert das Unternehmen die Daten, um sie nutzbar zu machen. Unstrukturierte Daten werden in ein maschinenlesbares Format umgewandelt, während strukturierte Daten bereinigt werden, um die Datenqualität zu verbessern, und mit Metadaten versehen werden. Redundante und nicht relevante Daten werden entfernt. Die Verarbeitung sollte so weit wie möglich automatisiert sein.

Analyse

In der Analysephase werden Bedrohungsdaten in umsetzbare Erkenntnisse für das Unternehmen umgewandelt. Automatisierte Systeme beginnen, Muster und Zusammenhänge in den verarbeiteten Daten zu identifizieren und suchen nach Anomalien, Unstimmigkeiten oder Ergebnissen, die von Cybersicherheitsteams weiter untersucht werden.

In dieser Phase können Datenanalysten eine Reihe fortschrittlicher Techniken einsetzen, wie z. B. Machine Learning und prädiktive Modellierung, um bestimmte Bedrohungsindikatoren abzubilden. Diese Prozesse sind sowohl manuell als auch automatisch und sollen Sicherheitsteams relevante und nützliche Insights liefern, die in Cyberabwehrstrategien einfließen.

Berichterstattung

Die Berichterstattung liefert die Ergebnisse der Bedrohungsinformationsanalyse an die Stakeholder des Unternehmens und die relevanten Teams. Die Berichte sind auf die Zielgruppe zugeschnitten und können begrenzte Dashboards, Textdateien, Präsentationen oder andere Kommunikationsformen umfassen.

Die Berichterstattungsphase ist häufig automatisiert, wobei Bedrohungsinformationssysteme einen Bericht erstellen und die Distribution an alle erforderlichen Mitarbeiter erfolgt. Wenn größere Sicherheitsbedrohungen auftreten, kann dies die Notwendigkeit einer manuellen Berichterstattung auslösen.

Teams können neue und unbekannte Bedrohungen auch an die breitere Öffentlichkeit melden, damit andere Organisationen diese Informationen in ihre eigenen Systeme integrieren können.

Überwachung und Anpassung

Bedrohungsinformationssysteme überwachen potenzielle Sicherheitsprobleme, verfolgen IOCs und unterstützen Sicherheitsteams. Ein Bedrohungsinformations-System ist eine wichtige Software innerhalb eines rund um die Uhr besetzten Security Operations Center (SOC).

Während der Analyse können Teams Indikatoren für Kompromittierungen (IOCs) im Zusammenhang mit potenziellen Sicherheits-Ereignissen verfolgen, um Incident-Response-Pläne und Playbooks zu entwickeln, die Bereitstellung neuer oder angepasster Sicherheitskontrollen vorzunehmen, Änderungen an der Systemarchitektur vorzunehmen und die Risiken für das Unternehmen zu aktualisieren. Diese fundierte Reaktion stellt sicher, dass die Sicherheitslage eines Unternehmens nicht beeinträchtigt wird.

Teams müssen aus unerwarteten Sicherheits-Ereignissen und neuen Informationen lernen, um dann ihre bisherigen Leistungen zu wiederholen und zu verbessern. Sicherheitsteams können die Leistung von Sicherheitstools überprüfen, Kommentare zu Reaktionen abgeben und Unstimmigkeiten melden, um zur kontinuierlichen Verbesserung der Bedrohungsinformations-Software beizutragen.

Die Features eines Cyber-Bedrohungsinformations-Programms hängen von der Komplexität der Geschäftsumgebung, den Anforderungen an sensible Daten und den Compliance-Verpflichtungen ab. Hier sind einige der häufigsten Features von Bedrohungsinformations-Programmen.

Datenfeeds

Datenfeeds beziehen sich auf alle Informationsquellen, auf die Bedrohungsinformations-Plattformen zurückgreifen, um ihre Erkenntnisse zu liefern. Diese Bedrohungsinformations-Services sind eine Kernkomponente eines Bedrohungsinformations-Programms.

Zu den externen Datenfeed-Quellen gehören Echtzeit-Open-Source-Intelligence (OSINT), öffentliche Bedrohungsfeeds und Informationen von staatlichen Cybersicherheitsbehörden. Zu den internen Datenfeed-Quellen gehören Firewall-Protokolle, das Verhalten beim Zugreifen von Benutzern, Warnmeldungen des Intrusion Detection Systems (IDS), Endpunktprotokolle und Cloud-Service-Telemetrie.

Technologien

Bedrohungsinformationen stützen sich auf mehrere Technologien, die harmonisch zusammenarbeiten, um Daten zu liefern, Informationen zu analysieren und umsetzbare Erkenntnisse für Sicherheitsteams bereitzustellen. Beispielsweise helfen einige Bedrohungsinformations-Softwareprogramme dabei, Daten zu erfassen und zu organisieren sowie Insights direkt an Sicherheitsteams weiterzugeben, wenn diese Maßnahmen ergreifen müssen.

Analysetechnologien sind unerlässlich, um Muster und Anomalien in Daten zu finden, die dabei helfen, potenzielle Sicherheitsereignisse zu erkennen. Die Analysefunktionen von Cyber-Bedrohungsinformationen beziehen sich auf alle Technologien, die Teams einsetzen, um die Klarheit, Präzision und Tiefe von Daten zu verbessern. Dazu gehören Machine Learning, prädiktive Algorithmen und Verhaltensanalytik.

Sicherheitsinformations- und Ereignismanagementsysteme (SIEM) korrelieren interne Sicherheitsprotokolldaten mit Ereignisinformationen, um in Echtzeit Insight in die möglichen Auswirkungen neuer Bedrohungen auf Ihr Unternehmen zu bieten. Einige Unternehmen integrieren auch In-App-Warnungen in ihre Produkte, die Entwicklern zusätzliche Informationen zu potenziellen Fehlern liefern, wenn sie an bestimmten Aspekten arbeiten.

Frameworks

Frameworks, die Bedrohungsinformationen enthalten, bieten eine standardisierte Struktur, an die sich Unternehmen halten können. Diese Frameworks werden hoch geschätzt und regelmäßig aktualisiert, um beschreibende und präskriptive Leitlinien für Unternehmen zu enthalten. Cybersicherheits-Frameworks, die sich auf Bedrohungsinformationen konzentrieren, sind das MITRE ATT&CK-Framework und die Cyber Kill Chain. Beide Frameworks umfassen Methoden zum Umgang mit Taktiken, Standardvektoren und IOCs.

Aktivitäten

Cyber-Bedrohungsinformationssysteme führen eine Reihe von Aktivitäten durch, um Erkenntnisse zu gewinnen und ihre Fähigkeiten zu verbessern. Beispielsweise können diese Systeme Echtzeit-Risikobewertungen durchführen, bekannte Schwachstellen mit Updates beheben, auf Vorfälle mit Feedback reagieren und Cybersicherheitsexperten Insight geben, welche Ereignisse sie priorisieren sollten.

Es gibt vier Hauptarten von Cyber-Bedrohungsinformationen, die von Sicherheitsexperten genutzt werden.

Strategische Bedrohungsinformationen

Strategische Bedrohungsinformationen beziehen sich auf umfassendere Informationen zur Bedrohungslage, die von Systemen gesammelt werden, darunter geopolitische Daten, Wirtschaftsdaten und andere nicht-technische Informationen, die für die Erstellung eines Kontextprofils eines potenziellen Sicherheitsereignisses nützlich sein können. Diese Art von nicht-technischen, strategischen Bedrohungsinformationen liefert wertvolle Insights, die zum Verständnis allgemeiner Schwachstellen und ihrer Entwicklung beitragen.

Taktische Bedrohungsinformationen

Taktische Bedrohungsinformationen beziehen sich auf das Sammeln von Informationen über die Taktiken, Techniken und Verfahren (TTPs) von Angreifern, einschließlich TTPs aus fortgeschrittenen persistenten Bedrohungen (APTs). Branchenweite Informationsdaten werden über öffentliche Sicherheitsfeeds ausgetauscht. Diese Informationen vermitteln Sicherheitsexperten ein Verständnis für das typische Verhalten bestimmter Angriffe, die verwendeten Vektoren und die Abfolge von Aktionen, die bei einem bestimmten Sicherheitsereignis auftreten.

Technische Bedrohungsinformationen

Technische Bedrohungsinformationen beziehen sich auf alle maschinell identifizierten Anzeichen einer Kompromittierung. Diese IOCs, wie z. B. das Vorhandensein bösartiger IP-Adressen, unerwarteter Sicherheits-URLs, Firewall-Reaktionen oder plötzliche Änderungen der erwarteten Betriebswerte eines Systems, werden alle markiert, damit die Teams sie weiter untersuchen können.

Operative Bedrohungsinformationen

Operative Bedrohungsinformationen sind eine zusammengesetzte Form von Informationen zwischen taktischen und technischen Informationen. Diese Form der operativen Informationen bietet Einblicke in branchenweites Wissen, beispielsweise darüber, wie eine bestimmte Form von Ransomware oder Malware in bestimmten Unternehmen oder Regionen zunehmend auftritt. Operative Bedrohungsinformationen ermöglichen es Unternehmen, Maßnahmen zu ergreifen, um potenzielle Sicherheits-Ereignisse zu entschärfen, bevor sie auftreten.

AWS Cloud Security trägt mit speziellen Integrationen, Automatisierungen und Visualisierungen rund um Bedrohungsinformationen zum Support der Sicherheit Ihrer Cloud-Umgebung bei. AWS Cloud Security hilft Ihnen dabei, potenzielle Risiken zu identifizieren, Ihre Infrastruktur durch Datenschutzmaßnahmen zu schützen, die Sicherheitslage auf unerwartete Ereignisse zu überwachen und sogar direkt auf Vorfälle zu reagieren.

AWS Security Hub priorisiert Ihre kritischen Sicherheitsprobleme und hilft Ihnen, skalieren zu reagieren, um Ihre Umgebung zu schützen. Es liefert Bedrohungsinformationen, erkennt kritische Probleme, indem es Signale korreliert und zu umsetzbaren Erkenntnissen anreichert, und ermöglicht so eine optimierte Reaktion.

Beginnen Sie noch heute mit Bedrohungsinformationen in AWS, indem Sie ein kostenloses Konto erstellen.