Cyber Threat Intelligence (CTI)

Threat Intelligence bezeichnet ganz allgemein die Analyse der Taktiken und Vorgehensweisen von Angreifern, oft zusammengefasst als TTP (Tactics, Techniques, and Procedures, also Taktiken, Techniken und Prozeduren). Beispielsweise enthält die MITRE ATT&CK Matrix eine umfassende Übersicht von häufig eingesetzten Taktiken und Techniken sowie eine Zuordnung der TTPs zu bekannten Gruppen.

Das zentrale Ziel der Threat Intelligence ist, frühzeitig Informationen über Angriffe und deren Methoden zu erhalten. Daraus können dann oft wirksame Schutzmaßnahmen abgeleitet werden. Das können sowohl Informationen zur Verhinderung eines Angriffs (präventive Maßnahmen, z.B. Signaturen für das IPS/IDS) aber auch Informationen zur schnellen Erkennung eines erfolgreichen Angriffs (reaktive Maßnahmen, z.B. Indicator of Compromise (IoC) für ein SIEM) sein. Insbesondere Security Operations Center (SOC) sind auf Threat Intelligence angewiesen, um aus der Fülle an Daten die nötigen Informationen zu extrahieren.

Arten von Threat Intelligence

Threat Intelligence unterscheidet in der Regel zwischen allgemeinen, nicht-technischen Informationen, die z.B. von der Geschäftsführung für die Bewertung des Risikos und Veränderungen der allgemeine Informationssicherheitslage genutzt werden können sowie spezifischen technischen Informationen, die z.B. im IT-Betrieb zur Erkennung von Angriffen genutzt werden können.

 

 

Strategisch

Taktisch

Langzeit

Zusammenfassende Informationen über sich verändernde Risken und BedrohungenInformationen über die allgemeine Vorgehensweise und Methodik von Angreifern (TTPs)
Für die Geschäftsleitung, EntscheiderFür den ISB, das SOC, das IT-Management
   

 

Operativ

Technisch

Kurzzeit

Sofortige Verwendung

Informationen über konkrete, aktuell durchgeführte Angriffe und deren VorgehensweiseInformationen über konkrete Signaturen, IP-Adressen, Domänen und zugehörige Indicator of Compromise (IoC)
Für das IT-Management, den IT-Betrieb, AdministratorenFür das SOC und Incident Response Teams

Bausteine der Threat Intelligence

Wirksame Cyber Threat Intelligence besteht heute in der Regel aus zwei Bausteinen.

Zum einen muss aus eigenen Logfiles Threat Intelligence gewonnen werden. Das kann durch die Auswertung von Logfiles in SIEM-Systemen, insbesondere nach ungewöhnlichem Verhalten und verdächtigen Ereignissen erfolgen. Das kann durch die Analyse des Netzwerkverkehrs bzw. der Logfiles der Firewall nach verdächtiger Kommunikation z.B. von kompromittierten Clients mit einem C&C-Server erfolgen. Threat Intelligence kann sogar durch Honeypots gewonnen werden, die ungewöhnliche Daten aufzeichnen und neue Angriffe bzw. Exploits erkennen können.

Zum anderen gibt es Threat Intelligence Communities in denen von der Community gewonnene Daten über Bedrohungen gesammelt und ausgetauscht werden. Durch das geteilte gemeinsame Wissen kann die Gemeinschaft insgesamt schneller auf Angriffe reagieren, wirksame und effiziente Sicherheitsmaßnahmen umsetzen und sich so besser absichern.

Common Security Advisory Framework (CSAF)

Das Common Security Advisory Framework (CSAF) ist ein von OASIS standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen. CSAF erlaubt Herstellern und Anwendern Informationen zu einzelnen Schwachstellen automatisiert bereitzustellen und abzurufen um so festzustellen, ob eigene Systeme betroffen sind.

Absehbar wird die automatisierte Verarbeitung von Sicherheitsinformationen ein kritischer Bestandteil der Cyber Theat Intelligence und des Vulnerability Managements. In Verbindung mit Vulnerability Exploitability eXchange (VEX) Dokumenten können Unternehmen direkt und ohne manuellen Aufwand prüfen, ob und wie weit sie von neu entdeckten Schwachstellen betroffen sind.

Threat Intelligence in ISO 27001:2022

Threat Intelligence ist übrigens inzwischen auch in den relevanten Informationssicherheitsstandards angekommen.

Die neue Fassung ISO 27001:2022 fordert in Anhang A 5.7 Bedrohungsanalyse (Threat Intelligence) konkret: "Informationen über Bedrohungen der Informationssicherheit sollten gesammelt und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen".

Spätestens bei einer Rezertifizierung nach dem neuen Standard muss eine Cyber Threat Intelligence deshalb umgesetzt werden. Dabei sollte nicht nur auf interne Threat Intelligence gesetzt sondern auch externe Threat Intelligence mit eingebunden werden.

Unsere Leistung

Mit Threat Intelligence können Sie sich und Ihr Unternehmen besser und effizienter vor aktuellen Bedrohungen schützen.

Wir beraten Sie bei der Auswahl geeigneter Lösungen zur Gewinnung von Threat Intelligence, bei der Auswahl der geeigneten Threat Community sowie dem Austausch von Informationen. Wir unterstützen Sie bei der Implementierung und Integration Ihrer Threat Intelligence Systeme und der Einbindung automatischer Verfahren wie CSAF und VEX. Falls nötig unterstützen wir Sie beim Aufbau eines eigenen Security Operations Center (SOC).