Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
Threat Intelligence

Threat Intelligence

06.09.2022

Die Bedrohungsanalyse (Threat Intelligence) kann in einer Cybersicherheitsumgebung als das Wissen (Intelligence) definiert werden, das aus der Analyse von Beweisen (u. a. Kontext, Indikatoren, Folgen und Empfehlungen) gewonnen wird, die die Kompromittierung von Daten und Informationen bedrohen.

Mit anderen Worten: Threat Intelligence dient dazu, Informationen über Angriffe und Bedrohungen zu organisieren und zu analysieren, die von den Datenübertragungsnetzwerken verschiedener Unternehmen und ihrer Umgebung ausgehen, um den Organisationen zu helfen, ihre Sicherheitsrisiken besser zu verstehen und sich auf diese vorzubereiten.

Plattform für Bedrohungsanalyse

Die heutige IT-Sicherheitslandschaft ist durch einige gemeinsame Probleme gekennzeichnet: riesige Datenmengen, Mangel an Analysten und umfassenden Analysen sowie zunehmende und komplexe Angriffe durch Cyberkriminelle.

Die Netzwerkinfrastrukturen bieten viele Werkzeuge zur Verwaltung verschiedener Sicherheitsinformationen, aber nur wenig Integration zwischen diesen. Um diese Probleme zu bekämpfen, entscheiden sich viele Unternehmen für die Implementierung einer Plattform für Bedrohungsanalyse, die in der Regel Informationen aus verschiedenen bestehenden Sicherheitssystemen integrieren, die Angaben über Datenrisiken anreichern und qualifizieren sowie Bedrohungsdaten analysieren und austauschen kann.

Die Sicherheitsbedrohungen für eine Datennetzwerkinfrastruktur werden heute im Allgemeinen mit Malware, Phishing, Ransomware, Botnets, MITM (Man-in-the-Middle) oder DDOS-Angriffen (Denial-of-Service) und anderen in Verbindung gebracht.

Eine Plattform für Bedrohungsanalyse (TIP: Threat Intelligence Platform) ist eine Lösung, die sich in bestehende Sicherheitsanwendungen integrieren lässt und ein Verwaltungssystem bereitstellt, das einen Großteil der Arbeit automatisiert und vereinfacht, die Analysten bisher selbst durchgeführt haben.

Diese Lösung bietet ein integriertes Informationsarchiv, das den Prozess der Sicherheitsentscheidungen im Hinblick auf den Schutz der Datenintegrität und ordnungsgemäße Funktion der Prozesse eines Unternehmens vereinfacht und optimiert.

Eine Threat-Intelligence-Platform bietet Funktionen, die bei der Analyse potenzieller Bedrohungen und der entsprechenden Abwehrmaßnahmen helfen, indem sie alle möglichen Daten, Anreicherungen und sonstigen verfügbaren Kontexte aufnimmt und diese Informationen in einer Weise anzeigt, die einen Mehrwert bietet, in der Regel in Form von Dashboards, Regeln, Warnungen und Hinweisen.

Die IT-Sicherheitsanalysten verfügen in diesem Fall über ein System, das die Visualisierung von technischen Berichten auf hoher Ebene ermöglicht, so dass Daten ausgetauscht und effektiv analysiert werden können, wenn Sicherheitsvorfälle oder Angriffe auf IT-Infrastrukturen und Anwendungssysteme im Datennetzwerk auftreten.

Bedrohungsdaten

Eine Threat-Intelligence-Platform sammelt und gleicht, in der Regel automatisch, Daten aus verschiedenen Quellen und in unterschiedlichen Formaten ab. Die Fähigkeit, Informationen aus vielen verschiedenen Quellen, sowohl intern als auch extern, zu verarbeiten, ist eine entscheidende Komponente einer robusten Sicherheitsinfrastruktur.

Datenquellen können u. a. sein: Open Source (kostenlos), kostenpflichtig, firmenintern, externe Dritte, staatliche (staatliche oder institutionelle) oder vertrauenswürdige Sharing Communities. Die Austauschformate können wiederum variieren: STIX und TAXII (spezifisch für Threat Intelligence-Systeme), JSON oder XML, E-Mail-Nachrichten, Textdateien (.txt), kommagetrennte Dateien (.csv), PDF- oder Word-Dokumente.

Zu den internen Sicherheitsanwendungen, in die eine Threat-Intelligence-Platform integriert ist, gehören:

  • Sicherheitsinformations- und Ereignisverwaltungssystem (SIEM).
  • Firewall.
  • Proxy.
  • Antivirus.
  • Angriffserkennungssystem (IDS).
  • Angriffsverhinderungssystem (IPS).

Die Sammlung von Daten aus einer Vielzahl von Quellen und in verschiedenen Formaten ist mit viel Arbeit verbunden, um die Informationen abzugleichen, und lässt sich in drei Hauptprozessen zusammenfassen:

  • Standardisierung: Identifizierung von Daten für alle Formate aus verschiedenen Quellen.
  • Deduplizierung: Identifizierung und Beseitigung von doppelten und redundanten Informationen.
  • Datenanreicherung: Aussortierung von Falschmeldungen, Klassifizierung von Indikatoren und Aggregation von Kontexten.

Eine Threat-Intelligence-Platform automatisiert diese Prozesse, so dass die Analysten sich auf die Ermittlungsarbeit konzentrieren können, anstatt die gesammelten Daten zu verwalten.

Die Kombination von Techniken des maschinellen Lernens und der künstlichen Intelligenz mit den Threat-Intelligence-Tools stellt eine Möglichkeit für die Unternehmen dar, da sie die Arbeitsbelastung der Analysten durch die Integration von Komponenten verringern, die erfolgreich die Sprache der Bedrohungen erlernen und gefährliche Elemente, die versuchen, die Sicherheit der Netzwerkinfrastruktur zu verletzen, genau identifizieren können.

Die standardisierten, geprüften und angereicherten Daten werden überwacht und analysiert. Das Hauptziel besteht darin, auf der Grundlage von Hintergrundwissen eine Ausschlussliste zu erstellen, die in der Regel den Zugriff auf Webadressen, Domänen, E-Mails oder schädliche Dateien und andere Funktionen beschränkt.

Implementierung

Die Funktion einer Threat-Intelligence-Platform geht über die Überwachung hinaus, da sie den Unternehmen nicht nur die notwendigen Informationen zur Verfügung stellt, mit denen sie Vorfälle effizient erkennen können, sondern auch die Analyse und Eindämmung von Sicherheitsbedrohungen in Echtzeit ermöglicht, die sich auf die Betriebsumgebung auswirken können.

Die effiziente Nutzung einer Threat-Intelligence-Platform erfordert drei wichtige Voraussetzungen: die richtigen Prozesse, die richtigen Mitarbeiter und die richtige Technologie.

Der erste Faktor sind klar definierte Prozesse, die es dem Fachpersonal ermöglichen, sich über die jeweils zu treffenden Maßnahmen im Klaren zu sein.

Die Prozesse dienen den Sicherheitsanalytikern als Rädchen im Getriebe, damit sie koordiniert handeln, sich gegenseitig informieren und die Wirksamkeit ihrer Maßnahmen erhöhen können.

Als Nächstes sollten die Unternehmen sicherstellen, dass sie über gut ausgebildete Mitarbeiter verfügen, da diese der Schlüssel für das ordnungsgemäße Funktionieren dieser Lösungen sind.

Die Analysten sind dafür zuständig, die Informationen aus den verschiedenen Sicherheitsanwendungen, die dem Unternehmen zur Verfügung stehen, sowie aus anderen externen Datenquellen sinnvoll zu nutzen. Kritisches und schlussfolgerndes Denken soll eine besondere Qualität sein, die hoch geschätzt wird, um Angriffe zu verstehen und angemessen auf Sicherheitsvorfälle zu reagieren.

Schließlich müssen die Sicherheitstechnologien bestimmt werden, die erforderlich sind, um einen Überblick darüber zu erhalten, was in einer Organisation in Bezug auf die IT-Sicherheit geschieht. Überwachungs- und Alarmierungswerkzeuge wie SIEM-Systeme sowie Schutzkomponenten wie Firewall, IDS, IPS oder Anti-Virus müssen gewährleistet sein.

Die Sicherheitsstrategie eines Unternehmens ist nur so effektiv wie die ihr zugrunde liegende Bedrohungsintelligenz. Unter letzterer versteht man die Integration von klar definierten und implementierten Prozessen, hochqualifiziertem Personal und effizienten Tools zum Schutz der eingesetzten Netzwerkinfrastruktur.

Epilog

Die Bedrohungen, die Sie kennen und verstehen möchten, wurden möglicherweise bereits von verschiedenen Fachleuten beschrieben. Daher ist das Sammeln von Informationen der erste Schritt. Es sollten bekannte Verfahren zur Eindämmung von Bedrohungen und zur Kontrolle angewandt werden, die jedoch an die spezifischen Bedürfnisse der jeweiligen Organisation angepasst werden.

Die Threat-Intelligence-Tools liefern selbst keine Analyse. Die Daten bieten keine Informationen über Bedrohungen, da es keine intelligenten Datenquellen gibt. Jede Art von Information erfordert eine Analyse, die von Fachleuten durchgeführt wird, die über ein hohes Maß an Fachwissen in Fragen der IT-Sicherheit verfügen.

Die Automatisierung der Analyse und der Einsatz verschiedener Tools erhöhen die Effizienz der Analysten erheblich, aber es sind immer die Analysten, die den Prozess entwickeln.

Es spielt keine Rolle, wie viel Zugriff man auf die Informationen hat. Die Analyse ist nicht produktiv, wenn sie die Art der Bedrohungen, die eine bestimmte Organisation betreffen können, nicht erkennen kann. Die Kenntnis der eigenen Organisation und ihrer Geschäftsprozesse, vor allem aber die Kenntnis der zu schützenden kritischen Netzwerte, der zu kontrollierenden und der mit Hilfe der Behörden zu untersuchenden und zu verfolgenden Personen ist daher ein Muss für die Analytiker.

Die Implementierung einer Threat-Intelligence-Platform für ein Unternehmen sollte nicht mit einer vollständigen Sicherheitsstrategie verwechselt werden, da sie nur ein Teil davon ist. Sie erfordert Zeit, Mühe und Ressourcen und lässt sich nicht in kurzer Zeit durchführen, sondern muss im Voraus geplant und analysiert werden, um das richtige Zusammenwirken aller Komponenten zu erreichen.

Zurück zur Liste

Bloggen

Bloggen
VoIP
23.06.2025
VoIP steht für Voice over Internet Protocol und bezeichnet die Übertragung von Sprachpaketen über IP-Pakete über Datennetzwerke wie das Internet. Darunter versteht man die Technologie, die es ermöglicht, das Sprachsignal über das Internet mit Hilfe des IP-Protokolls (Internet Protocol) zu übertragen, d. h. das Sprachsignal wird in digitaler Form, in Datenpaketen, statt in analoger Form über Leitungen, die nur für die herkömmliche Telefonie geeignet sind, gesendet.
Mehr lesen
Bloggen
Von Cybermobbing bis zu Datenlecks: Warum auch Kinder Cyber-Erziehung brauchen
09.06.2025
Cybermobbing ist eine der häufigsten Online-Bedrohungen, denen Kinder heute ausgesetzt sind. Laut einem Bericht des Forschungszentrums für Cybermobbing aus dem Jahr 2023 haben 55 % der 13- bis 17-jährigen Jugendlichen in den USA bereits Erfahrungen mit Cybermobbing gemacht - und das ist nur eine von vielen Gefahren, denen Kinder online ausgesetzt sind.
Mehr lesen
Bloggen
Cybersicherheit in der Industrie 4.0
31.05.2025
Die Welt bewegt sich stetig in Richtung Automatisierung und Digitalisierung von Industriebranchen.
Mehr lesen