Anmerkung der Redaktion: In den nächsten Wochen werden wir Auszüge aus der neu veröffentlichten zweiten Ausgabe unseres beliebten Buches „The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program“ teilen. Hier sehen wir uns Kapitel zwei an: „Der Threat Intelligence-Lebenszyklus“.

Auf Ihrem Weg zur Sicherheitsintelligenz müssen umfassende Echtzeitinformationen eng in Ihre Sicherheitsprozesse, Ihr Drittanbieter-Risikomanagementprogramm und Ihre Markenschutzstrategie integriert werden. Aber wie können Sie hierfür Bedrohungsinformationen entwickeln, die Ihrem Unternehmen einen echten Mehrwert bieten? Und wie können Sie sicherstellen, dass die von Ihnen bereitgestellten Informationen für Teams aller Sicherheitsfunktionen umsetzbar sind?

Um diese Fragen beantworten zu können, ist es wichtig, die Erstellung von Bedrohungsinformationen als einen mehrstufigen, zyklischen Prozess zu betrachten – und nicht als eine einmalige Aufgabe.

Definition des Bedrohungsinformationen Zyklus

Zunächst müssen die Ziele des Cyber-Threat-Intelligence-Zyklus von den wichtigsten Interessengruppen definiert werden. Diese Ziele können je nach Anwendungsfall, Prioritäten und Risiko von Organisation zu Organisation stark variieren. Von dort aus müssen Daten aus einer Reihe von Quellen – internen, technischen und menschlichen – gesammelt werden, um ein vollständiges Bild der potenziellen und tatsächlichen Cyber-Bedrohungen zu entwickeln. Anschließend müssen diese Daten verarbeitet und in echte Informationen umgewandelt werden, die zeitnah, klar und für alle umsetzbar sind – unabhängig davon, ob sie ein SOC besetzen, auf Sicherheitsvorfälle reagieren, Schwachstellen verwalten, Risiken von Drittanbietern analysieren, Ihre digitale Marke schützen oder Sicherheitsentscheidungen auf hoher Ebene treffen. Diese fertigen Geheimdienstergebnisse gehen dann an die wichtigsten Beteiligten zurück, die sie nutzen können, um zukünftige Geheimdienstzyklen kontinuierlich zu verbessern und ihren Entscheidungsprozess zu verfeinern.

Der folgende Auszug aus „The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program“ wurde zur besseren Verständlichkeit bearbeitet und gekürzt. Darin werden wir jede der sechs Phasen des Lebenszyklus der Threat Intelligence untersuchen, die Quellen der Threat Intelligence überprüfen und die Rollen von Threat Intelligence Tools und menschlichen Analysten betrachten.

Threat Intelligence-Lebenszyklus in 6 Schritten

Die Bedrohungsaufklärung basiert auf Analysetechniken, die von Regierungs- und Militärbehörden über mehrere Jahrzehnte hinweg verfeinert wurden. Traditionelle Intelligenz konzentriert sich auf sechs verschiedene Phasen, die den sogenannten „Intelligenzzyklus“ ausmachen: Lenkung, Sammlung, Verarbeitung, Analyse, Verbreitung und Feedback.

Bedrohungsinformationen und die sechs Phasen des Informationslebenszyklus.

1 Richtung

In der Richtungsphase des Lebenszyklus legen Sie Ziele für das Threat-Intelligence-Programm fest. Hierzu gehört das Verstehen und Artikulieren von:

• Die Informationswerte und Geschäftsprozesse, die geschützt werden müssen
• Die möglichen Auswirkungen des Verlusts dieser Vermögenswerte oder der Unterbrechung dieser Prozesse
• Die Arten von Bedrohungsinformationen, die die Sicherheitsorganisation benötigt, um Vermögenswerte zu schützen und auf neu auftretende Bedrohungenzu reagieren
• Prioritäten bei der Frage, was geschützt werden soll

Sobald der Bedarf an hochrangigen Informationen ermittelt ist, kann eine Organisation Fragen formulieren, die den Informationsbedarf in diskrete Anforderungen kanalisieren. Wenn es beispielsweise das Ziel ist, mögliche Gegner zu verstehen, wäre eine logische Frage: „Welche Bedrohungsakteure in Untergrundforen fordern aktiv Daten zu unserer Organisation an?“

2. Abholung

Unter Sammlung versteht man den Prozess der Zusammenführung von Informationen zur Erfüllung der wichtigsten Geheimdienstanforderungen. Die Informationsbeschaffung kann auf natürliche Weise mithilfe verschiedener Mittel erfolgen, unter anderem:

• Abrufen von Metadaten und Protokollen aus internen Netzwerken und Sicherheitsgeräten
• Abonnieren Sie Bedrohungsdaten-Feeds von Branchenorganisationen und Cybersicherheitsanbietern
• Führen von Gesprächen und gezielten Interviews mit sachkundigen Quellen
• Scannen von Open-Source-Nachrichten und Blogs (eine gängige OSINT- Praxis)
• Scraping und Harvesting von Websites und Foren
• Infiltrieren geschlossener Quellen wie Darknet-Foren

Die erfassten Daten sind typischerweise eine Kombination aus fertigen Geheimdienstinformationen, wie etwa Geheimdienstberichten von Cybersicherheitsexperten und -anbietern, und Rohdaten, wie etwa Malware-Signaturen oder durchgesickerten Anmeldeinformationen auf einer Paste-Site.

3. Verarbeitung

Unter Verarbeitung versteht man die Umwandlung gesammelter Informationen in ein für die Organisation nutzbares Format. Fast alle gesammelten Rohdaten müssen in irgendeiner Weise verarbeitet werden, sei es durch Menschen oder Maschinen. Unterschiedliche Erfassungsmethoden erfordern oft unterschiedliche Verarbeitungsmethoden. Möglicherweise müssen menschliche Berichte korreliert und bewertet, Konflikte beseitigt und überprüft werden.

Ein Beispiel könnte das Extrahieren von IP-Adressen aus dem Bericht eines Sicherheitsanbieters und das Hinzufügen dieser zu einer CSV-Datei zum Importieren in ein SIEM-Produkt (Security Information and Event Management) sein. In einem technischeren Bereich kann die Verarbeitung das Extrahieren von Indikatoren aus einer E-Mail, deren Anreicherung mit anderen Informationen und die anschließende Kommunikation mit Endpunktschutztools zur automatischen Blockierung umfassen.

4. Analyse

Analyse ist ein menschlicher Prozess, der verarbeitete Informationen in Erkenntnisse umwandelt, die als Entscheidungsgrundlage dienen können. Je nach den Umständen können die Entscheidungen beinhalten, ob potenzielle neu auftretende Bedrohungen untersucht werden sollen, welche Maßnahmen zum Blockieren eines Angriffs sofort ergriffen werden sollen, wie die Sicherheitskontrollen verstärkt werden sollen oder wie viel Investition in zusätzliche Sicherheitsressourcen gerechtfertigt ist.

Dabei kommt es vor allem auf die Form an, in der die Informationen präsentiert werden. Es ist sinnlos und verschwenderisch, Informationen zu sammeln und zu verarbeiten und sie dann in einer Form bereitzustellen, die vom Entscheidungsträger weder verstanden noch genutzt werden kann. Wenn Sie beispielsweise mit nicht-technischen Führungskräften kommunizieren möchten, muss Ihr Bericht:

• Fassen Sie sich kurz (ein einseitiges Memo oder eine Handvoll Folien)
• Vermeiden Sie verwirrende und übermäßig technische Begriffe und Fachjargon
• Formulieren Sie die Probleme in geschäftlichen Begriffen (wie direkte und indirekte Kosten und Auswirkungen auf den Ruf)
• Fügen Sie eine empfohlene Vorgehensweise hinzu

Bestimmte Informationen müssen möglicherweise in unterschiedlichen Formaten für unterschiedliche Zielgruppen bereitgestellt werden, etwa über einen Live-Video-Feed oder eine PowerPoint-Präsentation. Nicht alle Geheimdienstinformationen müssen in einem formellen Bericht verarbeitet werden. Erfolgreiche Cyber-Threat-Intelligence-Teams liefern anderen Sicherheitsteams kontinuierlich technische Berichte mit externem Kontext zu IOCs, Malware, Bedrohungsakteuren, Schwachstellen und Bedrohungstrends.

5. Verbreitung

Bei der Verbreitung geht es darum, die fertigen Geheimdienstergebnisse an die Orte zu bringen, an die sie gelangen sollen. Die meisten Cybersicherheitsorganisationen verfügen über mindestens sechs Teams, die von Bedrohungsinformationen profitieren können.

Für jede dieser Zielgruppen müssen Sie sich folgende Fragen stellen:

• Welche Bedrohungsinformationen benötigen sie und wie können externe Informationen ihre Aktivitäten unterstützen?
• Wie sollten die Informationen präsentiert werden, damit sie für das Publikum leicht verständlich und umsetzbar sind?
• Wie oft sollten wir Updates und andere Informationen bereitstellen?
• Über welche Medien sollen die Informationen verbreitet werden?
• Wie sollten wir weiter vorgehen, wenn sie Fragen haben?

6. Feedback

Wir sind davon überzeugt, dass es von entscheidender Bedeutung ist, Ihre allgemeinen Geheimdienstprioritäten und die Anforderungen der Sicherheitsteams zu verstehen, die die Bedrohungsinformationen nutzen werden. Ihre Anforderungen bestimmen alle Phasen des Bedrohungsaufklärungs-Lebenszyklus und geben Aufschluss über:

• Welche Arten von Daten sollen erfasst werden?
• So verarbeiten und bereichern Sie die Daten, um sie in nützliche Informationen umzuwandeln
• So analysieren Sie die Informationen und stellen sie als verwertbare Bedrohungsinformationen dar
• An wen welche Art von Informationen weitergegeben werden muss, wie schnell sie weitergegeben werden müssen und wie schnell auf Fragen reagiert werden muss

Sie benötigen regelmäßiges Feedback, um sicherzustellen, dass Sie die Anforderungen jeder Gruppe verstehen und um Anpassungen vorzunehmen, wenn sich deren Anforderungen und Prioritäten ändern.

Warum ist der Lebenszyklus Bedrohungsinformationen so wichtig?

Sorgt für Struktur und Organisation:

Der Lebenszyklus Bedrohungsinformationen bietet einen definierten Rahmen mit klaren Phasen (Planung, Sammlung, Verarbeitung, Analyse, Verbreitung, Feedback). Diese Struktur gewährleistet, dass die Bemühungen Bedrohungsinformationen organisiert und systematisch ablaufen und weniger anfällig für Chaos oder Fehler sind, insbesondere beim Umgang mit großen Datenmengen.

Gewährleistet fokussierte und relevante Informationen:

Die Planungsphase legt den Schwerpunkt auf die Definition von Anforderungen und Zielen. Dadurch wird sichergestellt, dass die Informationsbeschaffung auf die spezifischen Bedrohungen und Bedürfnisse der Organisation ausgerichtet ist, wodurch Ressourcenverschwendung für irrelevante Informationen vermieden und der Wert der gewonnenen Erkenntnisse maximiert wird.

Verwandelt Daten in verwertbare Erkenntnisse:

Der Lebenszyklus Bedrohungsinformationen besteht nicht nur aus dem Sammeln von Daten, sondern auch aus deren Transformation. Durch die Prozesse „Verarbeitung“ und „Analyse“ werden Rohdaten bereinigt, angereichert, kontextualisiert und analysiert, um aussagekräftige Muster, Trends und Indikatoren für Kompromisse zu identifizieren. Diese Transformation ist unerlässlich, damit die gewonnenen Informationen für Sicherheitsteams nutzbar sind.

Ermöglicht proaktive Sicherheitsmaßnahmen:

Durch das Verständnis der Motivationen, Taktiken und Infrastruktur der Angreifer (gewonnen in der Analysephase) können Organisationen potenzielle Bedrohungen vorhersehen und proaktive Sicherheitsmaßnahmen ergreifen, um Angriffe zu verhindern, bevor sie stattfinden. Dadurch ändert sich der Sicherheitsstatus von reaktiv zu präventiv.

Verbessert die Bedrohungserkennung und Antwort:

Actionable Bedrohungsinformationen verbessern die Fähigkeit von Sicherheitstools und Analysten, Bedrohungen genau zu erkennen und effektiv darauf zu reagieren. Kontextualisierte Informationen reduzieren Fehlalarme und liefern entscheidende Informationen für eine schnellere Eindämmung, Ausrottung und Wiederherstellung.

Ermöglicht fundierte Entscheidungsfindung:

Bedrohungsinformationen liefern Sicherheitsverantwortlichen einen wertvollen Kontext, um auf Basis der tatsächlichen Bedrohungslandschaft fundierte Entscheidungen über Sicherheitsinvestitionen, politische Anpassungen, Ressourcenzuweisung und Risikomanagement zu treffen.

Unterstützt kontinuierliche Verbesserung:

Die "Feedback"-Phase ist entscheidend, um aus vergangenen Geheimdienstbemühungen und Sicherheitsmaßnahmen zu lernen. Dieser Feedback-Kreislauf ermöglicht es Organisationen, ihre Prozesse zu verfeinern, die Qualität ihrer Informationen zu verbessern und sich an die sich ständig weiterentwickelnden Taktiken der Bedrohungsakteure anzupassen.

Verbessert die Zusammenarbeit und den Informationsaustausch:

Die strukturierte Natur des Bedrohungsinformationen Lebenszyklus ermöglicht eine bessere Kommunikation und einen besseren Austausch von Bedrohungsinformationen innerhalb der Organisation und mit vertrauenswürdigen externen Partnern, was zu einer kollektiveren und effektiveren Verteidigung führt.

Im Wesentlichen bietet der Bedrohungsinformationen einen Fahrplan, um die überwältigende Informationsflut von Cyberbedrohungen in klare, umsetzbare Erkenntnisse zu verwandeln, die es Organisationen ermöglichen, ihren Gegner besser zu verstehen, ihre Abwehr zu stärken und letztendlich ihr Risiko zu reduzieren.

Häufig gestellte Fragen zum Cyber Threat Intelligence Cycle

Warum ist der Cyber-Bedrohungsinformationszyklus für Sicherheitsteams von entscheidender Bedeutung?

Der Cyber-Threat-Intelligence-Zyklus ist für Sicherheitsteams von entscheidender Bedeutung, da er eine strukturierte Methodik zum Sammeln, Analysieren und Nutzen von Bedrohungsdaten bietet. Dieser Zyklus hilft dabei, die Bedrohungslandschaft besser zu verstehen, was wiederum dabei hilft, sich auf Sicherheitsbedrohungen vorzubereiten und effizient darauf zu reagieren. Durch diesen Zyklus werden verwertbare Informationen generiert, die für fundierte Entscheidungen zur Stärkung der Sicherheitslage des Unternehmens gegen Cyberangriffe von entscheidender Bedeutung sind.

Was sind die Hauptvorteile der Implementierung eines Threat-Intelligence-Programms?

Durch die Implementierung eines Bedrohungsaufklärungsprogramms erhalten Unternehmen die Möglichkeit, potenzielle Sicherheitsbedrohungen vorherzusehen, sich darauf vorzubereiten und sie einzudämmen. Dieses Programm ist ein integraler Bestandteil des Bedrohungsaufklärungsprozesses und ermöglicht ein tieferes Verständnis der Bedrohungsakteure und ihrer Taktiken. Dadurch ist das Threat-Intelligence-Team in der Lage, vollständige Bedrohungsdaten bereitzustellen, die für proaktive Abwehrmaßnahmen von entscheidender Bedeutung sind. Darüber hinaus bereichert ein Threat-Intelligence-Programm die Strategien zur Reaktion auf Vorfälle und fördert eine Kultur des kontinuierlichen Lernens und der Anpassung an die sich entwickelnde Bedrohungslandschaft.

Welche Organisationen profitieren am meisten vom Cyber Threat Intelligence Cycle?

Organisationen, die in Sektoren mit wertvollen Daten wie dem Finanz-, Gesundheits- und öffentlichen Sektor tätig sind, sind oft Hauptziele für Bedrohungsakteure und profitieren daher stark vom Cyber-Threat-Intelligence-Zyklus. Dieser Zyklus mit seinen definierten Phasen des Lebenszyklus der Bedrohungsaufklärung unterstützt die Informationssammlung und Bedrohungsaufklärungsanalyse, die für das Verständnis und die Eindämmung potenzieller Risiken von entscheidender Bedeutung ist. Darüber hinaus ist der Cyber Threat Intelligence-Zyklus auch für Unternehmen mit einer starken Onlinepräsenz, Unternehmen, die großen Wert auf Verfügbarkeit legen oder gesetzliche Vorschriften einhalten müssen, unverzichtbar, um sich in der komplexen Sicherheitslandschaft zurechtzufinden.

Welche allgemeinen Herausforderungen treten bei der Implementierung des Cyber Threat Intelligence-Zyklus auf?

Zu den üblichen Herausforderungen bei der Implementierung gehören die anfängliche Einrichtung einer robusten Bedrohungsaufklärungsplattform, die Gewährleistung einer kontinuierlichen und relevanten Informationssammlung sowie die genaue Analyse der Daten zur Generierung umsetzbarer Erkenntnisse. Die Wirksamkeit von Bedrohungsinformationsberichten kann durch einen Mangel an qualifiziertem Personal oder unzureichende Ressourcen beeinträchtigt werden. Darüber hinaus kann es auch eine große Herausforderung darstellen, die aus der Bedrohungsanalyse gewonnenen Erkenntnisse in die vorhandenen Verfahren zur Reaktion auf Vorfälle zu integrieren und einen nahtlosen Informationsfluss sicherzustellen.

Wie trägt der Lebenszyklus Bedrohungsinformationen zur Verbesserung der Sicherheit bei?

Der Bedrohungsinformationen Lebenszyklus erhöht die Sicherheit, indem er einen strukturierten Prozess zur Umwandlung von Rohdaten in verwertbare Erkenntnisse über Bedrohungen bereitstellt. Dies ermöglicht es Organisationen, potenzielle Angriffe proaktiv zu identifizieren, die Genauigkeit der Bedrohungserkennung zu verbessern, die Effektivität der Angriffsreaktion zu steigern, die Verteidigung durch gezielte Kontrollen zu stärken, strategische Sicherheitsentscheidungen zu treffen, die Ressourcenzuweisung zu optimieren, die proaktive Bedrohungsjagd zu erleichtern, den Informationsaustausch zu verbessern und ihren Sicherheitsstatus auf der Grundlage der sich entwickelnden Bedrohungslandschaft durch den entscheidenden Feedback-Loop kontinuierlich zu verfeinern.

Wie verbessern Automatisierung und AI den Lebenszyklus Bedrohungsinformationen ?

Automatisierung und Künstliche Intelligenz (AI) verbessern den Lebenszyklus Bedrohungsinformationen in mehreren Phasen erheblich. 1. Die Datenerfassung profitiert von der Fähigkeit der AI, große Datenmengen aus verschiedenen Quellen, einschließlich unstrukturierter Texte, mithilfe der Verarbeitung natürlicher Sprache (Verarbeitung natürlicher Sprache) automatisch zu scannen und zu verarbeiten, um relevante Informationen und Indikatoren zu identifizieren. 2. In der Verarbeitung und Analyse können AI und Machine-Learning-Algorithmen Daten automatisch anreichern, korrelieren und priorisieren, Muster und Anomalien erkennen, die menschlichen Analysten möglicherweise entgehen, und sogar zukünftige Bedrohungen vorhersagen. 3 Die Verbreitung kann durch KI-gestützte Berichtserstellung und zielgruppengerechte Bereitstellung von Informationen verbessert werden. 4 Schließlich kann die Feedbackphase AI nutzen, um die Effektivität der bisherigen Erkenntnisse zu analysieren und den gesamten Lebenszyklus im Sinne einer kontinuierlichen Verbesserung zu optimieren, was zu schnelleren, genaueren und besser umsetzbaren Bedrohungsinformationen führt. 5

Wie lassen sich Bedrohungsinformationen in die Sicherheitsoperationen integrieren?

Bedrohungsinformationen sind integraler Bestandteil von Sicherheitsoperationen und liefern den entscheidenden Kontext und die Erkenntnisse, die für eine proaktive Verteidigung erforderlich sind. Durch die Integration von Bedrohungsinformationen -Feeds und Plattformen mit SOC-Tools wie SIEM und EDR werden Warnungen mit Angreiferdetails und Taktiken angereichert, was eine bessere Priorisierung und weniger Fehlalarme ermöglicht. Während der Angriffsantwort liefert es wichtige Informationen für eine effektive Eindämmung und Beseitigung und ermöglicht gleichzeitig die proaktive Bedrohungsjagd auf versteckte Bedrohungen. Darüber hinaus informieren Bedrohungsinformationen über die Konfiguration von Sicherheitstools, priorisieren Sicherheitslücken-Patches und treiben sogar die Automatisierung in Antwort-Workflows voran, wodurch Sicherheitsabläufe letztendlich von reaktiv in vorausschauend umgewandelt werden und ihre Fähigkeit verbessert wird, die sich entwickelnde Bedrohungslandschaft zu verstehen und abzumildern.

Holen Sie sich das „Threat Intelligence Handbook“

Das vollständige Kapitel des Buchs enthält noch viele weitere wichtige Inhalte, darunter hilfreiche Diagramme, Hinweise und Tipps zur Anwendung dieser Erklärungen auf Ihr eigenes effektives Bedrohungsaufklärungsprogramm sowie ausführlichere Informationen zu Themen wie Bedrohungsdaten.

Um den Rest zu lesen, laden Sie noch heute Ihr vollständiges (und völlig kostenloses) Exemplar von „The Threat Intelligence Handbook“ herunter.

Dieser Artikel wurde ursprünglich am 15. Januar 2020 veröffentlicht und zuletzt am 5. Februar 2024 aktualisiert.