Informanten für Sicherheitsexperten: Threat Intelligence ist nicht gleich Threat Intelligence

Hinweis: Dieser Artikel stammt aus der Ausgabe 1/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Nur auf dieser Grundlage lassen sich Alarme angemessen bewerten und einschlägige Abwehrmaßnahmen initiieren. Es stellt sich also nicht die Frage, ob Sicherheitsanbieter Threat Intelligence benötigen, sondern welche Varianten sie wofür einsetzen.

Es gibt verschiedene Arten von Threat Intelligence (TI); die bekanntesten sind Reputations-TI, operative TI und strategische TI. Entscheidendes Merkmal für deren Qualität ist dabei der Grad, wie stark Daten angereichert sind oder der Umfang der manuellen Analyse von Rohdaten. Im Folgenden werden zunächst die drei wichtigsten Arten von TI-Daten vorgestellt.

Reputations-TI

Reputation Threat Intelligence, auch Tactical TI genannt, bietet leicht verständliche Informationen zur Reputation von IP-Adressen, URLs, Domänen, Datei-Hashes, Zertifikaten und anderen Artefakten. Sie speisen sich aus Indicators of Compromise (IoC), die aus Live-Systemen extrahiert werden. Hauptvorteil der Reputations-TI ist die Unterstützung für den automatisierten Echtzeitschutz. Die Daten wirken ohne Zusatzkontext oder eine Intervention des IT-Administrators und lassen sich deshalb auch in großem Umfang schnell verarbeiten.

Sie helfen den Sicherheitsteams, Angreifern mit einer ersten schnellen Reaktion zu begegnen. Reputations-TI empfiehlt sich daher besonders in Machine-Readable-Threat-Intelligence-(MRTI)-Szenarien. Hier verarbeiten Maschinen die Informationen – im Gegensatz zum Menschen bei Human Readable Threat Intelligence.

MRTI ist Teil von automatisierten Erkennungssystemen wie Firewalls oder Cloud Access Security Broker (CASB). Eine MRTI enthält zum Beispiel schwarze Listen mit zu sperrenden IP-Adressen. Sie bezieht ihre Informationen von Endpoint-Detection-and-Response-(EDR)-Systemen, Endpoint-Protection-Plattformen (EPP), Backends, Next Generation Firewalls oder anderen vergleichbaren Quellen.

Operative TI

Operative Threat Intelligence behandelt spezifische Risiken und präsentiert angereicherte und korrelierte Daten zu verschiedenen Indikatoren, Bedrohungsakteuren, Malware-Familien, CVE-Schwachstellen, Opferforschung, Exploits oder anderen Artefakten, die bei komplexen Attacken zusammenarbeiten. Solche Informationen nutzen primär Analysten in einem Security Operation Center (SOC) oder IT-Sicherheitsforschern. Sie verwenden sie für Ermittlungen, Incident Response, digitale Forensik oder ähnliche Zwecke, für die interne Host-Daten nicht ausreichen.

Die Validierung dieser Informationen erfordert hoch entwickelte Instrumente. Indicators of Compromise (IoCs) sind kriminellen Akteuren zu attribuieren. Der Prozess der Informationsbeschaffung lässt sich nur teilweise mithilfe von Deep-Learning-Modellen automatisieren. Das menschliche Auge bleibt unersetzbar, um Rohdaten zu untersuchen und zu beurteilen.

Strategische TI

Strategische Threat Intelligence präsentiert manuell oder halb manuell von Datenwissenschaftlern erstellte PDF-Dossiers. Diese Berichte analysieren Trends in der Cybersicherheit und fokussieren einzelne Branchen, Regionen oder Ereignisse. Ihre Informationen unterstützen die IT-Sicherheitsverantwortlichen bei der Priorisierung der IT-Sicherheitsbudgets. Managed Security Service Provider (MSSPs), Anbieter von Sicherheitsdiensten, Rüstungsunternehmen, Behörden oder Unternehmen, die sensible personenrelevante Daten verarbeiten, benötigen Informationen von dieser Qualität, um sich der tatsächlichen Gefahrenlage zu stellen.

Strategische TI untersucht auch, wie Cyberkriminelle ihr Verhalten ändern oder vergleicht den Einsatz von Malware-Familien. Sie analysiert einzelne Ereignisse und liest Trends ab. Das Enterprise-Segment oder Staaten beauftragen Berichte über ihre IT-Sicherheitslage, die mit sehr hohem Aufwand und Kosten verbunden sind. Aber auch diese strategischen Threat-Intelligence-Daten basieren auf reputationsbezogener und operativer Threat Intelligence.

Informanten

Die Daten für eine Threat Intelligence liefern entweder Cybersicherheitsanbieter, Threat-Intelligence-Plattformen von Drittanbietern oder eine „Security Orchestration, Automation and Response (SOAR)“-/„Security Information and Event Management (SIEM)“-Plattform. Um die Informationsgrundlage zu verbessern, integrieren viele SOAR- und SIEM-Anbieter externe TI-Feeds in ihr Angebot.

Eine Threat-Intelligence-Plattform funktioniert häufig wie ein Marktplatz, auf dem reputationsbezogene-, operative und strategische Daten von verschiedenen Anbietern angeboten werden. Sie leitet die Informationen automatisiert oder manuell regelmäßig an die Kunden weiter – in der Regel alle sechs Stunden, zumindest aber einmal pro Tag.

Formate und Protokolle

Damit Unternehmen die gesammelten Threat-Intelligence-Daten effizient nutzen können, müssen diese in einem strukturierten Format vorliegen, das den Austausch und die Integration in bestehende Sicherheitssysteme erleichtert. Leider fehlen noch einheitliche Standards, um TI-Informationen zu verarbeiten. Die Anbieter nutzen viele verschiedene Formate für die zu verarbeitenden Feeds und API-Antworten, hauptsächlich STIX und MISP:

• Mit Structured Threat Information Expression (STIX) lassen sich Daten seriell austauschen. Die geläufige Sprache definiert Standards zur Struktur der Informationen über Gefahren, Akteure oder TTPs (Tactics, Techniques and Procedures, TTPs).
• Das Open-Source-Projekt Malware Information Sharing Platform (MISP) betreibt eine Plattform für den standardisierten Austausch von TI-Daten in einfacher JSON-Struktur. Das erleichtert den Austausch von Cyber-Threat-Intelligenz (CTI) auf der MISP-Plattform oder mit anderen Stellen.

Beide Formate haben aber ihre Grenzen und eignen sich nicht für jedes Szenario gleich gut. Deshalb entwickeln viele Sicherheitsanbieter ihr proprietäres Datenformat für den Austausch von Informationen.

Feeds oder APIs

Alle Informationen – Reputationsdaten, operative Daten und strategische Erkenntnisse – werden von den Lösungen entweder als Feed oder im API-Format bereitgestellt. TI-Feeds liefern ihre Informationen zu bösartigen IPs,
C&C-Servern, URLs oder Domänen, welche die Angreifer verwenden, in der Regel für MRTI-Szenarien. Diese zeichnen sich durch einen hohen Datendurchsatz und zuverlässige Informationen aus. Next Generation Firewalls und
Intrusion-Prevention-Systeme profitieren von erweiterten Abwehrmechanismen, die durch hochwertige Threat-Intelligence-Feeds möglich werden.

TI-APIs nutzen vorwiegend Anwender, die Informationen manuell analysieren wollen. Hierbei handelt es sich um Dienste, mit denen Partner große Datensätze im Rahmen einer Vorfallanalyse oder einer anderen Art von IT-Sicherheitsforschung abfragen können.

Pflichtlektüre für IT-Sicherheitsverantwortliche

Die Funktion ist klar: Threat Intelligence sammelt verschiedene Daten und verarbeitet sie je nach Aufgabe. Solche Informationen sind unerlässlich für eine Cyberabwehr auf der Höhe der Zeit, die immer neue Angriffe von Menschen oder von Maschinen über oft bekannte Kanäle oder mit verwandten Angriffsmustern erkennen und vor ihnen warnen muss.