Bedrohungsdaten – auch „Informationen über Cyberbedrohungen“ (CTI) oder „Bedrohungsinformationen“ genannt – sind Daten, die detaillierte Informationen über die Cybersicherheitsbedrohungen für ein Unternehmen haben. Mit Bedrohungsdaten können Sicherheitsteams proaktiver arbeiten, da sie effektive, datengesteuerte Maßnahmen ergreifen können, um Cyberangriffe zu verhindern, bevor sie auftreten. Unternehmen können damit auch laufende Angriffe besser erkennen und darauf reagieren.

Sicherheitsanalysten erstellen Bedrohungsdaten, indem sie unbearbeitete Informationen über Bedrohungen und sicherheitsrelevante Informationen aus verschiedenen Quellen sammeln, dann die Daten korrelieren und analysieren, um Trends, Muster und Zusammenhänge zu erkennen, die detaillierte Kenntnis der tatsächlichen oder potenziellen Sicherheitsbedrohungen ermöglichen. Die daraus resultierenden Daten sind

• Unternehmensspezifisch, nicht auf Allgemeinheiten konzentriert (z. B. Listen gängiger Malware-Stämme), sondern auf bestimmte Schwachstellen in der Angriffsfläche des Unternehmens, die dadurch möglichen Angriffe und die exponierten Assets
  
  
• Detailliert und kontextbezogen und decken nicht nur die Sicherheitsbedrohungen ab, die auf das Unternehmen abzielen, sondern auch die Akteure, die die Angriffe durchführen, die Taktiken, Techniken und Prozeduren (TTP), die Angreifer verwenden, sowie die Indicators of Compromise (IoC), die auf einen bestimmten Cyberangriff hinweisen können
  
  
• Verlässlich und enthalten Informationen, die Sicherheitsteams verwenden können, um Schwachstellen anzugehen, Bedrohungen zu priorisieren und zu beheben und sogar bestehende oder neue Cybersicherheitstools zu bewerten

Laut IBM Bericht Kosten einer Datenschutzverletzung 2022 kostet eine durchschnittliche Datenschutzverletzung ihre Opfer 4,35 Millionen US-Dollar; Kosten für Erkennung und Eskalierung stellen mit 1,44 Millionen US-Dollar den größten Teil dieser Summe dar. Bedrohungsdaten können Sicherheitsteams die Informationen zur Verfügung stellen, die sie benötigen, um Angriffe früher zu erkennen und damit die Kosten für die Erkennung zu reduzieren und die Auswirkung erfolgreicher Sicherheitsverletzungen zu begrenzen. 

Der Threat-Intelligence-Lebenszyklus ist der iterative, fortlaufende Prozess, mit dem Sicherheitsteams ihre Bedrohungsdaten erstellen, verbreiten und kontinuierlich verbessern. Während die Einzelheiten von Unternehmen zu Unternehmen variieren können, folgen die meisten einer Version desselben Prozesses mit sechs Schritten.

Schritt 1: Planung

Sicherheitsanalysten arbeiten mit Stakeholdern des Unternehmens – Führungskräften, Abteilungsleitern, Mitgliedern von IT- und Sicherheitsteams und anderen, die an der Entscheidungsfindung im Bereich Cybersicherheit beteiligt sind – zusammen, um entsprechende Anforderungen an die Daten festzulegen. Diese schließen typischerweise Fragen zur Cybersicherheit ein, die Stakeholder beantwortet haben wollen oder beantworten müssen. Beispielsweise möchte der CISO vielleicht wissen, ob ein neuer, Schlagzeilen machender Ransomware-Stamm auch gefährlich für das Unternehmen werden kann.

Schritt 2: Sammlung von Bedrohungsdaten

Das Sicherheitsteam sammelt alle unbearbeiteten Informationen über Bedrohungen, die die Antworten der Stakeholder möglicherweise enthalten – oder dazu beitragen. Fortsetzung des Beispiels von oben: Wenn ein Sicherheitsteam einen neuen Ransomware-Stamm untersucht, könnte das Team Informationen über die Ransomware-Gruppe hinter den Angriffen, die Arten von Unternehmen, auf die man es in der Vergangenheit abgesehen hatte, und die Angriffsvektoren, die man für die Infektion früherer Opfer genutzt hat, zusammenstellen.

Diese Informationen über Bedrohungen können aus verschiedenen Quellen stammen, darunter:

Threat-Intelligence-Feeds – Ströme von Bedrohungsinformationen in Echtzeit. Der Name täuscht mitunter: Während manche Feeds verarbeitete oder analysierte Bedrohungsdaten enthalten, bestehen andere aus unbearbeiteten Bedrohungsdaten. (Letztere werden manchmal „Bedrohungsdatenfeeds“ genannt.)

Sicherheitsteams abonnieren in der Regel mehrere Open-Source- und kommerzielle Feeds. Zum Beispiel könnte ein Feed IoCs gängiger Angriffe verfolgen, ein anderer Feed könnte Neuigkeiten im Bereich Cybersicherheit zusammenfassen, ein weiterer könnte detaillierte Analysen von Malware-Stämmen bereitstellen und ein vierter könnte Social Media und das Dark Web auf Gespräche rund um neu entstehende Cyberbedrohungen durchsuchen. All dies kann zu besserer Kenntnis von Bedrohungen beitragen.

Communitys zum Informationsaustausch – Foren, Berufsverbände und andere Communitys, in denen Analysten Erfahrungen aus erster Hand, Erkenntnisse und ihre eigenen Bedrohungsdaten teilen.

In den USA betreiben viele Sektoren mit kritischer Infrastruktur – wie Gesundheitswesen, Finanzdienstleistungen sowie Öl- und Gasversorgung – branchenspezifische Information Sharing and Analysis Centers (ISACs). Diese ISACs stimmen sich untereinander über den National Council of ISACs (NSI) ab (Link befindet sich außerhalb von ibm.com). International unterstützt die auf Open Source basierte MISP Threat Sharing Intelligence-Plattform (Link befindet sich außerhalb von ibm.com) eine Vielzahl von Communitys zum Informationsaustausch mit verschiedenen Standorten, Branchen und Themenbereichen. MISP erhielt Finanzmittel sowohl von der NATO als auch von der Europäischen Union.

Interne Sicherheitsprotokolle – interne Sicherheitsdaten aus Sicherheits- und Compliancesystemen wie SIEM (Security Informationen and Response), SOAR (Security Orchestration, Automation and Response), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) und ASM (Attack Surface Management). Diese Daten bieten Aufzeichnungen zu den Bedrohungen und Cyberangriffen, denen das Unternehmen ausgesetzt war, und können dazu beitragen, bisher unerkannte Hinweise auf interne oder externe Bedrohungen zu erkennen.

Informationen aus diesen unterschiedlichen Quellen werden typischerweise in einem zentralen Dashboard, wie einer SIEM- oder Bedrohungsdatenplattform, zusammengefasst, um das Management zu vereinfachen.

Schritt 3: Verarbeitung

In dieser Phase kümmern sich Sicherheitsanalysten um Zusammenfassung, Standardisierung und Korrelation der Rohdaten, die sie gesammelt haben, um die Datenanalyse zu vereinfachen und Erkenntnisse daraus zu ziehen. Dies könnte das Ausfiltern von Fehlalarmen oder das Anwenden eines Threat-Intelligence-Frameworks wie MITRE ATT&CK auf Daten rund um einen früheren Sicherheitsvorfall umfassen, um Verbesserungen zu erzielen.

Viele Threat-Intelligence-Tools automatisieren diese Verarbeitung, indem sie künstliche Intelligenz (KI) und maschinelles Lernen verwenden, um Informationen über Bedrohungen aus verschiedenen Quellen zu korrelieren und erste Trends oder Muster in den Daten zu ermitteln.

Schritt 4: Analyse

Analyse bezeichnet den Punkt, an dem aus unbearbeiteten Informationen über Bedrohungen echte Bedrohungsdaten werden. In dieser Phase testen und prüfen Sicherheitsanalysten Trends, Muster und andere Erkenntnisse, die sie verwenden können, um auf die Sicherheitsanforderungen von Stakeholdern zu reagieren und Empfehlungen zu machen.

Wenn Sicherheitsanalysten beispielsweise herausfinden, dass es die Gruppe hinter einem neuen Ransomware-Stamm auf andere Unternehmen in der Branche des Unternehmens abgesehen hat, kann das Team bestimmte Schwachstellen in der IT-Infrastruktur des Unternehmens ermitteln, die die Gruppe wahrscheinlich nutzen wird, sowie Sicherheitsmaßnahmen oder Patches, die diese Schwachstellen mindern oder beseitigen könnten.

Schritt 5. Verbreitung

Das Sicherheitsteam teilt seine Erkenntnisse und Empfehlungen mit den entsprechenden Stakeholdern. Auf Grundlage dieser Empfehlungen können Maßnahmen ergriffen werden, z. B. das Aufstellen neuer SIEM-Erkennungsregeln, um neu identifizierte IoCs zu finden oder Firewall-Blacklists zu aktualisieren, um Datenverkehr von neu identifizierten verdächtigen IP-Adressen zu blockieren. Viele Threat-Intelligence-Tools integrieren und teilen Daten mit Sicherheitstools wie SOAR oder XDR, um automatisch Alerts für aktive Angriffe zu generieren, Risikoscores für die Priorisierung von Sicherheitsbedrohungen zuzuweisen oder andere Maßnahmen auszulösen.

Schritt 6. Feedback

In dieser Phase reflektieren Stakeholder und Analysten den jeweils letzten Threat-Intelligence-Zyklus, um zu bestimmen, ob die Anforderungen erfüllt wurden. Auftauchende neue Fragen oder neu identifizierte Informationsdefizite können in die nächste Runde des Lebenszyklus einfließen.

Der Threat-Intelligence-Lebenszyklus produziert unterschiedliche Arten von Daten, abhängig von den beteiligten Stakeholdern, den gestellten Anforderungen und den Gesamtzielen einer bestimmten Instanz des Lebenszyklus. Es gibt drei große Kategorien von Bedrohungsdaten:

Taktische Bedrohungsdaten werden vom Security Operations Center (SOC) verwendet, um laufende Cyberangriffe zu erkennen und darauf zu reagieren. Sie konzentrieren sich typischerweise auf gängige IoCs – z. B. IP-Adressen, die zu Befehls- und Steuerungsservern gehören, Dateihashes, die mit bekannten Malware- und Ransomware-Angriffen in Zusammenhang stehen, oder E-Mail-Betreffzeilen, die mit Phishing-Angriffen verbunden sind.

Neben der Unterstützung von Incident-Response-Teams beim Ausfiltern von Fehlalarmen und Abfangen echter Angriffe werden taktische Bedrohungsdaten auch von Threat-Hunting-Teams verwendet, um Advanced Persistent Threats (APTs) und andere aktive, aber verdeckte Angreifer zu finden.

Operative Bedrohungsdaten helfen Unternehmen dabei, künftige Angriffe vorherzusehen und zu verhindern. Sie werden manchmal „technische Bedrohungsdaten“ genannt, da sie die TTPs und Verhaltensweisen bekannter Angreifer beschreiben – z. B. die Angriffsvektoren, die sie verwenden, die Schwachstellen, die sie ausnutzen, und die Assets, auf die sie abzielen. CISOs, CIOs und andere Entscheidungsträger im Bereich Informationssicherheit verwenden operative Bedrohungsdaten, um Angreifer zu ermitteln, die ihr Unternehmen wahrscheinlich angreifen werden, und reagieren mit Sicherheitsmaßnahmen und anderen Maßnahmen, die deren Angriffe verhindern sollen.

Strategische Bedrohungsdaten sind übergeordnete Informationen über die globale Bedrohungslandschaft und die Position eines Unternehmens darin. Strategische Bedrohungsdaten vermitteln Entscheidungsträgern außerhalb der IT, wie z. B. CEOs und anderen Führungskräften, Kenntnis der Cyberbedrohungen, mit denen ihre Unternehmen konfrontiert sind. Strategische Bedrohungsdaten konzentrieren sich in der Regel auf Themen wie geopolitische Situationen, Trends bei Cyberbedrohungen in einer bestimmten Branche oder wie bzw. warum bestimmte strategische Assets des Unternehmens zur Zielscheibe werden können. Stakeholder nutzen strategische Bedrohungsdaten, um umfassendere organisatorische Risikomanagementstrategien und Investitionen auf die Cyberbedrohungslandschaft abzustimmen.