Cyber Threat Intelligence: Tools und Dienste
Aufklärungsunterricht
IT-Sicherheit kann nicht mehr nur aus Abwehrmaßnahmen wie Firewalls und Intrusion-Detection-Systemen bestehen. Sie muss außerdem Bedrohungen bereits im Vorfeld erkennen und sich darauf einstellen. Das ist die Aufgabe der Cyber Threat Intelligence.
Das aktive Sammeln von Kontext- und Hintergrundinformationen zu Bedrohungen – etwa zu potenziellen Angreifern, ihren Werkzeugen, Zielen und Vorgehensweisen – ist kein neues Thema. iX berichtete etwa im Artikel „Schlaue Hilfe“ darüber [1]. Um Bedrohungen für ihre IT-Infrastruktur abzuwenden, brauchen Unternehmen und Organisationen Informationen über Angriffsvorbereitungen, um diese frühzeitig erkennen und womöglich verhindern zu können. Gefragt sind nicht nur Rohdaten wie IP-Adressen, von denen aus Kontaktaufnahmen zum Firmennetzwerk erfolgen, sondern vor allem der Kontext. Also etwa, ob diese Adresse als Malware-Quelle bekannt ist.
Auch beim Untersuchen von Vorfällen ist es nützlich, eine gefundene Malware bestimmten Tätern zuordnen zu können. Die Herkunft der Software und die typischen Ziele ihrer Autoren helfen in solchen Fällen, schnell zu klassifizieren. So lassen sich mitunter Indikatoren ableiten, die bei der Identifizierung weiterer betroffener Systeme wichtig sein können. In Anbetracht dessen hat sich in den letzten Jahren ein lebhafter Markt rund um das Thema Cyber Threat Intelligence (CTI) entwickelt.