Was ist ein Bedrohungsanalyse-Feed?

Bart Lenaerts-Bergmans - Dezember 6, 2023

Ein Bedrohungsanalyse-Feed ist ein kontinuierlicher Echtzeit-Datenstrom, der Informationen zu Cyberrisiken und -bedrohungen sammelt. Die Daten konzentrieren sich meist auf einen einzelnen Bereich, der für die Cybersicherheit von Interesse ist, wie ungewöhnliche Domänen, Malware-Signaturen oder IP-Adressen, die mit bekannten Bedrohungsakteuren verknüpft sind.

Für sich genommen sind Daten aus Bedrohungsanalyse-Feeds von relativ begrenztem Nutzen. Ihr Wert entfaltet sich erst, wenn der Daten-Feed in andere Sicherheitstools, Plattformen oder Funktionen integriert wird, um die umfassendere Bedrohungsanalysefähigkeit des Unternehmens zu unterstützen und ermöglichen.

Definition von Bedrohungsdaten?

Die Bedrohungsanalyse umfasst Daten, die erfasst, verarbeitet und analysiert werden, um sich ein Bild von den Motiven, Zielen und Angriffsverhalten von Bedrohungsakteuren zu machen. Bedrohungsdaten ermöglichen Sicherheitsteams schnellere, fundiertere und datengestützte Sicherheitsentscheidungen sowie den Wechsel von der reaktiven zur proaktiven Abwehr von Angriffen.

Erkenntnisse und Daten aus Bedrohungsanalyse-Feeds können für folgende Zwecke verwendet werden:

  • Blockieren von bekannten schädlichen Quellen
  • Unterstützung der Bedrohungserkennung
  • Priorisieren von Warnungen und Anleiten von Behebungsmaßnahmen
  • Hinzufügen von Kontext während einer Untersuchung

Bedrohungs-Feeds im Vergleich zu Bedrohungsanalyse-Feeds

Bedrohungs-Feeds und Bedrohungsanalyse-Feeds sind beide Echtzeit-Datenströme, die Informationen zu Cyberrisiken oder Cyberbedrohungen sammeln. Der Hauptunterschied zwischen den beiden ist jedoch der Kontext.

Während Bedrohungs-Feeds lediglich riesige Datenmengen erfassen und diese Sicherheitsteams über einen Bericht oder eine Live-Ansicht des Datensatzes zur Verfügung stellen, liefert ein Bedrohungsanalyse-Feed Indikatoren für eine Kompromittierung mit ihrem relevanten Kontext. In der digitalen Forensik handelt es sich dabei um Anzeichen, die darauf schließen lassen, dass eine Datei, ein System oder ein Netzwerk beeinträchtigt wurde. So können sich Teams auf die dringendsten Probleme und Warnungen konzentrieren.

Der Kontext ist für moderne IT-Abteilungen entscheidend. Viele IT-Teams sind überarbeitet und unterbesetzt und haben nicht genug Zeit, um mehrere Daten-Feeds zu verwalten und zu überprüfen. Technologie, einschließlich Datenaggregation und -analyse (AI ML), zur Analyse unbearbeiteter Feed-Daten, Deduplizierung und Bereitstellung von Kontext rund um die Ergebnisse trägt dazu bei, die Daten umsetzbarer und damit nützlicher zu gestalten.

Open-Source-Bedrohungsanalyse-Feeds im Vergleich zu kostenpflichtigen Bedrohungsanalyse-Feeds

Bedrohungsanalyse-Feeds lassen sich im Allgemeinen in zwei Kategorien einteilen:

  1. Kostenlose Open-Source-Bedrohungsanalyse-Feeds
  2. Kostenpflichtige Drittanbieterdienste

Kostenlose Bedrohungsanalyse-Feeds basieren im Allgemeinen auf Open-Source-Daten und werden von Mitgliedern einer Online-Community verwaltet. Viele Open-Source-Bedrohungs-Feeds sind auf eine bestimmte Art von Bedrohungsaktivität spezialisiert, beispielsweise Malware-URLs oder Spam-IP-Adressen. Zu den beliebtesten Open-Source-Feeds zur Bedrohungsanalyse gehören:

  • URLhaus: Erfasst, verfolgt und kommuniziert Malware-URLs
  • Spamhaus Project: Verfolgt E-Mail-Spammer und Spam-bezogene Aktivitäten
  • FBI InfraGard: Eine Partnerschaft zwischen dem FBI und privaten Unternehmen zum Schutz kritischer US-Infrastruktur

Zahlungspflichtige Bedrohungs-Feeds können ebenfalls Open-Source-Daten nutzen. In der Regel erfassen sie jedoch auch Daten aus geschlossenen Quellen, fassen mehrere Open-Source-Feeds zu einem einzigen Stream zusammen oder führen ihren eigenen analysebasierten Feed aus.

Unabhängig davon, ob Ihr Unternehmen auf kostenlose oder kostenpflichtige Bedrohungsanalyse-Feeds setzt, ist es wichtig zu bedenken, dass mehr Daten nicht unbedingt mehr Sicherheit bedeuten. Tatsächlich beeinträchtigen mehr Daten (z. B. mehrere Feeds) die Sicherheitslage eines Unternehmens sogar, wenn diese überwältigende Menge an Informationen zu Ermüdung, entgangenen Warnungen oder dem Nichterkennen einer tatsächlichen Bedrohung führen können.

Darüber hinaus müssen Unternehmen verstehen, dass nicht alle Bedrohungs-Feeds zuverlässig oder zeitnah sind. Sie müssen berücksichtigen, wer die Daten besitzt und erfasst, und bewerten, wie genau, vollständig und zuverlässig der Datensatz ist. Außerdem ist zu beachten, dass auch Bedrohungsakteure Zugriff auf viele Bedrohungsanalyse-Feeds haben, insbesondere auf Open-Source-Feeds. Einige Akteure übermitteln absichtlich fehlerhafte Daten im Rahmen der Spionageabwehr, während andere die Feeds überwachen, um den Cybersicherheitsteams immer einen Schritt voraus zu sein.

Schließlich muss sowohl bei kostenpflichtigen als auch bei kostenlosen Bedrohungsanalyse-Feeds sichergestellt sein, dass das IT-Team über den richtigen Kontext zu den generierten Daten verfügt, um wichtige Erkenntnisse erkennen und darauf reagieren zu können.

CrowdStrike Global Threat Report 2023

Der Global Threat Report 2023 beleuchtet einige der produktivsten und fortschrittlichsten Cyber-Bedrohungsakteure auf der ganzen Welt. Dazu gehören nationalstaatliche, eCrime- und Hacktivisten-Gegner. Lesen Sie mehr über die raffiniertesten und gefährlichsten Cyberkriminellen, die es gibt.

Jetzt herunterladen

Vorteile von Bedrohungsanalyse-Feeds

Bedrohungsanalyse-Feeds eröffnen Sicherheitsexperten externe Einblicke in bekannte bösartige Quellen. Diese Daten lassen sich als Grundlage für Maßnahmen zur Ereigniserkennung und -prävention sowie für die Reaktion und Behebung von Ereignissen nutzen.

Eine effektive Nutzung von Bedrohungsanalyse-Feeds bietet Unternehmen viele wichtige Vorteile, darunter:

  • Mehr Effizienz und verbesserte Ressourcenzuweisung – Durch die Automatisierung der Datenerfassung, -formatierung, -analyse und -verbreitung kann IT-Personal umverteilt werden, um sich auf höherwertige Aktivitäten zu konzentrieren. Da der Bedrohungsanalyse-Feed darüber hinaus einen wertvollen Kontext zu den gesammelten Daten bereitstellt, können IT-Teams Aktivitäten priorisieren und ihre begrenzten Ressourcen auf die dringendsten Anforderungen ausrichten.
  • Verbesserte proaktive Sicherheitsmaßnahmen – Auch wenn Bedrohungsdaten allein nicht unbedingt die Sicherheitslage verbessern, hilft die Kombination von Daten mit Erkennung und Kontrollzuordnung Unternehmen dabei, sich besser auf Sicherheitsereignisse vorzubereiten und diese zu verhindern. Beispielsweise lassen sich anhand der Daten aus den Bedrohungsanalyse-Feeds gezielte Sicherheitsmaßnahmen zur Abwehr spezifischer Bedrohungen ableiten und die bestehenden Abwehrmaßnahmen stärken.
  • Höhere Geschwindigkeit – Bedrohungsanalyse-Feeds bieten Zugriff auf die neuesten Daten und Erkenntnisse in Echtzeit. Dies ist besonders wichtig, da sich die Sicherheitslandschaft schnell und häufig ändert. Der Zugriff auf die richtigen Bedrohungsanalysen in Kombination mit einer zuverlässigen Sicherheitsinfrastruktur und einem robusten Toolset kann Unternehmen dabei helfen, ihren Widersachern immer einen Schritt voraus zu bleiben.

Datenerfassung mit Bedrohungsanalyse-Feeds

Bedrohungsanalyse-Feeds funktionieren im Grunde wie viele andere Daten-Feeds auch. Das System ist darauf programmiert, automatisch Daten aus vorab festgelegten Quellen in verschiedenen Qualitäten zu empfangen, zu speichern, zu deduplizieren und aufzubereiten. In vielen Fällen nutzen Sicherheitsteams die Daten einer Threat-Intelligence-Plattform (TIP), um diese Aktivitäten zu koordinieren.

Der allgemeine Prozess verläuft wie folgt:

1. Definieren der Datenanforderungen

Dies ist der Planungsschritt, in dem ein Unternehmen seine Ziele und Vorgaben in Bezug auf die Bedrohungsanalysedaten skizziert. Die Anforderungen variieren je nach Verwendung der Daten, den spezifischen Bedrohungen, denen das Unternehmen ausgesetzt ist, und den häufigsten Angriffstechniken bekannter Angreifer.

2. Automatisieren der Datenerfassung

Die meisten Bedrohungsanalysesysteme beginnen mit der Erfassung von Rohdaten aus externen Quellen, z. B. von Sicherheitsanbietern, aus Communitys, nationalen Schwachstellendatenbanken oder Open-Source-Feeds. Anbieter von Sicherheitslösungen können Daten aus ihrem Benutzerstamm aggregieren und den daraus resultierenden Bedrohungsdaten-Feed entweder zum Nutzen der Kunden in ihre Lösungen einbinden oder als separates Produkt zur Verfügung stellen. Weitere Quellen sind branchenspezifische Feeds, „Vertrauenskreise“ aus Cybersicherheitsexperten und Dark Web-Foren. Zudem kann das Internet mithilfe von Webcrawlern nach Exploits und Angriffen durchsucht werden.

3. Konvertieren von Daten und Vorbereiten auf die Analyse

Die Rohdaten werden in analysierbare Formate konvertiert. Dazu müssen Dateien entschlüsselt, Inhalte aus fremdsprachigen Quellen übersetzt, Datenpunkte in Tabellen organisiert und die Daten auf Zuverlässigkeit sowie Relevanz überprüft werden.

4. Datenanalyse

In diesem Schritt werden die Rohdaten in verwertbare Bedrohungsdaten umgewandelt. Mit diesen werden Aktionspläne entwickelt, die den in der Anforderungsphase getroffenen Entscheidungen entsprechen. Die endgültigen Erkenntnisse werden in verschiedenen Berichten und Bewertungen für die einzelnen Zielgruppen zusammengefasst:

  • Strategische Daten richten sich an leitende Sicherheitsplaner. Der Schwerpunkt liegt hier auf allgemeinen Trends, um Sicherheitsinvestitionen und -richtlinien planen zu können.
  • Taktische Daten konzentrieren sich auf Kompromittierungsindikatoren und werden verwendet, um die Identifizierung und Beseitigung potenzieller Bedrohungen zu beschleunigen. Taktische Bedrohungsdaten lassen sich am einfachsten generieren. Dies geschieht in der Regel automatisiert.
  • Operative Daten untersuchen das Wer, Was und Wie eines Cyberangriffs und haben das Ziel, die Taktiken, Motive und Fähigkeiten der böswilligen Angreifer zu verstehen, um vor dem nächsten oder einem ähnlichen Angriff angemessene Schutzkonzepte zu entwickeln.

5. Verteilen der Daten

Die Analyseergebnisse werden in Empfehlungen umgewandelt, die auf spezifische Zielgruppen zugeschnitten und Verantwortlichen präsentiert werden. In diesem Schritt ist es wichtig, technischen Jargon zu vermeiden und knapp sowie präzise zu bleiben. Ein einseitiger Bericht oder eine kurze Folienpräsentation sind hier die am besten geeigneten Formate.

6. Erstellen einer Feedback-Schleife

Da sich die Bedrohungslage ständig weiterentwickelt, muss eine Feedback-Schleife eingerichtet werden. In diesem Schritt geht es darum, von den Verantwortlichen Rückmeldungen zur Relevanz der bereitgestellten Berichte einzuholen und die Effektivität der vorhandenen technischen Kontrollen zu messen. Mithilfe dieser Feedback-Schleife kann die Auswahl der externen Bedrohungsdaten-Quellen angepasst werden. Zudem können neu gewonnene Einblicke basierend auf dem Kontext priorisiert werden.

WEITERE INFORMATIONEN

Bei so vielen Bedrohungsanalyse-Lösungen auf dem heutigen Markt stellt sich die Frage: Was sind Bedrohungsanalysen eigentlich und warum brauchen Sie sie? In diesem Blogbeitrag erfahren Sie, wie fortgeschritten Ihr Unternehmen in Bezug auf die Einführung von Bedrohungsanalysen ist und welche CrowdStrike-Lösung möglicherweise die richtige für Sie ist. Blog: So entwickeln Sie Ihr Bedrohungsanalyse-Programm weiter

So werden Informations-Feeds zu Cyberbedrohungen nutzbar

Damit Bedrohungsanalyse-Feeds auch nutzbar sind, müssen sie mit dem richtigen Kontext ergänzt werden. Nur so können Sicherheitsteams die Erkenntnisse im Bericht schnell überprüfen, priorisieren und darauf reagieren. Diese Feeds sollten auch in andere Sicherheitstools und -plattformen integriert werden, um sicherzustellen, dass Daten im gesamten Unternehmen auf koordinierte Weise effektiv genutzt werden.

Wenn erweiterte Sicherheitsfunktionen verfügbar sind, lassen sich Reaktionen auf einige Warnungen, die anhand von Daten aus dem Feed erzeugt werden, sogar automatisieren. Das beschleunigt nicht nur die Reaktion des Unternehmens, sondern verschafft IT-Teams auch mehr Zeit, um sich auf höherwertige Aktivitäten oder komplexere Probleme zu konzentrieren.

Bedrohungsanalyse-Feeds spielen zwar eine wichtige Rolle bei der Aufrechterhaltung der Sicherheitslage des Unternehmens, müssen aber auch regelmäßig auf ihre Zuverlässigkeit überwacht werden. Damit Bedrohungsanalyse-Feeds wirklich nutzbar werden, ist es unerlässlich, den Prozess, die Quellen und den Kontext aller Daten im Feed zu kennen.

Wie bei jedem datenbasierten System gilt auch für Bedrohungsanalysen das Konzept „Bad-In = Bad-Out“, d. h. schlechte Daten führen auch zu schlechten Ergebnissen. Dies ist bei Bedrohungsanalysen jedoch besonders gravierend. Wenn Sie sich bei sicherheitsrelevanten Entscheidungen auf unvollständige, ungenaue oder unzuverlässige Daten verlassen, drohen verheerende Konsequenzen.

Implementierung

Wie oben erwähnt, nutzen die meisten Unternehmen eine Threat-Intelligence-Plattform oder ein SIEM (Security Information and Event Management System), um die Erfassung, Aggregierung und den Abgleich externer Bedrohungsdaten zu automatisieren. SIEM-Tools bilden außerdem eine digitale Plattform, die Sicherheitsteams zur Überwachung und Überprüfung aktueller Bedrohungserkenntnisse nutzen können. Der Wartungsaufwand für SIEM- oder TIP-Tools kann sehr hoch und die Integration zeitaufwendig sein.

Bedrohungsanalysen mit CrowdStrike

CrowdStrike ist Marktführer bei der Bereitstellung verwertbarer Informationen für Sicherheitsteams. Die CrowdStrike Security Cloud korreliert täglich Billionen von Sicherheitsereignissen, die von Millionen von Endgeräten und aus Cloud-Workloads auf der ganzen Welt ausgelesen werden. Dabei kombinieren wir künstliche Intelligenz und erfahrene menschliche Analysten, sodass wir unseren Kunden jedes Jahr Millionen von Echtzeit-IOCs und tausende Bedrohungsdatenberichte zur Verfügung stellen können.

Unser preisgekröntes Bedrohungsanalysemodul CrowdStrike Falcon Intelligence bietet kontextangereicherte IOCs, Bedrohungsberichte, Malware-Sandboxing, Attribution und ein durchsuchbares Malware-Repository und liefert umsetzbare Einblicke in die wichtigsten Bedrohungsakteure, Angriffsvektoren und Bedrohungsanalysetrends. CrowdStrike umfasst außerdem vorgefertigte Integrationen und API-Integrationen für branchenführende TIP-Anbieter wie ThreatQuotient, ThreatConnect und Anomali. Benutzer können Indikatoren mithilfe einer API oder eines CSV-Exports auch direkt von der Plattform herunterladen und filtern.

Wenn Sie wissen möchten, wie unsere Kunden mithilfe von CrowdStrike ihre datenbezogenen Ziele erreichen, besuchen Sie unsere Seiten zu CrowdStrike Falcon Intelligence und zur Falcon-Plattform und sehen Sie sich unser komplettes Angebot an.

INFORMATIONEN ZUM AUTOR

Bart ist Senior Product Marketing Manager of Threat Intelligence bei CrowdStrike und verfügt über mehr als 20 Jahre Erfahrung in der Bedrohungsüberwachung, -erkennung und -analyse. Er begann seine Laufbahn als Analyst für Netzwerksicherheit in einem belgischen Finanzunternehmen und zog dann an die Ostküste der USA, wo er bei mehreren Cybersicherheitsunternehmen wie 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi und FireEye-Mandiant im Produktmanagement und Produktmarketing arbeitete.