Plattformen zur Bedrohungsanalyse

Kurt Baker - August 23, 2022

Was ist eine Plattform zur Bedrohungsanalyse?

Eine Plattform zur Bedrohungsanalyse (Threat Intelligence Platform, TIP) automatisiert die Erfassung, die Aggregation und den Abgleich von externen Bedrohungsdaten. Zudem stellt sie den Sicherheitsteams die neuesten Erkenntnisse zu Bedrohungen bereit, mit denen diese die für ihr Unternehmen relevanten Bedrohungsrisiken eindämmen können.

Die Bedrohungsanalyse ist für Cybersicherheitsverantwortliche ein wesentliches Instrument zur Entscheidungsfindung vor und nach Sicherheitsvorfällen. Cybersicherheitsteams haben heute wahrlich keinen Mangel an Quellen und Plattformen für die Bedrohungsanalyse. Es gibt dutzende Nachrichtenartikel, hunderte kostenlose Open-Source-Feeds für Indikatoren, branchenspezifische Community-Listen (ISACs) oder von Anbietern bereitgestellte Bedrohungsdaten. Angesichts dieser Fülle von Informationen wird schnell deutlich, dass die Experten mit Analysedaten überschwemmt werden. Natürlich stellt dies die Nutzer all dieser Daten vor folgende Fragen: Welche Daten sind vertrauenswürdig? Gibt es Überschneidungen? Wie kann ich diese Datenfülle in unmittelbar verwertbare Informationen für meine Kontrollen oder Workflows umwandeln?

Rollen, in denen Plattformen zur Bedrohungsanalyse verwendet werden

Ein wichtiger Vorteil einer Bedrohungsanalyse-Plattform besteht darin, dass sie die Weitergabe externer Bedrohungsinformationen im gesamten Unternehmen vereinfacht – sowohl an Verantwortliche für technische Fragen als auch an solche ohne technischen Hintergrund. Dies wird durch automatisierte Workflows, Integration und eine kontinuierliche Anreicherung der erfassten Daten erreicht.

In die Bedrohungsanalyse sind u. a. folgende Rollen und Anwendungsszenarien involviert:

Sicherheitsanalyst und IT-Analyst

Optimierung der Präventions- und Erkennungsfunktionen sowie robustere Abwehr mithilfe von Bedrohungsanalysen

Einsatzszenarien für Analysten

  • Integration von Bedrohungsdaten-Feeds in andere Sicherheitsprodukte
  • Blockierung schädlicher IP-Adressen, URLs, Domänen, Dateien usw.

Sicherheitskontrollzentrum (SOC)

Priorisierung von Zwischenfallreaktionen basierend auf dem Risiko und den Auswirkungen auf das Unternehmen

Einsatzszenarien für SOCs

  • Verwendung von Bedrohungsdaten zum Ergänzen von Warnmeldungen
  • Verknüpfung von Warnmeldungen mit Zwischenfällen
  • Verringerung von False Positives und Informationsüberlastung durch Warnmeldungen

Computer Security Incident Response Team (CSIRT)

Schnellere Untersuchung, Verwaltung und Priorisierung von Sicherheitsereignissen

Einsatzszenarien für CSIRTs

  • Suche nach Informationen zu den Motiven, Attributionen und Taktiken, Techniken und Prozeduren (TTPs) von Vorfällen
  • Analyse der Ursache zum Bestimmen des Ausmaßes eines Zwischenfalls

Datenanalyst

Aufdeckung und Nachverfolgung von Bedrohungsaktivitäten, die auf das Unternehmen abzielen, und dadurch ein besseres Verständnis der relevanten Aspekte der aktuellen Bedrohungslandschaft sowie Durchführung von erweiterten Analysen, um den Kontext von Unternehmenswarnungen für alle bekannten Akteure, Kampagnen, Vorfälle, Malware, Signaturen, TTPs und Schachstellen schnell zu verstehen

Einsatzszenarien für Datenanalysten

  • Aggregation von strukturierten und unstrukturierten Daten (Berichten) in Bezug auf Bedrohungsakteure, um das Know-how zu erwerben, diese besser zu erkennen
  • Unterstützung der Triagierung von Warnmeldungen und Reaktion auf Zwischenfälle
  • Anweisungen für die Priorisierung von Schwachstellen-Patches

Führungskräfte

Verdeutlichung der für das Unternehmen bestehenden Risiken und der Optionen zur Reduzierung der Auswirkungen

Einsatzszenarien für Führungskräfte

  • Beurteilung des Bedrohungsniveaus des Unternehmens insgesamt
  • Erarbeitung einer Sicherheits-Roadmap

Wie funktionieren Plattformen zur Bedrohungsanalyse?

Bedrohungsanalyse-Plattformen erfassen automatisch Daten aus verschiedenen externen Quellen und gliedern diese dann in Formaten, die von Menschen oder Maschinen analysiert und für diese zusammengefasst werden können.

Allerdings entwickeln sich Bedrohungen ständig weiter, sodass die Unternehmen sich schnell anpassen müssen, wenn sie entschlossen handeln möchten. Sicherheitsteams können sich an einem Framework orientieren, um Ressourcen zu optimieren und bezüglich der Bedrohungslandschaft auf dem aktuellen Stand zu bleiben. Der Informationslebenszyklus bei Bedrohungsdaten ist ein aus sechs Schritten bestehendes Framework, das Unternehmen beim Erreichen der folgenden Ziele hilft:

1. Anforderungen

Dies ist der Planungsschritt, in dem Unternehmen die Nutzer und die gewünschten Ergebnisse der generierten Bedrohungsdaten festlegen. Sind die erforderlichen Bedrohungsdaten beispielsweise für eine spezifische Erkennung, für eine Reaktion nach einem Zwischenfall oder zum Verständnis der relevantesten Bedrohungen für die Angriffsfläche des Unternehmens gedacht? Zur Strukturierung der Anforderungen ist es wichtig, zuerst bei den Arten von potenziellen Sicherheitsbedrohungen anzusetzen, die am ehesten ins Gewicht fallen werden, z. B. die böswilligen Akteure, die das Unternehmen mit größter Wahrscheinlichkeit ins Visier nehmen werden. Hierbei geht es auch um die Beantwortung von Fragen wie: „Welche sind die gängigsten Taktiken?“ und „Wer sollte informiert werden?“

2. Erfassung

Plattformen zur Bedrohungsanalyse beginnen in der Regel mit der Erfassung von unternehmensexternen Rohdaten, z. B. von Sicherheitsanbietern, aus Communitys, nationalen Schwachstellendatenbanken oder Open-Source-Feeds. Anbieter von Sicherheitslösungen können Daten aus ihrem Benutzerstamm aggregieren und den daraus resultierenden Bedrohungsdaten-Feed entweder zum Nutzen der Kunden in ihre Lösungen einbinden oder als separates Produkt zur Verfügung stellen. Weitere Quellen sind branchenspezifische Feeds, „Vertrauenskreise“ aus Cybersicherheitsexperten und Dark Web-Foren. Open-Source-Feeds sind an zahlreichen Stellen verfügbar, u. a. bei der Cybersecurity & Infrastructure Security Agency (CISA), SANS und Google. Unter Umständen werden auch Webcrawler eingesetzt, um im Internet nach Exploits und Angriffen zu suchen.

3. Verarbeitung

Die Rohdaten werden in analysierbare Formate konvertiert. Dazu müssen Dateien entschlüsselt, Inhalte aus fremdsprachigen Quellen übersetzt, Datenpunkte in Tabellen organisiert und die Daten auf Zuverlässigkeit sowie Relevanz überprüft werden.

4. Analyse

In diesem Schritt werden die Rohdaten in verwertbare Bedrohungsdaten umgewandelt. Mit diesen werden Aktionspläne entwickelt, die den in der Phase „Anforderungen“ getroffenen Entscheidungen entsprechen. Die endgültigen Erkenntnisse werden in verschiedenen Berichten und Bewertungen zusammengefasst und so für unterschiedliche Zielgruppen nutzbar gemacht:

  • Strategische Daten richten sich an leitende Sicherheitsplaner. Der Schwerpunkt liegt hier auf allgemeinen Trends, um Sicherheitsinvestitionen und -richtlinien planen zu können.
  • Taktische Daten konzentrieren sich auf Kompromittierungsindikatoren und werden verwendet, um die Identifizierung und Beseitigung potenzieller Bedrohungen zu beschleunigen. Taktische Bedrohungsdaten lassen sich am einfachsten generieren. Dies geschieht in der Regel automatisiert.
  • Operative Daten untersuchen das Wer, Was und Wie eines Cyberangriffs und haben das Ziel, die Taktiken, Motive und Fähigkeiten der böswilligen Angreifer zu verstehen, um vor dem nächsten oder einem ähnlichen Angriff angemessene Schutzkonzepte zu entwickeln.

5. Verteilung

Die Analyseergebnisse werden in Empfehlungen umgewandelt, die auf spezifische Zielgruppen zugeschnitten und Verantwortlichen präsentiert werden. In diesem Schritt ist es wichtig, technischen Jargon zu vermeiden und knapp sowie präzise zu bleiben. Ein einseitiger Bericht oder eine kurze Folienpräsentation sind hier die am besten geeigneten Formate.

6. Feedback

Da sich die Bedrohungslage ständig weiterentwickelt, muss eine Feedback-Schleife eingerichtet werden. In diesem Schritt geht es darum, von den Verantwortlichen Rückmeldungen zur Relevanz der bereitgestellten Berichte einzuholen und die Effektivität der vorhandenen technischen Kontrollen zu messen. Mithilfe dieser Feedback-Schleife kann die Auswahl der externen Bedrohungsdaten-Quellen angepasst werden. Zudem können neu gewonnene Einblicke basierend auf dem Kontext priorisiert werden.

Wichtige Funktionen einer Plattform zur Bedrohungsanalyse

Eine allein auf Indikatoren basierende Bedrohungsanalyse-Plattform ist in der heutigen hochentwickelten Bedrohungsumgebung kein adäquates Sicherheitstool. Angreifer ändern oft ihre Taktiken, außerdem lassen sich aus den erfassten Indikatoren keine Rückschlüsse auf die Motive oder Raffinesse der Akteure ziehen. Suchen Sie eine Lösung, die mehrere Formen von Bedrohungsdaten abdeckt und den Benutzern die Möglichkeit gibt, die Daten zu durchsuchen und zu verteilen. Bedrohungsanalyse-Plattformen sollten Indikatoren aus mehreren Quellen konsolidieren und Duplikate entfernen. Wichtig sind jedoch auch die zusätzlichen Informationen zu Akteuren und Angriffstaktiken, da Sicherheitsteams damit eine Orientierungshilfe für die nächsten Schritte erhalten. Die Identifizierung neuer Angriffskampagnen sollte zudem automatisiert und in verschiedene Kontroll- oder Erkennungstools integriert sein, darunter Sicherheitsanalysen (SIEM, NBA), endpunktbasierte Detektion und Reaktion (EDR), Firewalls der nächsten Generation (NGFW), Tools für die Schwachstellen- und Asset-Verwaltung sowie Workflows für die Reaktion auf Zwischenfälle.

Wie unterstützt CrowdStrike Plattformen zur Bedrohungsanalyse?

CrowdStrike unterstützt Bedrohungsanalyse-Plattformen durch die Bereitstellung von vorkonfigurierten Integrationen und API-Zugriff auf unser preisgekröntes Bedrohungsanalyse-Modul CrowdStrike Falcon X™. Falcon X stellt durch Kontext ergänzte Kompromittierungsindikatoren (IOCs), Bedrohungsanalyseberichte, Malware-Sandbox-Analysen, Attribution und ein durchsuchbares Malware-Repository bereit. Darüber hinaus bietet CrowdStrike Integrationen mit branchenführenden TIP-Anbietern wie ThreatQuotient, ThreatConnect und Anomali, die relevante Einblicke in die wichtigsten Bedrohungsakteure, Angriffsvektoren und Bedrohungsanalyse-Trends ermöglichen.

Eine Bedrohungsanalyse-Plattform ist nur eine von mehreren möglichen Lösungen, mit denen die weiter oben in diesem Artikel erörterten Anwendungsszenarien abgedeckt werden können. Die CrowdStrike Security Cloud korreliert täglich Billionen von Sicherheitsereignissen, die von Millionen von Endgeräten und aus Cloud-Workloads auf der ganzen Welt ausgelesen werden. Dabei kombinieren wir künstliche Intelligenz und erfahrene menschliche Analysten, sodass wir unseren Kunden jedes Jahr Millionen von Echtzeit-IOCs und tausende Bedrohungsdatenberichte zur Verfügung stellen können. Damit können CrowdStrike-Kunden viele der oben genannten TIP-Anwendungsszenarien ausführen, ohne neue Infrastruktur implementieren oder neue Workflows entwickeln zu müssen.

Wenn Sie wissen möchten, wie unsere Kunden mithilfe von CrowdStrike ihre datenbezogenen Ziele erreichen, besuchen Sie unsere Seiten zu Falcon X und zur Falcon-Plattform und sehen Sie sich unser komplettes Angebot an.

INFORMATIONEN ZUM AUTOR

Kurt Baker ist Leiter des Produkt-Marketings für Falcon Intelligence bei CrowdStrike. Er hat mehr als 25 Jahre Erfahrung in leitenden Positionen und sich dabei auf aufstrebende Software-Firmen spezialisiert. Seine Expertise erstreckt sich auf Cyberbedrohungsdaten, Sicherheitsanalysen, das Sicherheitsmanagement und den Schutz vor komplexen Bedrohungen. Bevor er zu CrowdStrike kam, hat Kurt Baker in technischen Positionen bei Tripwire gearbeitet und mit Partnern Startups in verschiedenen Märkten gegründet – von Unternehmenssicherheitslösungen bis hin zu mobilen Geräten. Er besitzt einen Abschluss als Bachelor of Arts der University of Washington und wohnt jetzt in Boston (Massachusetts).