Was sind Cyberbedrohungsdaten?

Bedrohungsdaten sind evidenzbasiertes Wissen (z. B. Kontext, Mechanismen, Indikatoren, Auswirkungen und handlungsorientierte Ratschläge) über bestehende oder aufkommende Bedrohungen oder Gefahren für Ressourcen. – Gartner

Definition von Bedrohungsdaten?

Bedrohungsdaten sind Daten, die erfasst, verarbeitet und analysiert werden, um sich ein Bild von den Motiven, Zielen und Angriffsverhalten von Bedrohungsakteuren zu machen. Bedrohungsdaten ermöglichen schnelle, fundierte und datengestützte Sicherheitsentscheidungen sowie den Wechsel von der reaktiven zur proaktiven Abwehr von Angriffen.

Warum sind Bedrohungsdaten wichtig?

Im Bereich der Cybersicherheit versuchen Advanced Persistent Threats (APTs) und Sicherheitsverantwortliche beständig, sich gegenseitig zu überlisten. Daten zum nächsten Schritt eines Bedrohungsakteurs sind unerlässlich, um Sicherheitsmaßnahmen proaktiv anpassen und künftige Angriffe verhindern zu können.

Unternehmen erkennen den Wert von Bedrohungsdaten immer mehr: 72 % beabsichtigen, in den kommenden Quartalen mehr für Bedrohungsdaten auszugeben.

Allerdings ist „Wert erkennen“ nicht mit „Wert erhalten“ gleichzusetzen. Die meisten Unternehmen konzentrieren sich heute nur auf die grundlegendsten Anwendungsszenarien, z. B. auf die Integration von Bedrohungsdaten-Feeds in bestehende Netzwerke, IPS, Firewalls und SIEM-Systeme – ohne die durch diese Daten ermöglichten Einblicke wirklich zu nutzen.

Wenn Unternehmen nur grundlegende Bedrohungsdaten nutzen, entgehen ihnen wesentliche Vorteile, durch die sie ihre Sicherheitslage deutlich verbessern könnten.

Bedrohungsdaten sind aus folgenden Gründen wichtig:

  • Sie geben Aufschluss über Unbekanntes, sodass Sicherheitsteams bessere Entscheidungen treffen können.
  • Cybersicherheitsverantwortliche werden unterstützt, da die Motive der Bedrohungsakteure sowie die verwendeten Taktiken, Techniken und Prozeduren (TTPs) offengelegt werden.
  • Sie helfen Sicherheitsexperten, den Entscheidungsprozess des Bedrohungsakteurs besser nachzuvollziehen.
  • Sie unterstützen geschäftliche Verantwortliche (z. B. Vorstände, CISOs, CIOs und CTOs), da diese gezielter Untersuchungen durchführen, Risiken mindern, effizienter arbeiten und schneller Entscheidungen treffen können.

Wer profitiert von Bedrohungsdaten?

Unternehmen aller Art und jeder Größe profitieren von Bedrohungsdaten, da sie sich mithilfe dieser Daten ein besseres Bild von ihren Angreifern machen, schneller auf Vorfälle reagieren und Bedrohungsakteuren zuvorkommen können. KMUs können mit diesen Daten ein Schutzniveau aufbauen, das ansonsten nicht erreichbar wäre. Große Unternehmen mit großen Sicherheitsteams können Kosten sparen und benötigen weniger hochspezialisierte Mitarbeiter, da sie externe Bedrohungsdaten nutzen und ihre Analysten effektiver arbeiten können.

Bedrohungsdaten liefern durchgängig einzigartige Vorteile für alle Mitglieder des Sicherheitsteams, darunter:

  • Sicherheits-/IT-Analysten
  • SOC
  • CSIRT
  • Datenanalysten
  • Führungskräfte

Hier sehen Sie die konkreten Vorteile für die jeweilige Position sowie die jeweils zutreffenden spezifischen Anwendungsszenarien:

PositionVorteile
Sicherheits-/IT-AnalystenOptimierung der Möglichkeiten im Bereich Prävention und Erkennung sowie Verbesserung von Schutzmaßnahmen
SOCPriorisierung von Zwischenfällen basierend auf dem Risiko und den Auswirkungen auf das Unternehmen
CSIRTBeschleunigung der Untersuchung, Verwaltung und Priorisierung von Zwischenfällen
DatenanalystenAufdeckung und Verfolgung von Bedrohungsakteuren, die es auf das Unternehmen abgesehen haben
FührungskräfteVerdeutlichung der für das Unternehmen bestehenden Risiken und der Optionen zur Reduzierung der Auswirkungen

 

Informationslebenszyklus bei Bedrohungsdaten

Der Informationslebenszyklus ist ein Prozess, der Rohdaten in nutzbare Informationen umwandelt, die zur Entscheidungsfindung und für Maßnahmen genutzt werden. Sie werden bei Ihren Recherchen auf verschiedene Versionen des Informationszyklus stoßen, das Ziel ist aber stets das gleiche: die Unterstützung von Cybersicherheitsteams bei der Entwicklung und Umsetzung eines effektiven Bedrohungsdatenprogramms.

Die Erfassung von Bedrohungsdaten ist keine einfache Angelegenheit, da Bedrohungen sich permanent weiterentwickeln und Unternehmen sich schnell anpassen und entschlossen handeln müssen. Der Informationszyklus bietet ein Framework, mit dem Teams ihre Ressourcen optimieren und effektiv auf die moderne Bedrohungslandschaft reagieren können. Dieser Zyklus besteht aus sechs Schritten und bildet eine Feedback-Schleife, um die kontinuierlichen Verbesserung zu fördern.

Sehen wir uns die sechs Schritte an:

1. Anforderungen

Die Anforderungsphase ist für den Lebenszyklus von Bedrohungsdaten entscheidend, da hier die Roadmap für einen bestimmten bedrohungsdatenbezogenen Vorgang festgelegt wird. In dieser Planungsphase einigt sich das Team auf die Ziele und Methoden des Informationsprogramms, wobei die Anforderungen der beteiligten Verantwortlichen ausschlaggebend sind. Ein Ziel kann sein, Antworten auf diese Fragen zu erhalten:

  • Wer sind die Angreifer und was sind ihre Motive?
  • Was ist die Angriffsfläche?
  • Welche spezifischen Maßnahmen sollten ergriffen werden, um vor künftigen Angriffen besser geschützt zu sein?

2. Erfassung

Nachdem die Anforderungen festgelegt wurden, steht die Erfassung der zum Erreichen dieser Ziele erforderlichen Informationen und die Wahl der Datenquellen an, z. B. Datenverkehrprotokolle, öffentlich verfügbare Datenquellen, relevante Foren, soziale Medien und Informationen von Branchen- oder Fachexperten vor.

3. Verarbeitung

Nach der Erfassung der Rohdaten müssen diese verarbeitet und in ein für die Analyse geeignetes Format umgewandelt werden. Dazu müssen meist Datenpunkte in Tabellen organisiert, Dateien entschlüsselt, Informationen aus fremdsprachigen Quellen übersetzt und die Daten auf Relevanz sowie Zuverlässigkeit überprüft werden.

4. Analyse

Nach der Verarbeitung des Datensatzes muss das Team eine sorgfältige Analyse durchführen, um Antworten auf die in der Anforderungsphase gestellten Fragen zu erhalten. In der Analysephase arbeitet das Team auch daran, konkrete Maßnahmen und nützliche Empfehlungen für Verantwortliche aus den Datensätzen abzuleiten.

5. Verteilung

In der Verteilungsphase muss das für Bedrohungsdaten zuständige Team die Analyseergebnisse in ein geeignetes Format bringen und die Ergebnisse den Verantwortlichen präsentieren. Die Präsentation der Analysen hängt von der Zielgruppe ab. Die Empfehlungen sollten in den meisten Fällen prägnant und ohne überflüssigen technischen Jargon präsentiert werden, entweder in Form eines einseitigen Berichts oder einiger Folien.

6. Feedback

Die letzte Phase des Bedrohungsdaten-Lebenszyklus beinhaltet das Einholen von Rückmeldungen zum bereitgestellten Bericht, um zu bestimmen, ob bei künftigen Zyklen Anpassungen nötig sind. Es kann sein, dass die Verantwortlichen andere Prioritäten haben, dass sie die Informationsberichte in anderen Abständen erhalten möchten oder dass Daten anders verteilt oder präsentiert werden sollten.

Anwendungsszenarien für Bedrohungsdaten

Hier ist eine Liste der Anwendungsszenarien je nach Position:

PositionAnwendungsszenarien
Sicherheits-/IT-Analysten  Integration von Bedrohungsdaten-Feeds in andere Sicherheitsprodukte
Blockierung schädlicher IP-Adressen, URLs, Domänen, Dateien usw.
SOCVerwendung von Bedrohungsdaten zum Ergänzen von Warnmeldungen
Verknüpfung von Warnmeldungen und Zwischenfällen
Optimierung neuer Sicherheitskontrollen
CSIRTErmittlung des Wer/Was/Warum/Wann/Wie rund um einen Zwischenfall
Analyse der Ursache zum Bestimmen des Ausmaßes eines Zwischenfalls
DatenanalystenBreitere und tiefere Suche nach Angriffsspuren
Überprüfung von Berichten zu Bedrohungsakteuren, um sie besser aufspüren zu können
FührungskräfteBeurteilung des Bedrohungsrisikos für das Unternehmen insgesamt
Erarbeitung einer Sicherheits-Roadmap

 

CrowdStrike-Tools für Bedrohungsdaten

Die Lösung CrowdStrike Falcon Intelligence hilft Unternehmen, Bedrohungsdaten mühelos zu erfassen, Maßnahmen zu ergreifen und Dateninvestitionen bestmöglich zu nutzen.

So nutzt CrowdStrike Bedrohungsdaten

Integrierte Daten, zugeschnitten auf Ihr Unternehmen

CrowdStrike Falcon® Intelligence™ automatisiert die Bedrohungsuntersuchung und liefert verwertbare Informationsberichte sowie individuelle Kompromittierungsindikatoren, die speziell auf die für Ihre Endgeräte relevanten Bedrohungen zugeschnitten sind. Durch diese Automatisierung müssen Sie nicht mehr auswählen, welche Bedrohungen analysiert werden sollen, und können stattdessen einfach diejenigen analysieren, die für Ihr Unternehmen am relevantesten sind.

CrowdStrike Falcon® Intelligence kombiniert die Tools, die von erstklassigen Analysten eingesetzt werden, zu einer nahtlosen Lösung und führt die Analysen automatisch durch. Das integrierte Toolset umfasst Funktionen für Malware-Analyse und Malware-Suche sowie den globalen Kompromittierungsindikatoren-Feed von CrowdStrike. CrowdStrike Falcon® Intelligence ermöglicht es allen Teams – unabhängig von ihrer Größe oder ihren Kompetenzen –, Bedrohungen besser zu verstehen, schneller zu reagieren und Angreifern bei ihrem nächsten Schritt zuvorzukommen.

CrowdStrike Falcon® Intelligence Premium: Der Faktor Mensch

Mit Falcon Intelligence Premium-Datenberichten profitiert Ihr Unternehmen vom Fachwissen des CrowdStrike Global Intelligence-Teams, sodass Sie besser für den Kampf gegen Angreifer gewappnet sind. Das CrowdStrike Intelligence-Team ist ein Pionier der Angreiferanalyse. Es verfolgt mehr als 121 nationalstaatliche, Cybercrime- und Hacktivismus-Gruppen, studiert deren Absichten und analysiert ihre Praktiken. Das Team aus Datenanalysten, Sicherheitsforschern, Kulturexperten und Linguisten deckt einzigartige Bedrohungen auf und liefert bahnbrechende Untersuchungen, durch die CrowdStrike besser in der Lage ist, proaktive Informationen bereitzustellen, mit denen Sie Ihre Sicherheitslage deutlich verbessern und Angreifern einen Schritt voraus bleiben können.

Sie möchten mehr über CrowdStrike Falcon® Intelligence erfahren? Sehen Sie sich die folgenden Ressourcen an:

INFORMATIONEN ZUM AUTOR

Kurt Baker ist Leiter des Produkt-Marketings für Falcon Intelligence bei CrowdStrike. Er hat mehr als 25 Jahre Erfahrung in leitenden Positionen und sich dabei auf aufstrebende Software-Firmen spezialisiert. Seine Expertise erstreckt sich auf Cyberbedrohungsdaten, Sicherheitsanalysen, das Sicherheitsmanagement und den Schutz vor komplexen Bedrohungen. Bevor er zu CrowdStrike kam, hat Kurt Baker in technischen Positionen bei Tripwire gearbeitet und mit Partnern Startups in verschiedenen Märkten gegründet – von Unternehmenssicherheitslösungen bis hin zu mobilen Geräten. Er besitzt einen Abschluss als Bachelor of Arts der University of Washington und wohnt jetzt in Boston (Massachusetts).