Der Cyber Threat Intelligence Cycle
Wie funktioniert Cyber Threat Intelligence und was passiert dabei hinter den Kulissen? Wir bringen Licht ins Dunkel.
Mit dem Begriff Threat Intelligence können die meisten Menschen nicht viel anfangen – selbst dann, wenn sie eine Definition des Begriffs kennen, zum Beispiel „Informationen über potenzielle Bedrohungen für IT-Systeme und ihre Bewertung“.
Wenn es Ihnen ähnlich geht, kann der Hinweis hilfreich sein, dass Sie mit ganz ähnlichen Konzepten wahrscheinlich schon vertraut sind, zum Beispiel Business Intelligence oder Wettbewerbsanalysen (Competitive Intelligence). „Intelligence“ bezeichnet hier jeweils die Sammlung bzw. Erfassung von Daten und ihre Aufbereitung zu entscheidungsrelevanten Informationen. Dieser Prozess läuft in vielen Fällen ähnlich ab: Er folgt dem „Intelligence Cycle“.
Was ist der Intelligence Circle?
Das Konzept des Intelligence Circle, zu Deutsch in etwa Informationszyklus, stammt ursprünglich aus dem militärischen Bereich. Dahinter stecken zwei Ideen: Erstens erfolgt die Beschaffung und Nutzung von entscheidungsrelevanten Informationen stets in bestimmten Phasen. Und zweitens handelt es sich dabei um einen kreisförmigen Prozess, der diese Phasen immer wieder durchläuft.
Eine der ersten bekannten Darstellungen dieses Konzepts stammt von 1948 und sieht so aus:
Hier gibt es vier Phasen: Der Prozess beginnt stets mit einer Bedarfsbestimmung, der Ziel und Richtung der Informationsbeschaffung vorgibt (Direction, Phase 1). Bei Business Intelligence könnte beispielsweise die Effizienz des Vertriebs interessieren. Es folgen die Sammlung (Collection, Phase 2) und Verarbeitung (Processing, Phase 3) von geeigneten Informationen, etwa aus ERP und CRM, und schließlich die Nutzung (Use, Phase 4) der jeweiligen Ergebnisse. Diese erzeugt bei den Entscheidern wiederum neue Informationsbedürfnisse, die den Zyklus von vorn beginnen lassen.
Heute werden meist fünf Phasen unterschieden (z. B. von der CIA):
- Planung und Steuerung: Festlegung von Zielen (Fragestellungen), Prioritäten, Anforderungen
- Sammlung: Zusammentragen von Daten gemäß der Anforderungen
- Aufbereitung: ggf. Konvertierung/Übersetzung, Zusammenstellung und Bewertung der Infos nach Relevanz und Zuverlässigkeit
- Analyse: Untersuchung der gesammelten Daten auf Bedeutung und Implikationen in Bezug auf die Fragestellung, Suche nach Mustern, Trends etc.
- Verteilung: Bereitstellung für Entscheider in geeigneter Form und Dringlichkeit (Report, Dashboard, Warnmeldung etc.)
Da die Intelligence-Nutzer wiederum Feedback geben und so den Kreis schließen, ergibt sich daraus eine implizite sechste Phase, die in manchen Darstellungen auch explizit erscheint, so bei US-Behörden oder Wikipedia.
Der Cyber Threat Intelligence Cycle
Das Konzept des Intelligence Cycle ist auch für Cyber Threat Intelligence anwendbar. Cyber Threat Intelligence bezieht sich auf Informationen, die es ermöglichen sollen, potenzielle oder aktuelle Bedrohungen für Systeme, Netzwerke und Daten zu identifizieren und darauf zu reagieren. So sieht ein Cyber Threat Intelligence Cycle aus:
1. Planung und Steuerung
Identifizieren und priorisieren Sie die Ziele Ihrer Cyber-Threat-Intelligence-Strategie: Welche Assets müssen Sie schützen, und welche Informationen benötigen Sie dafür? Sorgen Sie für auch ausreichend Ressourcen, um Informationen effizient zu sammeln und zu analysieren.
Achtung! Was wie eine Phase unter mehreren aussieht, ist tatsächlich weit mehr: Um Ihren Threat Intelligence Cycle wirksam mit Ihrer Security-Strategie zu verzahnen, brauchen Sie professionelle Sicherheitsprozesse (Stichwort Informationssicherheitsmanagement). Nur dann können Sie Threat Intelligence gezielt einsetzen und die gelieferte Fülle von Informationen effektiv nutzen.
2. Sammlung von Bedrohungsdaten
Bedrohungsdaten stammen aus den verschiedensten Quellen, einschließlich öffentlich verfügbarer Datenbanken, Dark-Web-Marktplätzen, Reverse Engineering von Malware oder forensischer Analysen. Ihre Sammlung ist ohne professionelle Dienstleister und Threat-Intelligence-Tools praktisch nicht zu leisten. Werkzeuge wie der Threat Compass von Outpost24 nehmen Ihnen diese Arbeit ab und liefern Ihnen in Echtzeit Bedrohungsdaten zu Millionen von IoCs (Indicators of Compomise). Zusätzlich sind die Experten von Outpost24 permanent im Deep und Dark Web unterwegs, tummeln sich auf Hacker-Foren oder Telegram-Kanälen, analysieren die neuesten Malware-Versionen und tauschen sich mit anderen Security-Forschern aus, um die Outpost24-Datenbank zu füttern.
3. Verarbeitung
Dieser Schritt ist bei der Cyber Threat Intelligence von besonderer Bedeutung, weil hier sehr große Datenmengen aus einer Fülle von Bereichen anfallen können. Diese Daten müssen daher gefiltert und strukturiert werden, um analysiert werden zu können. Threat Compass von Outpost24 bietet vielfältige Möglichkeiten, um Bedrohungsdaten einfach zu filtern und zu durchsuchen – zum Beispiel auf Daten, die die Organisation direkt betreffen. Zudem ist er modular aufgebaut, sodass genau die Informationen geliefert werden, die eine Organisation benötigt – zum Beispiel für die Überwachung von Zugangsdaten, mobilen Apps, Kreditkarten oder Hacker-Aktivitäten. Die einzelnen Module können mittels Filterkriterien, Alerts oder Keywords detailliert konfiguriert werden.
4. Analyse
Die Analyse von Bedrohungsdaten erfolgt bereichsspezifisch. Beispielsweise werden im „Threat-Context“-Modul von Threat Compass mehr als 200 Millionen Elemente, darunter historische Bedrohungsdaten aus mehr als zehn Jahren, ausgewertet, um Informationen zu Angriffsmustern, Malware, Ziele und Methoden von Angreifergruppen (Tactics, Techniques & Procedures, TTPs) oder aktuellen Kampagnen – etwa gegen bestimmte Branchen – zu gewinnen. Das „Credentials“-Modul analysiert in Echtzeit Informationen über kompromittierte Zugangsdaten, etwa aus Foren, Schwarzmarktplätzen, Malware oder eigens aufgestellten Köder-Servern (Honeypots) und Weiterleitungsservern für verdächtigen Datenverkehr (Sinkholes). Damit können Angriffe schneller erkannt, aber auch ihr Ausmaß abgeschätzt werden, weil man die Pläne der Angreifer kennt.
5. Integrationen und Verteilung der Ergebnisse
Anders als andere Intelligence-Formen werden die Ergebnisse von Cyber Threat Intellligence nicht nur Entscheidern präsentiert. Zwar können sie in verschiedener Weise aufbereitet, visualisiert und automatisch an Anwender verteilt werden. Vor allem aber sollten diese Informationen möglichst vielen anderen Systemen zur Verfügung stehen, um die Gesamtstrategie der Cybersicherheit wirksamer zu machen.
So stellt Threat Compass seine Daten nicht nur per Dashboard, Reports oder Benachrichtungen bereit, sondern auch per API für MRTI-Feeds (Machine-readable Threat Intelligence) etwa über den STIX/TAXII-Standard. Das ermöglicht die Integration mit vielen Security-Lösungen, zum Beispiel die gängigsten SIEMs (Security Information and Event Management), SOAR-Plattformen (Security Orchestration, Automation and Response) und TIPs (Threat Intelligence Platforms). So hilft Threat Intelligence etwa dabei, Schwachstellen zu priorisieren und sich gezielt auf besonders relevante Bedrohungen einzustellen (Stichwort risikobasiertes Vulnerability Management)
Feedbackschleifen
Wie jeder Intelligence Cycle konzentriert sich dieser Prozess auf die Intelligence-Produktion – sozusagen von der Fragestellung bis zur Lieferung möglicher Antworten. Der aus Anwendersicht viel interessantere und wichtigere Part spielt sich außerhalb der genannten Phasen ab: Wie nutze ich die gebotenen Informationen so, dass ich den größten Nutzen daraus ziehen kann?
Deshalb ist der Intelligence Cycle auch als Zyklus konzipiert. Es kommt letztlich auf die implizit gebliebene sechste Phase des Prozesses an: die Nutzung von Threat Intelligence, um die Strategie anpassen, immer intelligentere Fragen stellen und Ziele genauer priorisieren zu können.
Dafür brauchen Sie Durchhaltevermögen und Security-Know-how – oder Sie nutzen unsere Managed Security Services, um Ihre Teams zu entlasten und die Security-Prozesse zu optimieren. Sprechen Sie uns an!