What is Cyber Threat Intelligence?

Cyber Bedrohungsinformationen sind Informationen, die verwendet werden, um gegenwärtige oder zukünftige Cyberangriffe auf die Systeme eines Unternehmens zu identifizieren. Unternehmen können Feeds und Dienste mit Bedrohungsinformationen abonnieren, um mehr über aktuelle Malware- oder Bedrohungskampagnen zu erfahren und Dienste zu nutzen, um potenzielle Bedrohungen für ein Unternehmen, seine Mitarbeiter und seine Kunden zu identifizieren.

Bedrohungsinformationsdienste ThreatCloud-Karte

What is Cyber Threat Intelligence?

Die Bedeutung von Cyber-Bedrohungsinformationen

Cyber Bedrohungsinformationen geben Einblick in die aktuelle Bedrohungslandschaft und die potenziellen Cyberangriffe, mit denen Unternehmen konfrontiert sein können. Es kann auch Informationen über Eindringlinge und andere Sicherheitsvorfälle enthalten, die eine Organisation bereits erlebt hat.

Bedrohungsinformationen sind der Schlüssel, um sicherzustellen, dass Unternehmen begrenzte Cybersicherheitsressourcen bereitstellen, um den potenziellen Nutzen für das Unternehmen zu maximieren.

Mit dem Wissen über aktuelle Bedrohungskampagnen können Unternehmen ihre Abwehrmaßnahmen so optimieren, dass sie das Potenzial maximieren, zukünftige Cyberangriffe zu erkennen und zu blockieren. Darüber hinaus sind Bedrohungsinformationen nützlich, um vergangene Eingriffe in die Systeme eines Unternehmens zu identifizieren und die potenziellen Auswirkungen auf das Unternehmen und seine Kunden abzuschätzen.

Was Cyber Bedrohungsinformationen beinhaltet

Cyber Bedrohungsinformationen umfassen alle Informationen, die verwendet werden können, um das Unternehmen über potenzielle Cyberbedrohungen zu informieren, denen es ausgesetzt ist, und darüber, wie man ihnen begegnen kann. Der Großteil der Bedrohungsinformationen befasst sich mit den aktuellen Cyberangriffen und aktiven Malware-Varianten.

Unternehmen haben jedoch möglicherweise auch Zugang zu gezielteren Arten von Bedrohungsinformationen, die ihnen Informationen über Risiken für ihre Marke oder Daten liefern, die aufgrund früherer Datenschutzverletzungen durchgesickert sind.

Taktiken, Techniken und Verfahren (TTPs) von Angreifern

Der Großteil der technischen Bedrohungsinformationen bezieht sich auf die TTPs, die von verschiedenen Bedrohungsakteuren verwendet werden. Wenn neue Malware- oder Cyberangriffskampagnen entdeckt werden, sammeln und verbreiten Sicherheitsforscher Angriffsindikatoren (IoAs) und Kompromittierungsindikatoren (IoCs), die zur Identifizierung dieser Bedrohungen verwendet werden können.

Ein strategischer Bedrohungsinformations-Feed könnte beispielsweise Datei-Hashes für neue Malware-Varianten sowie die IP-Adressen und Domainnamen enthalten, die mit bekannten Cyber-Angriffskampagnen verbunden sind.

Unternehmen können taktische Bedrohungsinformations-Feeds abonnieren, um diese Informationen zu sammeln und an ihre Sicherheitslösungen weiterzuleiten. Diese Daten können auch gefiltert oder personalisiert werden, um die relevanten Bedrohungen zu identifizieren, denen ein Unternehmen am wahrscheinlichsten ausgesetzt ist, wie z. B.:

  • Malware oder Cyberangriffe, die auf andere Unternehmen in derselben Branche oder geografischen Region abzielen.

Durch die Nutzung dieser gezielteren Bedrohungsinformationen kann ein Unternehmen die Arten von Bedrohungen, denen es wahrscheinlich ausgesetzt ist, genauer einschätzen und wie es sich am besten dagegen verteidigen kann.

Markenschutz

Cyberkriminelle verwenden bei ihren Phishing-Angriffen häufig ähnlich aussehende E-Mail-Adressen und Websites. Dies soll die potenziellen Angriffe für ihre Ziele legitim erscheinen lassen und das Vertrauen der Zielpersonen in die Marke ausnutzen.

Diese Praxis hat das Potenzial, den Ruf eines Unternehmens bei seinen Kunden, Lieferanten, Lieferanten und anderen Partnern erheblich zu schädigen.

Die folgenden Informationen können als verwertbare Bedrohungsinformationen gesammelt werden, die auf eine Organisation zugeschnitten sind:

  • Verdächtige Domains
  • Phishing-Websites
  • Imitation in sozialen Medien
  • Nicht autorisierte APKs

Das Unternehmen kann dann Maßnahmen ergreifen, um seine Marke vor diesen Bedrohungen zu schützen.

Überwachung von Sicherheitsverletzungen

Oft dauert es einige Zeit, bis eine Sicherheitsverletzung erkannt wird, wenn das Unternehmen sie überhaupt bemerkt.

Im Bericht zum Status einer Datenschutzverletzung unterscheiden IBM und Ponemon zwischen Sicherheitsverletzungen, die innerhalb von 200 Tagen identifiziert wurden, und solchen, deren Erkennung mehr als 200 Tage dauerte, wenn sie den Preis und die Auswirkungen einer schnelleren Erkennung von Sicherheitsverletzungen vergleichen.

In einigen Fällen erfahren Unternehmen erst dann von einer Sicherheitsverletzung, wenn Unternehmens-, Mitarbeiter- oder Kundendaten im Dark Web zum Verkauf stehen. Überwachungsdienste für Sicherheitsverletzungen können nach Folgendem suchen:

  • Anmeldeinformationen für Mitarbeiter
  • Kundeninformation
  • Geistiges Eigentum
  • Andere Daten, die im Dark Web veröffentlicht oder zum Verkauf angeboten wurden

Wer profitiert von Bedrohungsinformationen?

Bedrohungsinformationen geben Einblick in potenzielle Cyberbedrohungen, mit denen ein Unternehmen konfrontiert sein kann, oder über Verstöße , die es in seinen Systemen noch nicht identifiziert hat.

Diese vielfältigen Sicherheitsinformationen haben zahlreiche Anwendungsmöglichkeiten innerhalb eines Unternehmens.

Eine der gebräuchlichsten Anwendungen von strategischen Bedrohungsinformationen ist die Identifizierung potenzieller Sicherheitsvorfälle durch persistente Bedrohungserkennung und Threat Hunting. Bedrohungsinformations-Feeds stellen häufig IoCs bereit, nach denen Unternehmen in ihren Systemen suchen können, um entweder einen bevorstehenden Angriff zu identifizieren und zu blockieren oder das Vorhandensein eines Eindringlings in ihren Systemen zu erkennen.

Bedrohungsinformationen Dienstleistungen von Check Point

Die Bedrohungsinformationsdienste werden von einem gemeinsamen Check Point -Team aus der Assess-Säule von Infinity Global Services und der Check Point Research (CPR)-Organisation erbracht. CPR besteht aus über 150 Forschern und Analysten. Dieses Team arbeitet auch eng mit Dritten zusammen, darunter andere Sicherheitsanbieter, verschiedene CERTs und Strafverfolgungsbehörden.

CPR bezieht Bedrohungsinformationen und andere Daten von einer Vielzahl verschiedener Standorte. Dazu gehören öffentlich zugängliche Quellen, Check Point ThreatCloud KI von, externe Lösungen und Technologien, die von unseren Servicepartnern bereitgestellt werden, sowie Informationen, die aus dem Dark Web gesammelt werden.

Intern hat das Sicherheitsteam benutzerdefinierte Maschinelles Lernmodule, Reverse Engineering, Anomalieerkennung und Kampagnenjagdtechniken entwickelt, die Unternehmen dabei helfen, mit der sich entwickelnden Bedrohungslandschaft Schritt zu halten.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK