Threat-Intelligence-Feeds sind externe Datenströme, die Sicherheitsteams helfen, Bedrohungen zu erkennen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein Threat Intelligence Feed ist ein Datenstrom über potenzielle Angriffe (bekannt als "threat intelligence" ) aus einer externen Quelle. Unternehmen können Threat Intelligence-Feeds nutzen, um ihre Sicherheitsabwehr auf dem neuesten Stand zu halten und auf die neuesten Angriffe vorzubereiten.
Ein News-Feed auf einer journalistischen Website oder ein Feed auf einer Social-Media-Plattform zeigen beide kontinuierliche Aktualisierungen an: neue Inhalte, neue Nachrichten, Änderungen an laufenden Geschichten und so weiter. In ähnlicher Weise ist ein Threat Intelligence Feed eine ständig aktualisierte Quelle für Bedrohungsdaten: Indicators of Compromise (IoC), verdächtige Domains, bekannte Malware Signaturen, und mehr.
Bedrohungsdaten können auch mit militärischer Aufklärung verglichen werden. Eine Armee könnte Informationen über die Aktivitäten des Gegners nutzen, um Entscheidungen über den Aufbau ihrer Verteidigungsanlagen zu treffen. In ähnlicher Weise helfen Bedrohungsdaten den Sicherheitsteams, sich besser auf aktuelle und zukünftige Cyberangriffe vorzubereiten.
Einige Bedrohungsdaten-Feeds sind maschinenlesbar; diese Feeds können direkt von SIEM-Systemen (Security Information and Event Management) und anderen Sicherheitstools genutzt werden. Andere sind für den menschlichen Verzehr bestimmt und ermöglichen es den Sicherheitsteams, Maßnahmen zu ergreifen und Entscheidungen zu treffen.
Viele Bedrohungsdaten-Feeds sind kostenlos und quelloffen, um eine weit verbreitete Bedrohungsabwehr zu fördern. Einige Bedrohungsdaten sind urheberrechtlich geschützt und nur für zahlende Kunden verfügbar.
"Die Bedrohung" kann als eine Aktion definiert werden, die zu Diebstahl, Verlust, Verschiebung oder Veränderung von Daten ohne Genehmigung führen könnte. Der Begriff kann sich sowohl auf mögliche Aktionen als auch auf tatsächliche Aktionen beziehen.
Wenn Chuck das E-Mail-Passwort von Alice gestohlen und ihren Posteingang übernommen hat, dies aber noch nicht bei Bob geschehen ist, stellt Chuck immer noch eine Bedrohung für Bob dar. Alice möchte Bob vielleicht mitteilen, was Chuck getan hat, so dass Bob Maßnahmen ergreifen kann, um sich vor Chuck zu schützen. Alice hat Bob eine einfache Form der Bedrohungsanalyse gegeben: "Nimm dich vor Chuck in Acht!"
Aber um für Sicherheitstools und -teams nützlich zu sein, müssen Bedrohungsdaten detaillierter sein als nur "Achten Sie auf Chuck." Informationen über potenzielle externe Bedrohungen können verschiedene Formen annehmen.
Die Informationen in einem Threat Intelligence Feed können aus verschiedenen Quellen stammen, z. B:
Ein Anbieter von Bedrohungsdaten-Feeds stellt diese Informationen zusammen, fügt sie seinem Feed hinzu und verteilt sie.
Aktuelle Informationen: Cyber-Kriminelle wollen, dass ihre Angriffe erfolgreich sind. Aus diesem Grund ändern und erweitern sie ständig ihre Taktiken, um die Verteidigungsmaßnahmen zu umgehen. Organisationen, die auf die Abwehr von Angriffen des letzten Jahres eingestellt sind, können durch die diesjährigen Angriffstaktiken gefährdet werden. Daher wollen Sicherheitsteams immer die neuesten Daten haben, um ihre Abwehr zu informieren und sicherzustellen, dass sie die neuesten Angriffe stoppen können.
Größere Bandbreite an Informationen: Threat Intelligence Feeds bieten eine große Bandbreite an Daten. Um auf unser Beispiel zurückzukommen: Bob hat vielleicht in der Vergangenheit Chuck davon abgehalten, sein E-Mail-Postfach zu stehlen, aber wenn Alice ihn über Chucks neuesten Angriff informiert, dann weiß Bob, wie er sowohl den Angriff, dem er zuvor ausgesetzt war, als auch den auf Alice gerichteten Angriff abwehren kann. Ebenso können Unternehmen mit Hilfe von Bedrohungsdaten eine größere Vielfalt von Bedrohungen abwehren.
Bessere Effizienz: Durch die Beschaffung von Bedrohungsdaten aus externen Quellen können die Sicherheitsteams mehr Zeit für die Abwehr von Angriffen aufwenden, anstatt Daten zu sammeln. Sicherheitsexperten können Entscheidungen treffen und Abhilfemaßnahmen ergreifen, anstatt die für diese Entscheidungen erforderlichen Informationen zu sammeln. Und Sicherheitstools wie WAFs können lernen, Angriffe zu erkennen, bevor sie tatsächlich ausgeführt werden.
STIX und TAXII sind zwei Standards, die gemeinsam für den Austausch von Bedrohungsdaten verwendet werden. STIX ist eine Syntax für die Formatierung von Bedrohungsdaten, während TAXII ein standardisiertes Protokoll für die Verteilung dieser Daten ist (wie HTTP). Viele Threat Intelligence Feeds verwenden STIX/TAXII, um sicherzustellen, dass ihre Daten von einer Vielzahl von Sicherheitstools interpretiert und genutzt werden können.
Cloudflare schützt einen großen Prozentsatz der weltweiten Websites (mit 63 Millionen verarbeiteten HTTP-Anfragen pro Sekunde), was es Cloudflare ermöglicht, eine große Menge an Daten über Netzwerkverkehr und Angriffsmuster zu analysieren. Diese Daten werden in fertige, verwertbare Bedrohungsdaten umgewandelt, die dann in Sicherheitstools (über STIX/TAXII) eingespeist werden können.
Cloudflare bietet diesen Threat Intelligence Feed über seinen Cloudforce One Service an. Unter der Leitung eines erfahrenen Forschungsteams stört Cloudforce One Cyberangreifer auf der ganzen Welt. Erfahren Sie mehr über Cloudforce One.