Was ist ein Feed von Bedrohungsdaten?

Threat-Intelligence-Feeds sind externe Datenströme, die Sicherheitsteams helfen, Bedrohungen zu erkennen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Beschreiben Sie die Art der Informationen, die in einem Threat Intelligence Feed enthalten sind
  • Erläutern Sie die Vorteile der Verwendung eines Threat Intelligence Feeds
  • Quellen für Bedrohungsinformationen verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Feed von Bedrohungsdaten?

Ein Threat Intelligence Feed ist ein Datenstrom über potenzielle Angriffe (bekannt als "threat intelligence" ) aus einer externen Quelle. Unternehmen können Threat Intelligence-Feeds nutzen, um ihre Sicherheitsabwehr auf dem neuesten Stand zu halten und auf die neuesten Angriffe vorzubereiten.

Ein News-Feed auf einer journalistischen Website oder ein Feed auf einer Social-Media-Plattform zeigen beide kontinuierliche Aktualisierungen an: neue Inhalte, neue Nachrichten, Änderungen an laufenden Geschichten und so weiter. In ähnlicher Weise ist ein Threat Intelligence Feed eine ständig aktualisierte Quelle für Bedrohungsdaten: Indicators of Compromise (IoC), verdächtige Domains, bekannte Malware Signaturen, und mehr.

Bedrohungsdaten können auch mit militärischer Aufklärung verglichen werden. Eine Armee könnte Informationen über die Aktivitäten des Gegners nutzen, um Entscheidungen über den Aufbau ihrer Verteidigungsanlagen zu treffen. In ähnlicher Weise helfen Bedrohungsdaten den Sicherheitsteams, sich besser auf aktuelle und zukünftige Cyberangriffe vorzubereiten.

Einige Bedrohungsdaten-Feeds sind maschinenlesbar; diese Feeds können direkt von SIEM-Systemen (Security Information and Event Management) und anderen Sicherheitstools genutzt werden. Andere sind für den menschlichen Verzehr bestimmt und ermöglichen es den Sicherheitsteams, Maßnahmen zu ergreifen und Entscheidungen zu treffen.

Viele Bedrohungsdaten-Feeds sind kostenlos und quelloffen, um eine weit verbreitete Bedrohungsabwehr zu fördern. Einige Bedrohungsdaten sind urheberrechtlich geschützt und nur für zahlende Kunden verfügbar.

Was ist eine Cyber-Bedrohung?

"Die Bedrohung" kann als eine Aktion definiert werden, die zu Diebstahl, Verlust, Verschiebung oder Veränderung von Daten ohne Genehmigung führen könnte. Der Begriff kann sich sowohl auf mögliche Aktionen als auch auf tatsächliche Aktionen beziehen.

Wenn Chuck das E-Mail-Passwort von Alice gestohlen und ihren Posteingang übernommen hat, dies aber noch nicht bei Bob geschehen ist, stellt Chuck immer noch eine Bedrohung für Bob dar. Alice möchte Bob vielleicht mitteilen, was Chuck getan hat, so dass Bob Maßnahmen ergreifen kann, um sich vor Chuck zu schützen. Alice hat Bob eine einfache Form der Bedrohungsanalyse gegeben: "Nimm dich vor Chuck in Acht!"

Aber um für Sicherheitstools und -teams nützlich zu sein, müssen Bedrohungsdaten detaillierter sein als nur "Achten Sie auf Chuck." Informationen über potenzielle externe Bedrohungen können verschiedene Formen annehmen.

  • Taktiken, Techniken und Verfahren (TTP): TTPs sind detaillierte Beschreibungen des Angriffsverhaltens.
  • Malware-Signaturen: Eine Signatur ist ein eindeutiges Muster oder eine Abfolge von Bytes, anhand derer eine Datei identifiziert werden kann. Sicherheitstools können nach Dateien mit Signaturen suchen, die bekannter Malware entsprechen.
  • Kompromittierungsindikatoren (Indicators of Compromise, IoC): Dies sind Daten, die Aufschluss darüber geben, ob ein Angriff stattgefunden hat oder im Gange ist.
  • Verdächtige IP-Adressen und Domänen: Der gesamte Datenverkehr in einem Netz hat einen bestimmten Ursprung. Wenn beobachtet wird, dass Angriffe von einer bestimmten Domain oder IP-Adresseausgehen, können Firewalls den Verkehr von dieser Quelle blockieren, um mögliche zukünftige Angriffe zu verhindern.

Woher stammen die Bedrohungsdaten in einem Feed?

Die Informationen in einem Threat Intelligence Feed können aus verschiedenen Quellen stammen, z. B:

  • Analyse des Internetverkehrs auf Angriffe und Datenexfiltration
  • Eingehende Forschung durch Sicherheitsexperten
  • Direkte Malware-Analyse durch heuristische Analyse, Sandboxing oder andere Malware-Erkennung
  • Weithin verfügbare, quelloffene Daten, die von der Sicherheitsgemeinschaft gemeinsam genutzt werden
  • Web-Crawling, um Angriffe und Angriffsinfrastruktur zu identifizieren (Cloud Email Security verwendet beispielsweise eine Form dieser Technik, um Phishing-Angriffe im Voraus zu erkennen)
  • Aggregierte Analyse- und Telemetriedaten von Kunden eines Sicherheitsunternehmens

Ein Anbieter von Bedrohungsdaten-Feeds stellt diese Informationen zusammen, fügt sie seinem Feed hinzu und verteilt sie.

Warum einen Feed mit Bedrohungsdaten verwenden?

Aktuelle Informationen: Cyber-Kriminelle wollen, dass ihre Angriffe erfolgreich sind. Aus diesem Grund ändern und erweitern sie ständig ihre Taktiken, um die Verteidigungsmaßnahmen zu umgehen. Organisationen, die auf die Abwehr von Angriffen des letzten Jahres eingestellt sind, können durch die diesjährigen Angriffstaktiken gefährdet werden. Daher wollen Sicherheitsteams immer die neuesten Daten haben, um ihre Abwehr zu informieren und sicherzustellen, dass sie die neuesten Angriffe stoppen können.

Größere Bandbreite an Informationen: Threat Intelligence Feeds bieten eine große Bandbreite an Daten. Um auf unser Beispiel zurückzukommen: Bob hat vielleicht in der Vergangenheit Chuck davon abgehalten, sein E-Mail-Postfach zu stehlen, aber wenn Alice ihn über Chucks neuesten Angriff informiert, dann weiß Bob, wie er sowohl den Angriff, dem er zuvor ausgesetzt war, als auch den auf Alice gerichteten Angriff abwehren kann. Ebenso können Unternehmen mit Hilfe von Bedrohungsdaten eine größere Vielfalt von Bedrohungen abwehren.

Bessere Effizienz: Durch die Beschaffung von Bedrohungsdaten aus externen Quellen können die Sicherheitsteams mehr Zeit für die Abwehr von Angriffen aufwenden, anstatt Daten zu sammeln. Sicherheitsexperten können Entscheidungen treffen und Abhilfemaßnahmen ergreifen, anstatt die für diese Entscheidungen erforderlichen Informationen zu sammeln. Und Sicherheitstools wie WAFs können lernen, Angriffe zu erkennen, bevor sie tatsächlich ausgeführt werden.

Wie wird STIX/TAXII für Bedrohungsdaten genutzt?

STIX und TAXII sind zwei Standards, die gemeinsam für den Austausch von Bedrohungsdaten verwendet werden. STIX ist eine Syntax für die Formatierung von Bedrohungsdaten, während TAXII ein standardisiertes Protokoll für die Verteilung dieser Daten ist (wie HTTP). Viele Threat Intelligence Feeds verwenden STIX/TAXII, um sicherzustellen, dass ihre Daten von einer Vielzahl von Sicherheitstools interpretiert und genutzt werden können.

Wie verteilt Cloudflare seinen Threat Intelligence Feed?

Cloudflare schützt einen großen Prozentsatz der weltweiten Websites (mit 63 Millionen verarbeiteten HTTP-Anfragen pro Sekunde), was es Cloudflare ermöglicht, eine große Menge an Daten über Netzwerkverkehr und Angriffsmuster zu analysieren. Diese Daten werden in fertige, verwertbare Bedrohungsdaten umgewandelt, die dann in Sicherheitstools (über STIX/TAXII) eingespeist werden können.

Cloudflare bietet diesen Threat Intelligence Feed über seinen Cloudforce One Service an. Unter der Leitung eines erfahrenen Forschungsteams stört Cloudforce One Cyberangreifer auf der ganzen Welt. Erfahren Sie mehr über Cloudforce One.