Bedrohungsdaten sind Informationen über potenzielle Angriffe. Bedrohungsdaten helfen Unternehmen, Maßnahmen zur Abwehr dieser Angriffe zu ergreifen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Angriff mit Cross-Site-Scripting
Was ist ein Pufferüberlauf?
Was ist SQL-Injection?
Firewall
Feed mit Bedrohungsdaten
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Bedrohungsdaten sind Informationen über die potenziellen Angriffe, denen ein Unternehmen ausgesetzt ist, und darüber, wie diese Angriffe erkannt und angehalten werden können. Die Strafverfolgungsbehörden verteilen manchmal Fahndungsplakate mit Informationen über Verdächtige. In ähnlicher Weise enthalten Cyber-Bedrohungsdaten Informationen darüber, wie aktuelle Bedrohungen aussehen und woher sie kommen.
Im Kontext der Cybersicherheit ist eine „Bedrohung“ eine Aktion mit böswilliger Absicht. Sie kann dazu führen, dass Daten gestohlen werden, verloren gehen oder unerlaubt verändert werden. Der Begriff bezieht sich sowohl auf potenzielle als auch auf tatsächliche Angriffe. Bedrohungsdaten versetzen Unternehmen in die Lage, Maßnahmen gegen Bedrohungen zu ergreifen, und liefern nicht nur Informationen. Jedes Element der Bedrohungsdaten trägt dazu bei, Angriffe zu erkennen und zu verhindern.
Einige Arten von Bedrohungsdaten können in Firewalls, Web Application Firewalls (WAFs), SIEM-Systeme (Security Information and Event Management) und andere Sicherheitsprodukte eingespeist werden, damit diese Bedrohungen effektiver erkennen und abwehren können. Andere Arten von Bedrohungsdaten sind allgemeiner und helfen Unternehmen bei größeren strategischen Entscheidungen.
Die meisten Bedrohungsdaten lassen sich in eine dieser drei Kategorien einordnen:
Eine Signatur ist ein einzigartiges Muster oder eine Sequenz von Bytes, anhand derer Malware identifiziert werden kann. Genauso wie Fingerabdrücke verwendet werden, um Personen zu identifizieren, die eines Verbrechens verdächtigt werden, helfen Signaturen dabei, böswillige Software zu identifizieren.
Das Erkennen von Signaturen ist eine der häufigsten Formen der Malware-Analyse. Um effektiv zu sein, muss die Signaturerkennung ständig mit den neuesten Malware-Signaturen aktualisiert werden, die in freier Wildbahn erkannt werden.
Ein Kompromittierungshinweis (Indicator of Compromise, IoC) ist ein Datensatz, der Aufschluss darüber gibt, ob ein Angriff stattgefunden hat oder noch im Gange ist. Ein IoC ist wie ein physisches Beweisstück, mit dem ein Detektiv erkennen kann, wer am Tatort anwesend war. In ähnlicher Weise helfen bestimmte digitale Beweise – ungewöhnliche, in Protokollen aufgezeichnete Aktivitäten, Netzwerk-Traffic zu nicht autorisierten Servern usw. – den Administratoren dabei, festzustellen, wann ein Angriff stattgefunden hat (oder gerade stattfindet) und um welche Art von Angriff es sich handelt.
Ohne IoCs kann es manchmal schwierig sein, festzustellen, ob ein Angriff stattgefunden hat. Oft will der Angreifer unentdeckt bleiben (z. B. wenn er ein kompromittiertes Gerät in einem Botnet verwenden will).
Ein Feed für Bedrohungsdaten ist ein externer Strom von Bedrohungsdaten. Ähnlich wie ein RSS-Feed für Blogs können Unternehmen einen Feed für Bedrohungsdaten abonnieren, um ihre Systeme kontinuierlich mit Sicherheitsupdates zu versorgen.
Einige Feeds für Bedrohungsdaten sind kostenlos, andere kosten Geld und bieten proprietäre Daten, die nicht über offene Quellen verfügbar sind.
Cloudflare ist in einer einzigartigen Position, um Informationen über Bedrohungen in großem Umfang zu sammeln. Millionen von Websites werden durch das Cloudflare-Netzwerk geschützt. Durch die Analyse des Traffics zu und von diesen Websites kann Cloudflare böswillige Traffic-Muster von Bots, Sicherheitslücken und anderen Angriffen identifizieren.
Cloudflare nutzt diese Informationen, um Kunden besser zu schützen. So erstellt Cloudflare beispielsweise WAF-Regeln und setzt diese für alle WAF-Kunden ein, sobald eine neue Bedrohung erkannt wird. Cloudflare Bot Management nutzt die Bedrohungsdaten aus den Milliarden von Anfragen, die Cloudflare jeden Tag sieht, um böswillige Bots zu identifizieren.
Mehr zum Thema Cyber-Bedrohungen erfahren Sie unter Was ist Web Application Security?