Was sind Bedrohungsdaten?

Bedrohungsdaten sind Informationen über potenzielle Angriffe. Bedrohungsdaten helfen Unternehmen, Maßnahmen zur Abwehr dieser Angriffe zu ergreifen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Bedrohungsdaten definieren
  • Die wichtigsten Arten von Informationen über Cyber-Bedrohungen auflisten
  • Mehr über die Feeds der Bedrohungsdaten erfahren

Link zum Artikel kopieren

Was ist Bedrohungsanalyse im Rahmen der Cybersicherheit?

Bedrohungsdaten sind Informationen über die potenziellen Angriffe, denen ein Unternehmen ausgesetzt ist, und darüber, wie diese Angriffe erkannt und angehalten werden können. Die Strafverfolgungsbehörden verteilen manchmal Fahndungsplakate mit Informationen über Verdächtige. In ähnlicher Weise enthalten Cyber-Bedrohungsdaten Informationen darüber, wie aktuelle Bedrohungen aussehen und woher sie kommen.

Im Kontext der Cybersicherheit ist eine „Bedrohung“ eine Aktion mit böswilliger Absicht. Sie kann dazu führen, dass Daten gestohlen werden, verloren gehen oder unerlaubt verändert werden. Der Begriff bezieht sich sowohl auf potenzielle als auch auf tatsächliche Angriffe. Bedrohungsdaten versetzen Unternehmen in die Lage, Maßnahmen gegen Bedrohungen zu ergreifen, und liefern nicht nur Informationen. Jedes Element der Bedrohungsdaten trägt dazu bei, Angriffe zu erkennen und zu verhindern.

Einige Arten von Bedrohungsdaten können in Firewalls, Web Application Firewalls (WAFs), SIEM-Systeme (Security Information and Event Management) und andere Sicherheitsprodukte eingespeist werden, damit diese Bedrohungen effektiver erkennen und abwehren können. Andere Arten von Bedrohungsdaten sind allgemeiner und helfen Unternehmen bei größeren strategischen Entscheidungen.

Was sind die drei Haupttypen von Bedrohungsdaten?

Die meisten Bedrohungsdaten lassen sich in eine dieser drei Kategorien einordnen:

  1. Strategische Informationen beschreiben allgemeine Trends und langfristige Probleme. Sie können auch die Motivationen, Ziele und Methoden bekannter Angreifer umfassen.
  2. Operative Informationen beschreiben die von den Angreifern verwendeten Taktiken, Techniken und Verfahren (TTP) – zum Beispiel, welche Malware-Toolkits oder Exploit-Kits die Angreifer einsetzen, woher ihre Angriffe kommen oder in welchen Schritten sie einen Angriff typischerweise durchführen.
  3. Taktische Informationen sind spezifische Details über Bedrohungen vor Ort; sie ermöglichen es Unternehmen, Bedrohungen von Fall zu Fall zu erkennen. Malware-Signaturen und Kompromittierungshinweise (Indicators of compromise, IoC) sind Beispiele für taktische Informationen. Diese beiden Begriffe werden im Folgenden näher erläutert.

Was ist eine Malware-Signatur?

Eine Signatur ist ein einzigartiges Muster oder eine Sequenz von Bytes, anhand derer Malware identifiziert werden kann. Genauso wie Fingerabdrücke verwendet werden, um Personen zu identifizieren, die eines Verbrechens verdächtigt werden, helfen Signaturen dabei, böswillige Software zu identifizieren.

Das Erkennen von Signaturen ist eine der häufigsten Formen der Malware-Analyse. Um effektiv zu sein, muss die Signaturerkennung ständig mit den neuesten Malware-Signaturen aktualisiert werden, die in freier Wildbahn erkannt werden.

Was sind Kompromittierungshinweise (IoC)?

Ein Kompromittierungshinweis (indicator of compromise, IoC) ist ein Datensatz, der Aufschluss darüber gibt, ob ein Angriff stattgefunden hat oder noch im Gange ist. Ein IoC ist wie ein physisches Beweisstück, mit dem ein Detektiv erkennen kann, wer am Tatort anwesend war. In ähnlicher Weise helfen bestimmte digitale Beweise – ungewöhnliche, in Protokollen aufgezeichnete Aktivitäten, Netzwerk-Traffic zu nicht autorisierten Servern usw. – den Administratoren dabei, festzustellen, wann ein Angriff stattgefunden hat (oder gerade stattfindet) und um welche Art von Angriff es sich handelt.

Ohne IoCs kann es manchmal schwierig sein, festzustellen, ob ein Angriff stattgefunden hat. Oft will der Angreifer unentdeckt bleiben (z. B. wenn er ein kompromittiertes Gerät in einem Botnet verwenden will).

Was ist ein Feed von Bedrohungsdaten?

Ein Feed für Bedrohungsdaten ist ein externer Strom von Bedrohungsdaten. Ähnlich wie ein RSS-Feed für Blogs können Unternehmen einen Threat Intelligence Feed abonnieren, um ihre Systeme kontinuierlich mit Sicherheitsupdates zu versorgen.

Einige Feeds für Bedrohungsdaten sind kostenlos, andere kosten Geld und bieten proprietäre Daten, die nicht über offene Quellen verfügbar sind.

Was ist das Besondere an dem Ansatz, den Cloudflare bei der Sammlung von Bedrohungsdaten verfolgt?

Cloudflare ist in einer einzigartigen Position, um Informationen über Bedrohungen in großem Umfang zu sammeln. Millionen von Websites werden durch das Cloudflare-Netzwerk geschützt. Durch die Analyse des Traffics zu und von diesen Websites kann Cloudflare böswillige Traffic-Muster von Bots, Sicherheitslücken und anderen Angriffen identifizieren.

Cloudflare nutzt diese Informationen, um Kunden besser zu schützen. So erstellt Cloudflare beispielsweise WAF-Regeln und setzt diese für alle WAF-Kunden ein, sobald eine neue Bedrohung erkannt wird. Cloudflare Bot Management nutzt die Bedrohungsdaten aus den Milliarden von Anfragen, die Cloudflare jeden Tag sieht, um böswillige Bots zu identifizieren.

Mehr zum Thema Cyber-Bedrohungen erfahren Sie unter Was ist Web Application Security?