Einführung in Threat Intelligence Services für Unternehmen

Threat Intelligence Services helfen Security-Experten, Bedrohungen proaktiv zu verhindern. Allerdings gibt es große Preis- und Qualitätsunterschiede.

Ein Threat Intelligence Service sammelt Daten über aufkeimende Bedrohungen und bezieht diese aus verschiedenen Quellen. Er filtert und analysiert die Daten, um daraus nützliche Informationen zu gestalten. Als Format kommen Management-Berichte oder Data Feeds zum Einsatz, um damit Security-Kontrollsysteme automatisch zu versorgen. Das primäre Ziel ist es, Unternehmen zu helfen, die Risiken besser zu verstehen. Unterm Strich können sich die Firmen so besser vor Bedrohungen schützen. Wir sprechen an dieser Stelle unter anderem von Zero-Day Threats, Advanced Persistent Threats (APTs) und andere Exploits. Es geht in erster Linie um solche Bedrohungen, die sich am ehesten auf die bestimmten Umgebungen auswirken.

Sind  Unternehmen über die relevanten Threats so schnell wie möglich im Bilde, dann können sie Security-Löcher schneller stopfen und andere Maßnahmen einleiten, um Datenverlust oder Systemausfälle zu verhindern.

Service-Modelle für Threat Intelligence

Threat Intelligence Services sind relative Neulinge in der Security-Branche. Somit gibt es hinsichtlich der Art an Service noch deutliche Unterschiede bei den Angeboten.

Einige solcher Services stellen lediglich einen Data Feed zur Verfügung, der von so genannten False Positives bereinigt wurde. Das ist so ähnlich wie die verfügbaren Feeds, die das SANS Internet Storm Center oder CERT zur Verfügung stellen. Die meisten kostenpflichtigen Services sind aus normalerweise zwei oder mehr Data Feeds aggregiert oder korreliert (in einem Zusammenhang stehend).

Weiterhin gibt es maßgeschneiderte Alarme und Warnungen, die sich speziell an den jeweiligen Kunden richten.

Die dritte Art an Threat Intelligence Service ist ein gemanagter Dienst, der sich um das Aggregieren von Daten und deren Wechselbeziehungen kümmert. Außerdem werden die relevanten Informationen automatisch an die Security-Geräte übertragen. Hier geht es unter anderem um Firewalls, Security Information and Event Management (SIEM) und so weiter. Außerdem bieten diese Dienste noch branchenspezifische Bedrohungswewertungen und Security Consulting an.

Jede Form von Threat Intelligence Service wird als Abonnement verkauft. In der Regel gibt es zwei oder drei Leistungsniveaus. Die Auslieferung erfolgt via Cloud-Plattform. Mehrere Firmen bieten gemanagte Services für die Auslieferung auf On-Premise-Systeme an.

Weil die Kosten für Abonnements tendenziell hoch bis sehr teuer sind, plus das benötigte On-Premise-Equipment für die Bereitstellung, richten sich die Threat Intelligence Services derzeit an größere mittelständische Firmen oder Konzerne. Genau wie bei Cloud-Services darf man aber davon ausgehen, dass Threat Intelligence Services im Laufe der Zeit auch für kleinere Unternehmen erschwinglich werden.

Geschichtliches der Threat Intelligence Services

Da es sehr viele verfügbare Daten gibt, wurden Threat Intelligence Services ins Leben gerufen. Die Informationen zu aktuellen und aufkeimenden Bedrohungen können entweder intern generiert oder von externen Feeds erworben werden. Man muss allerdings einen ziemlichen Aufwand betreiben und auch Zeit investieren, um diese Daten zu sondieren und zu filtern, sowie sie für das jeweilige Unternehmen in nutzbare Informationen umzuwandeln.

Security-Unternehmen wie zum Beispiel Symantec verdienen Ihr Geld damit, Bedrohungen zu beobachten und aktuelle Antiviren-Signaturen für Ihre Produkte zu vertreiben. Sie warten seit Jahren globale Bedrohungsdatenbanken. Die Daten werden über Software-Agents gesammelt, die wiederum auf Millionen Kundencomputern und anderen Geräten laufen. Diese Daten plus Feeds von anderen Quellen bilden die Grundlage an Informationen, um einen Threat Intelligence Service anbieten zu können.

Ein Blick in die Daten eines Threat Intelligence Services

Daten von verschiedenen Threat-Intelligence-Quellen unterscheiden sich hinsichtlich Qualität und Struktur. Deswegen muss man diese validieren. Das Überprüfen der Daten beinhaltet Analysen von Menschen und Maschinen, denn man muss sie verarbeiten, sortieren und interpretieren.

Scheinbare Bedrohungen werden außerdem mit dem gesamten Pool an Bedrohungsdaten korreliert, um Muster zu identifizieren, die auf verdächtige oder bösartige Aktivitäten hinweisen. Weiterhin verknüpft man sie mit technischen Indikatoren, um sie entsprechend kategorisieren zu können. Zum Schluss werden die Daten noch in Kontextinformationen umgewandelt, um Erkenntnisse über die Angreifer sowie die Taktiken und Verhaltensmuster von aufkommenden oder fortschrittlichen Bedrohungen zu bekommen.

Schließlich müssen die Informationen zu den Bedrohungen brauchbar und deswegen so genau wie möglich sein. Weiterhin muss man die relevanten Daten termingerecht an die Kunden weitergeben. Außerdem müssen sie zur Sicherheitsstrategie des Abonnenten passen und sich einfach in existierende Security-Systeme einpflegen lassen.

Charakteristische Funktionen von Threat Intelligence Services

Nun kennen wir also Zweck und Vorteile von Threat Intelligence. Werfen wir nun einen Blick auf die häufigsten Funktionen, die man in dieser Form von Services findet.

  • Data Feeds: Durch Threat Intelligence Services stehen viele Arten an Daten-Feeds zur Verfügung. Einige Beispiele sind IP-Adressen, schädliche Domänen oder URLs, Phishing-URLs, Hashes von Malware und so weiter. Die Threat Intelligence Feeds eines Anbieters sollten die Daten aus den eigenen, globalen Datenbanken beziehen. Außerdem sollten Open-Source-Daten, Informationen von Branchengruppen und so weiter mit einfließen. So kreiert man einen Pool an Daten, der sowohl breit als auch tief ist.
  • Warnungen und Berichte: Einige Services stellen Echtzeitwarnungen zur Verfügung, sowie tägliche, monatliche und vierteljährliche Bedrohungsberichte. Zu den relevanten Informationen gehören Hinweise zu Malware-Formen, aufkommende Bedrohungen, plus den dahinter stehenden Cyberkriminellen und deren Motive.

Für das Management der Data-Feed-Informationen benötigt man Security-Analysten oder entsprechende Mitarbeiter der IT-Abteilung. Entweder ist die Information in proprietäres Equipment integriert, das zum Beispiel der Anbieter des Feeds zur Verfügung stellt, oder man bekommt die Daten in Form von standardisierten Dateiformaten wie XML oder CSV. Damit lässt sie sich in einer ganzen Reihe an Security-Management-Tools und Plattformen einsetzen.

Je nach Informationsniveau in den Data Feeds benötigen die Mitarbeiter möglicherweise spezielle Schulungen vom jeweiligen Anbieter.

Wie bereits erwähnt bieten manche Unternehmen gemanagte Security-Services an. Diese nehmen den Unternehmen durch eine proaktive Security-Herangehensweise den größten Teil der administrativen Last ab. Zu einem gemanagtem Service können Experten gehören, die Threat-Intelligence-Berichte zur Verfügung stellen und die Betriebsmittel einer Organisation rund um die Uhr überwachen. Sie sorgen dann auch für Bedrohungsminimierung und reagieren entsprechend auf Vorfälle.

Die Kosten für Threat Intelligence Services variieren stark. Nur ein Data Feed kann schon mit ein paar Tausend Euro pro Monat zu Buche schlagen. Hinzu kommen möglicherweise noch Kosten, um die IT-Sicherheit rund um die Uhr mithilfe von Technikern und Analysten aufrecht zu erhalten. Gemanagte Security Services können Zehntausende an Euro pro Monat kosten. Bei größeren Umgebungen sind sechsstellige oder sogar siebenstellige Zahlen pro Jahr keine Seltenheit.

Wie im Geschäftsleben allgemein üblich, benötigen die kostengünstigsten Services mehr menschlichen Aufwand und mehr Zeit auf der Kundenseite.

Fazit

Ein Threat Intelligence Service kann die Effizienz der Security-Mitarbeiter signifikant erhöhen, da sich damit proaktiv Vorfälle verhindern lassen. Weil es bei den Threat Intelligence Services so große Unterschiede gibt, ist die richtige Wahl eine Herausforderung. Man muss genau wissen, was das Unternehmen braucht und wie die Informationen genutzt werden. Außerdem benötigen Sie die richtigen Mitarbeiter, die mit dem Service auch etwas anfangen können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close