Cyber Threat Intelligence (CTI) bezeichnet alle Prozesse, Werkzeuge und Daten, mit denen Informationen über Computerbedrohungen gesammelt, analysiert und weitergegeben werden können.
Das Ziel ist es, diese Fragen zu beantworten, um die
bösartige Aktionen zu verhindern und die Verteidigung von Systemen zu stärken
von Informationen.
- Die Akteure der Bedrohung identifizieren
- Erkennen von Angriffstechniken
- Ausgenutzte Schwachstellen und bösartige Kampagnen vorhersehen
- Stärkung der Maßnahmen zur Prävention, Erkennung und Reaktion
- Unterstützung bei der strategischen und operativen Entscheidungsfindung im Bereich der Cybersicherheit
| DIE MERKMALE VON CYBER THREAT INTELLIGENCE | ERKLÄRUNGEN |
|---|---|
| Arten von Informationen | Taktik : Informationen über Techniken, Taktiken und Vorgehensweisen (TTP) || Informationen über Techniken, Taktiken und Vorgehensweisen (TTP) Operativ : Details zu bestimmten aktuellen oder vergangenen Ereignissen || Details zu bestimmten aktuellen oder vergangenen Ereignissen Strategisch : Hochrangige Analyse von Bedrohungen, ihren Motiven und zielsetzungen | Technisch : Rohdaten und direkt verwertbare Indikatoren durch Werkzeuge |
| KTI-Quellen | OSINT | Kommerzielle Quellen : Threat Intelligence-Anbieter | Gemeinschaftliches Teilen : ISACs, Open-Source-Projekte, Austausch zwischen CERTs || ISACs, Open-Source-Projekte, Austausch zwischen CERTs |. Interne Quellen : Logs, vergangene Vorfälle, Malware- oder Netzwerkanalysen |
| CTI-Tools und -Plattformen | MITRE ATT&CK : von Angreifern verwendete TTP-Datenbank || MISP : Plattform zum Austausch von Threat Intelligence || STIX/TAXII : standardisierte Formate für den Informationsaustausch || Monitoring-Tools : VirusTotal, Shodan, ThreatConnect... |
"Um mit den Großmächten zu konkurrieren
weltweit, insbesondere die USA und
China, die Mitgliedstaaten der Union
Die europäischen Länder haben ein Interesse daran, sich zusammenzuschließen
ihre Kompetenzen in Bezug auf
Cybersicherheit und ihre Zusammenarbeit zu stärken.
Dieser Text fügt sich in diese Dynamik ein, indem er
die unter anderem die Stärkung der
Vorrechte der ENISA, die Förderung von
maßstabsgetreue Zertifizierungsschemata
Europas und die Konsolidierung von Synergien
zwischen Mitgliedstaaten".
- Planung: Welche Bedürfnisse, welche Bedrohungen überwachen?
- Das Sammeln von Informationen (Tools, Monitoring, Quellen)
- Die Verarbeitung der gesammelten Daten
- Analyseprozesse: Korrelation, Sortierung, Kontextualisierung
- Verbreitung: Teilen mit den richtigen Personen oder Werkzeugen
- Feedback: Relevanzbewertung und kontinuierliche Verbesserung
Um relevant zu sein, muss Threat Intelligence innerhalb der Organisation kontextualisiert, geteilt und effektiv genutzt werden. Ebenso darf sich die Datenmanipulation nicht auf vertrauliche und persönliche Daten beziehen.