Bedrohungsaufklärung

Bedrohungsaufklärung (auch Threat Intelligence, TI) bezieht sich auf evidenzbasierte Kenntnisse über bekannte und neuartige Bedrohungen und Angriffsszenarien. Ein Threat Intelligence Feed ist eine Sammlung von Gefährdungsindikatoren (Indicators of Compromise, IoC) und Informationen, die von verschiedenen Sicherheitsorganisationen auf der ganzen Welt gesammelt und entweder frei zugänglich oder als kommerzielle Feeds bereitgestellt werden. Threat Intelligence Feeds bestehen in der Regel aus bösartigen IP-Adressen, Domänennamen, URLs, E-Mail-Adressen, Datei-Hashes und Dateinamen.

Hochentwickelte Cyberangriffe können verhindert werden, wenn Bedrohungstyp, Status, Funktionsweise und Angriffsszenarien im Voraus bekannt sind. Mit Bedrohungsaufklärung als Frühwarnsystem können Unternehmen vorbeugende Maßnahmen ergreifen, um das Netzwerk mit seinen Assets vor Angriffen zu schützen, ehe sie stattfinden.

Threat Defender integriert ein dauerhaft aktives TI-Untersystem, das eine optimierte Datenstruktur handhabt und so Leistungseinbußen vermeidet. Es stellt eine Reihe von TI Feeds aus mehreren externen Quellen bereit. Diese Feeds liefern unterschiedliche Datentypen, wie Informationen über Downloads von Ransomware, C&C-Serverdomänen und so weiter.

Threat Defender korreliert den gesamten Datenverkehr im Netzwerk mit den Gefährdungsindikatoren (IoC) aus den TI-Feeds in Echtzeit und ergänzt sie um den relevanten internen und externen Kontext sowie Metadaten. Wenn ein IoC oder verdächtiges Verhalten in Zusammenhang mit einem IoC im Datenverkehr entdeckt wird, kann die Policy-Engine des Threat Defender das Ereignis protokollieren bzw. den betreffenden Datenverkehr blockieren.

Wenn zum Beispiel ein Host eine festgelegte Anzahl von TI-Treffern auslöst, wird er von einer Regel zu einem dynamischen Netzwerkobjekt hinzugefügt. Dann können spezifische Regeln auf ihn angewendet werden, die beispielsweise seinen Datenverkehr blockieren und ihn isolieren.

Weitere Informationen: