Threat Intelligence
2025-01-01

Überblick#

Threat Intelligence (TI) wandelt Rohsignale über das Verhalten von Angreifern in umsetzbare Hinweise um. Effektive TI klärt, welche Bedrohungen für das Geschäft relevant sind, liefert Indikatoren und TTP-Kontext an Detection-Teams und unterstützt die Priorisierung von Verteidigungsmaßnahmen.

Kernziele#

  • Priority Intelligence Requirements (PIRs) definieren, die auf Geschäftsassets und Branchendrohungen abgestimmt sind.
  • Mehrere Quellen kuratieren: kommerzielle Feeds, Open-Source-Intelligence, ISACs, Sharing-Communities und interne Detektionen.
  • Konsumierbare Ergebnisse liefern: Indikatorpakete, Bedrohungszusammenfassungen, Angriffsweghypothesen und Empfehlungen für Detection/Response.
  • Wirkung messen, indem TI die Detection-Abdeckung, Reaktionsgeschwindigkeit und Risikoentscheidungen verbessert.

Umsetzungshinweise#

  • Indikatoren (IOCs) mit Kontext normalisieren: Confidence, First/Last Seen und erforderliche Aktion (Block, Monitor, Hunt).
  • Playbooks für die Einspeisung in SIEM, EDR, DNS und E-Mail-Security aufbauen, inklusive Deduplizierung und Ablaufsteuerung.
  • Strategische Briefings für Management und Sicherheits-/Produktarchitektur bereitstellen, um Roadmaps zu informieren.
  • Mit Detection Engineering zusammenarbeiten, um TTPs in Analytics gemäß ATT&CK zu übersetzen.

Betriebssignale#

  • Frühindikatoren: Zeit von Feed-Eingang bis zur Kontrollbereitstellung, False-Positive-Rate neuer IOCs und PIR-Abdeckung.
  • Spätindikatoren: Vorfälle, die durch externe Hinweise statt TI-getriebene interne Detection erkannt werden, oder wiederkehrende Lücken gegenüber bekannten Akteurstechniken.
  • Feedback-Schleifen: Quartalsweise PIR-Aktualisierung, Qualitäts-Reviews mit Konsumenten und Abschaltung ungenutzter Feeds.

Runbook-Essentials#

  • Neue-Akteur-Einschätzung: Motivation, Fähigkeiten, Zielsetzung zusammenfassen; beobachtete IOCs und TTPs listen; Hunts und Detections vorschlagen.
  • IOC-Lebenszyklus: ingestieren → normalisieren → in Kontrollen verteilen → Treffer überwachen → Confidence anpassen oder ablaufen lassen.
  • Sharing: Bereinigte Erkenntnisse unter Einhaltung rechtlicher und Datenschutz-Vorgaben mit vertrauenswürdigen Communities teilen.

Verwandte Praktiken#

  • Detection Engineering, Incident Response und Schwachstellenmanagement hängen von präziser, aktueller TI ab.
  • Red/Blue-Team-Übungen prüfen, ob TI-basierte Hypothesen in der Umgebung standhalten.
  • Governance muss Lizenz- und Datenverarbeitungsanforderungen externer Feeds sicherstellen.