Definition

Was ist ein Threat Intelligence Service?

| Autor / Redakteur: Tutanch / Peter Schmitz

Ein Threat Intelligence Service kann Daten zu Bedrohungen der IT-Sicherheit aus verschiedenen Quellen sammeln, filtern, analysieren und sie in einer nutzbaren Form bereitstellen.
Ein Threat Intelligence Service kann Daten zu Bedrohungen der IT-Sicherheit aus verschiedenen Quellen sammeln, filtern, analysieren und sie in einer nutzbaren Form bereitstellen. (Bild: Pixabay / CC0)

Ein Threat Intelligence Service liefert aktuelle Informationen zur Bedrohungslage der IT-Sicherheit durch Cyberangriffe und andere Gefahren. Hierfür sammelt der Service Daten aus unterschiedlichen Quellen und stellt sie in aufbereiteter Form zu Verfügung.

Ein Threat Intelligence Service nimmt sich der Problematik an, dass zwar sehr viele Daten zu bestehenden und neuen Bedrohungen für die Sicherheit von IT-Systemen existieren, aber diese nicht in konsolidierter Form zur Verfügung stehen. Unternehmen müssen einen hohen Aufwand betreiben und viel Zeit investieren, um die Daten zu sichten, zu filtern und sie für sich nutzbar zu machen.

Ein Threat Intelligence Service ist in der Lage, Daten aus unterschiedlichen Quellen zu sammeln, zu filtern, zu analysieren und sie in einer nutzbaren Form bereitzustellen. Mögliche Formate können Data-Feeds oder Berichte für das Management und IT-Verantwortliche sein. Einige Systeme sind darüber hinaus in der Lage, technische Kontrollinstanzen der IT-Sicherheit mit Daten für automatisch generierte Aktionen zu versorgen.

Der Service liefert Informationen zu Sicherheitsbedrohungen wie Cyberangriffe, aktuell erkannten Schwachstellen in Software wie Zero-Day Threats oder Sicherheitslücken von Hardwaresystemen. Ziel ist es, Unternehmen zu helfen, Gefahren schnell zu erkennen und die eigene IT zu schützen. Die Verantwortlichen werden in die Lage versetzt, die Risiken zu verstehen, Schwachstellen zu schließen und Hackerangriffe präventiv abzuwehren. Der Threat Intelligence Service bereitet die gesammelten Daten so auf, dass nur relevante und die eingesetzte IT betreffende Informationen berücksichtigt sind. Unternehmen, die einen Threat Intelligence Service nutzen, können Security-Schwachstellen schließen und proaktiv Maßnahmen einleiten, den Verlust von Daten oder Ausfälle der IT-Systeme zu verhindern.

Realisierungsmöglichkeiten eines Threat Intelligence Service

Wie ein Threat Intelligence Service realisiert ist, kann sich stark unterscheiden. Einfache Systeme sammeln Data-Feeds verschiedener Quellen und bereinigen diese mit Positiv- oder Negativ-Listen zu einem individuell auf die Organisation abgestimmten Data-Feed. Andere Systeme sind zusätzlich in der Lage, aktiv zu informieren, wenn für das Unternehmen relevante Bedrohungslagen in den Data-Feeds erkannt werden. Sie erzeugen individuelle Meldungen als Information, Warnung oder als Alarm.

Besonders leistungsfähige Threat Intelligence Services bereiten die durch Aggregation und Korrelation erkannten Bedrohungen so auf, dass sie direkt an Security-Applikationen wie Firewalls weitergegeben werden können. Eine Firewall kann aus einer solchen Information einen Filter automatisch setzen oder bestimmten Verkehr selbständig blockieren. Ein Threat Intelligence Service ist entweder in Form eines Cloud-basierten Dienstes oder als On-Premise-Lösung verfügbar. Oft werden die Services als zeitliche Abonnements mit definiertem Funktionsumfang abgerechnet.

Wichtige Funktionen eines Threat Intelligence Service

Trotz der sich stark unterscheidenden Systeme finden sich in allen Threat Intelligence Services ähnliche Basisfunktionen. Eine zentrale Rolle nehmen dabei die Data-Feeds ein. Sie werden in vielen verschiedenen Formen zur Verfügung gestellt und beinhalten unterschiedlichste Informationen. Diese reichen von als Bedrohung erkannten IP-Adressen über gefährliche Domänen oder Phishing-URLs bis hin zu sich aktuell im Umlauf befindlicher Schadsoftware. In die Data-Feeds fließen die Informationen aus verschiedenen Quellen ein. Sie werden angereichert mit Daten aus eigenen Datenbanken oder selbst generierten Informationen.

Eine weitere Basisfunktionalität des Threat Intelligence Service stellen Reports und Alarmierungen dar. Sie lassen sich aus den Data-Feeds in Echtzeit generieren oder in regelmäßigen Abständen (täglich, wöchentlich, monatlich...) bereitstellen. Die Berichte enthalten nicht nur Informationen zu aufkommenden oder bestehenden Bedrohungslagen, sondern liefern oft Hintergründe zu Motiven und Urhebern. Die Reports oder Warnmeldungen erhalten Security-Analysten, IT-Verantwortliche, IT-Mitarbeiter oder das Management. Einige Lösungen besitzen die Fähigkeit, die verdichteten und für das Unternehmen relevanten Daten, direkt an Security-Devices wie Firewalls oder Intrusion Detection Services weiterzuleiten. Diese Funktionalität findet sich in der Regel nicht im Basis-Funktionsumfang.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

DDoS-Abwehr mit 300 Gbps

A10 Networks Thunder TPS-Lösung

DDoS-Abwehr mit 300 Gbps

A10 Networks hat eine neue High-Performance-Lösung als Schutz gegen DDoS-Attacken vorgestellt. Thunder TPS (Threat Protection System) bewältigt bis zu 300 Gbps Durchsatz und bekämpft so DDoS-Attacken, damit Unternehmen die Verfügbarkeit sicherstellen, Betriebsbereitschaft und Produktivität erhöhen sowie Imageschäden vermeiden können. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44807289 / Definitionen)