Home   Leistungen

Threat Intelligence

Threat Intelligence liefert Informationen über Cyber-Angriffe und ergänzt bereits vorhandene Schutzmaßnahmen wie z. B. am Netzwerkperimeter, in der Netzwerkinfrastruktur oder an den Endpunkten durch eine zusätzliche Ebene zur Erkennung von Bedrohungen. Folgende Katergorien von Informationen kann Threat Intelligence liefern:

Welche Tätergruppen sind wo und mit welcher Motivation aktiv?

Dieses Informationen sind vor allem für Unternehmen relevant, die allgemein in der Öffentlichkeit exponiert oder die aufgrund ihrer geographischen Verteilung in sehr vielen unterschiedlichen Märkten präsent sind.

Taktische Informationen bieten Einblicke über die konkrete Vorgehensweise der Täter.

Neben der Anwendung von unterschiedlichen technischen Werkzeugen zur späteren Ausführung eines Angriffs benötigen Angreifer im Vorfeld so viele Informationen über ihr Ziel wie möglich. Mögliche Aktivitäten der Angreifer reichen von gezielten Ansprachen von Mitarbeitern eines Unternehmens über Social Media ebenso bis zu technischen Scans des Netzwerks, um mehr über die technische Infrastruktur eines Unternehmens zu erfahren.

Das Wissen über die konkrete Vorgehensweise der Angreifer kann helfen, Mitarbeiter zu sensibilisieren und zusätzliche technische Massnahmen zu ergreifen, um Angreifer abzuwehren.

Von welchen IP-Adressen aus sind die Täter aktiv? Welche URLs werden für die Verbreitung von Schadcode verwendet?

Angreifer müssen für einen Angriff auf technische Infrastrukturen zurückgreifen, die für Verteidiger identifizierbar sind. Mit dem Wissen über die von den Angreifern verwendeten IP-Adressen und URLs, die für die Verbreitung von Schadcode verwendet werden, können Verteidiger den Zugriff auf diese Ressourcen erkennen und blockieren.

Unsere Arbeit konzentriert sich zum jetzigen Zeitpunkt auf die Bereitstellung von operativen Informationen. Diese werden von unseren Kunden gezielt für IDS/IPS (Intrusion Detection / Intrusion Prevention Systeme) oder nachgelagert für die Analyse in einem SIEM (Security Information and Event Management) verwendet.

Unser Threat Intelligence Centre wird ab März 2019 in einem ersten Schritt diese operative Daten für unsere Kunden bereitstellen.