In der Cybersicherheit sind Bedrohungsdaten, Bedrohungsinformationen und Bedrohungsdaten-Feeds eng miteinander verbunden, aber nicht dasselbe. In diesem Artikel wird erläutert, worin sie sich unterscheiden und welche Bedeutung sie im Einzelnen haben.
Bedrohungsdaten beziehen sich auf eine bekannte Liste bösartiger und auf einer schwarzen Liste geführter IPs, URLs und Domains. Rohe Bedrohungsdaten enthalten keine Informationen oder Kontext darüber, wie diese IPs, Domains und URLs als bösartig eingestuft wurden und wie sie für Angriffe verantwortlich waren.
Bedrohungsdaten stammen hauptsächlich aus Honeypots, Phishing-Mails und der Verarbeitung von Malware-Angriffen. Es gibt keine Garantie dafür, dass Bedrohungsdaten immer aus zuverlässigen Quellen stammen.
Bedrohungsinformationen umfassen Details wie die:
Sicherheitskontrollzentren (Security Operations Center, SOC) von Organisationen, unabhängige Bedrohungsforscher und Threat-Intelligence-Lösungen sammeln solche Daten und stellen sie den übrigen IT-Gemeinschaften zur Verfügung, um den Angriff zu verhindern.
Es gibt bestimmte Formate für die Darstellung von Bedrohungsinformationen. Zu den beliebtesten Formaten gehören Structured Threat Information and eXpression (STIX). STIX ist eine standardisierte Sprache, die von MITRE entwickelt wurde, um Informationen über Cyber-Bedrohungen darzustellen. STIX hilft beim Austausch, der Speicherung und der Analyse von Bedrohungsinformationen, um die Abwehr von Angriffen zu erleichtern.
Bedrohungsdaten-Feeds enthalten riesige Quellen von Bedrohungsdaten, die von Cybersicherheitsexperten organisiert und analysiert werden. Es handelt sich um eine Sammlung von Bedrohungsinformationen, die Einblicke in Kompromittierungsindikatoren (Indicators of Compromise, IoCs), Angriffsindikatoren (Indicators of Attack, IoAs), Taktiken, Techniken und Verfahren (TTPs) für viele bekannte Cyberangriffe bietet.
Trusted Automated eXchange of Indicator Information (TAXII) ist eine Sammlung von Diensten und Nachrichtenaustausch, die den Austausch von Bedrohungsdaten-Feeds über verschiedene Cybersicherheitsprodukte und -dienste hinweg ermöglichen. Es ist ein Transportmittel für STIX.
Eine strukturierte und kontextbezogene Sammlung von Bedrohungsinformationen
Bedrohungsdaten-Feeds Eine Sammlung von Bedrohungsdaten zusammen mit relevanten Details
Bedrohungsinformationen Eine Reihe grundlegender, roher und unstrukturierter Bedrohungsdaten
Bedrohungsdaten Es ist unerlässlich, die Sicherheitsbedrohungen in Ihrem Netzwerk zu bekämpfen, um die Sicherheitslage zu verbessern. Das Einspeisen von Feeds mit Bedrohungsdaten allein würde Ihr Netzwerk nicht immun gegen Bedrohungen machen. Sie müssen diese Feeds nutzen, um Sicherheitsbedrohungen in Ihrem Netzwerk zu erkennen. Wie können Sie das tun?
SIEM-Lösungen (Security Information and Event Management) können Ihnen dabei helfen, die Bedrohungs-Feeds mit Ihren Netzwerkprotokollen zu korrelieren und Sicherheitsbedrohungen genau zu erkennen.
Log360, eine umfassende SIEM-Lösung, wird mit einer globalen Bedrohungsdatenbank geliefert, die über 600 Millionen Bedrohungsdaten und ein erweitertes Bedrohungsanalyse-Add-on enthält, das dynamisch aktualisierte Bedrohungs-Feeds bereitstellt. Diese Funktionen helfen Ihnen, Sicherheitsbedrohungen in Ihrem Netzwerk in Echtzeit zu erkennen und sie auch ohne menschliches Eingreifen zu mindern, indem sie relevante Arbeitsabläufe miteinander verknüpfen. Die Lösung hilft Ihnen somit bei der Implementierung eines durchgängigen Vorfallsmanagementsystems für Ihre Organisation. Sehen Sie sich hier weitere Funktionen von Log360 an.