Wer Sicherheit will, braucht Verbündete
Fazit & Ausblick
Gewiss: Allein das Nutzen der Crowd für die Suche nach Schwachstellen und das Austauschen von Bedrohungswissen können nicht den notwendigen Schutz gegen die sich verschärfenden Cyberattacken gewährleisten. Es müssen Taten im eigenen Unternehmen folgen – und deren Wirksamkeit muss dann auch überprüft werden.
So ergab zum Beispiel eine Umfrage des Analystenhauses Forrester Research: Nahezu zwei Drittel der IT-Sicherheitsverantwortlichen (64 Prozent) sagen, dass ihr Unternehmen Schwierigkeiten hat, sein Threat-Intelligence-Programm mit seinem Risikomanagementprogramm abzustimmen, und 62 Prozent haben Probleme bei der Implementierung von Messverfahren zur Verfolgung der Threat-Intelligence-Effektivität.
Ob das neu gewonnene Wissen über Bedrohungen und Schwachstellen wirklich hilft, sollten Unternehmen also unbedingt hinterfragen. Denn nur wenn dieses Wissen in geeignete Massnahmen überführt wird, zum Beispiel in ein umfassendes, möglichst weitgehend automatisiertes Patchmanagement zum Schliessen der bereits erkannten Sicherheitslücken, kann die Cybersicherheit wirklich nennenswert erhöht werden.
Andernfalls tauscht man sich nur über Cyberbedrohungen aus, anstatt etwas Konkretes gegen sie zu unternehmen. Das Wissen über Schwachstellen und Bedrohungen erleichtert den Zugang zur Security-Expertise, es ersetzt aber nicht die eigene Cybersicherheit.
Plattformen für Threat-Intelligence-Sharing (Auswahl)
Plattformen für Threat-Intelligence-Sharing (Auswahl) | ||
Anbieter | Plattform | Besonderheiten |
AlienVault https://otx.alienvault.com |
Open Threat Exchange | Open Threat Intelligence Community, Integration mit OTX Endpoint Security sowie anderen Security-Lösungen, die die OTX DirectConnect API unterstützen |
CrowdSec https://www.crowdsec.net |
CrowdSec | CrowdSec bietet eine crowdbasierte Cybersicherheitssuite zum Schutz von Online-Diensten, ein Dashboard zur Visualisierung und Reaktion auf Bedrohungen und eine TIP (Threat Intel Platform) für das Blockieren von IP-Adressen, von denen bekannt ist, dass Angriffe davon ausgehen |
Cyware https://cyware.com/threat-intelligence-information-sharing |
Cyware for Information Sharing, Cyware Threat Intelligence eXchange | Client-Server Threat Intelligence Platform (TIP) zur Erfassung, Anreicherung, Analyse und bidirektionalen Weitergabe von Bedrohungsdaten innerhalb eines vertrauenswürdigen Netzwerks |
IBM https://www.ibm.com/de-de/products/xforce-exchange |
IBM X-Force Exchange | Cloudbasierte Threat-Intelligence-Plattform, mit der man Informationen zu Sicherheitsbedrohungen nutzen, austauschen und in Maßnahmen umsetzen kann, Integration mit anderen Lösungen über Standardschnittstellen (STIX und TAXII) |
MISP project https://www.misp-project.org |
MISP Threat Sharing | MISP ist eine Open-Source-Software-Gemeinschaft von MISP-Benutzern. Das MISP-Threat-Sharing-Projekt besteht aus mehreren Initiativen, von Software zur Erleichterung der Bedrohungsanalyse und -freigabe bis hin zu frei nutzbaren strukturierten Cyberbedrohungsinformationen |
Palo Alto Networks https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld |
MineMeld | MineMeld lässt sich nativ in die Sicherheitsplattformen von Palo Alto Networks integrieren, um automatisch neue präventionsbasierte Kontrollen für URLs, IPs und Domänenintelligenz zu erstellen, die aus allen Quellen stammen, die in das Tool eingespeist werden |
SOCRadar https://socradar.io/suites/cyber-threat-intelligence/threat-intelligence-sharing |
ThreatShare | Individualisierbare Threat Intelligence, DarkMirror (Deep und Dark Web News), Filterung nach Regionen und Branchen |
ThreatConnect https://threatconnect.com/solution/intelligence-sharing |
ThreatConnect for Intelligence Sharing | Nutzende können Bedrohungsinformationen im STIX-Format sammeln und senden und kompatible TAXII-Clients direkt mit Indikator-Beobachtungslisten in ThreatConnect verbinden. Der TAXII-Server stellt ThreatConnect-exklusive Metriken wie Beobachtungen, Fehlalarme und ThreatAssess-Bewertungen bereit |
ThreatQ https://www.threatq.com/threatq-data-exchange |
ThreatQ Data Exchange | Bietet eine Schnittstelle, um einfach bidirektionale oder unidirektionale Verbindungen mit externen Systemen herzustellen, damit Bedrohungsdaten ausgetauscht werden können |
Plattformen für Threat-Intelligence-Sharing (Auswahl)
Plattformen für Threat-Intelligence-Sharing (Auswahl) | ||
Anbieter | Plattform | Besonderheiten |
AlienVault https://otx.alienvault.com |
Open Threat Exchange | Open Threat Intelligence Community, Integration mit OTX Endpoint Security sowie anderen Security-Lösungen, die die OTX DirectConnect API unterstützen |
CrowdSec https://www.crowdsec.net |
CrowdSec | CrowdSec bietet eine crowdbasierte Cybersicherheitssuite zum Schutz von Online-Diensten, ein Dashboard zur Visualisierung und Reaktion auf Bedrohungen und eine TIP (Threat Intel Platform) für das Blockieren von IP-Adressen, von denen bekannt ist, dass Angriffe davon ausgehen |
Cyware https://cyware.com/threat-intelligence-information-sharing |
Cyware for Information Sharing, Cyware Threat Intelligence eXchange | Client-Server Threat Intelligence Platform (TIP) zur Erfassung, Anreicherung, Analyse und bidirektionalen Weitergabe von Bedrohungsdaten innerhalb eines vertrauenswürdigen Netzwerks |
IBM https://www.ibm.com/de-de/products/xforce-exchange |
IBM X-Force Exchange | Cloudbasierte Threat-Intelligence-Plattform, mit der man Informationen zu Sicherheitsbedrohungen nutzen, austauschen und in Maßnahmen umsetzen kann, Integration mit anderen Lösungen über Standardschnittstellen (STIX und TAXII) |
MISP project https://www.misp-project.org |
MISP Threat Sharing | MISP ist eine Open-Source-Software-Gemeinschaft von MISP-Benutzern. Das MISP-Threat-Sharing-Projekt besteht aus mehreren Initiativen, von Software zur Erleichterung der Bedrohungsanalyse und -freigabe bis hin zu frei nutzbaren strukturierten Cyberbedrohungsinformationen |
Palo Alto Networks https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld |
MineMeld | MineMeld lässt sich nativ in die Sicherheitsplattformen von Palo Alto Networks integrieren, um automatisch neue präventionsbasierte Kontrollen für URLs, IPs und Domänenintelligenz zu erstellen, die aus allen Quellen stammen, die in das Tool eingespeist werden |
SOCRadar https://socradar.io/suites/cyber-threat-intelligence/threat-intelligence-sharing |
ThreatShare | Individualisierbare Threat Intelligence, DarkMirror (Deep und Dark Web News), Filterung nach Regionen und Branchen |
ThreatConnect https://threatconnect.com/solution/intelligence-sharing |
ThreatConnect for Intelligence Sharing | Nutzende können Bedrohungsinformationen im STIX-Format sammeln und senden und kompatible TAXII-Clients direkt mit Indikator-Beobachtungslisten in ThreatConnect verbinden. Der TAXII-Server stellt ThreatConnect-exklusive Metriken wie Beobachtungen, Fehlalarme und ThreatAssess-Bewertungen bereit |
ThreatQ https://www.threatq.com/threatq-data-exchange |
ThreatQ Data Exchange | Bietet eine Schnittstelle, um einfach bidirektionale oder unidirektionale Verbindungen mit externen Systemen herzustellen, damit Bedrohungsdaten ausgetauscht werden können |