Threat Intelligence
Was ist Threat Intelligence?
Threat IntelligenceEvidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
Threat Intelligence ist die strukturierte Erhebung, Aufbereitung, Analyse und Verbreitung von Informationen über Angreifer, ihre Motivation, Fähigkeiten und Infrastrukturen. Rohdaten (Malware-Samples, IPs, Domains, geleakte Zugangsdaten, Darknet-Chatter, Vulnerability-Reports) werden durch Kontext, Vertrauensbewertung und Zielgruppenbezug in handlungsleitende Intelligence verwandelt. Organisationen konsumieren Threat Intelligence über Feeds (STIX/TAXII, MISP), Plattformen (TIP), Hersteller-Reports und ISAC-Sharing, um SIEM- und EDR-Detection anzureichern, Patching zu priorisieren und Risikoentscheidungen auf Führungsebene zu unterstützen. Klassifiziert wird sie nach Zielgruppe und Zeithorizont in strategisch, operativ und taktisch.
● Beispiele
- 01
Ein ISAC teilt IoCs zu einem neuen Ransomware-Affiliate Stunden vor dessen Angriffen auf Mitglieder.
- 02
Eine TIP reichert SIEM-Events mit Akteurszuschreibung, MITRE-ATT&CK-Techniken und Konfidenzwerten an.
● Häufige Fragen
Was ist Threat Intelligence?
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Threat Intelligence?
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
Wie schützt man sich gegen Threat Intelligence?
Schutzmaßnahmen gegen Threat Intelligence kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Threat Intelligence?
Übliche alternative Bezeichnungen: TI.