Verteidigung und Betrieb
Threat Intelligence
Auch bekannt als: TI
Definition
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
Threat Intelligence ist die strukturierte Erhebung, Aufbereitung, Analyse und Verbreitung von Informationen über Angreifer, ihre Motivation, Fähigkeiten und Infrastrukturen. Rohdaten (Malware-Samples, IPs, Domains, geleakte Zugangsdaten, Darknet-Chatter, Vulnerability-Reports) werden durch Kontext, Vertrauensbewertung und Zielgruppenbezug in handlungsleitende Intelligence verwandelt. Organisationen konsumieren Threat Intelligence über Feeds (STIX/TAXII, MISP), Plattformen (TIP), Hersteller-Reports und ISAC-Sharing, um SIEM- und EDR-Detection anzureichern, Patching zu priorisieren und Risikoentscheidungen auf Führungsebene zu unterstützen. Klassifiziert wird sie nach Zielgruppe und Zeithorizont in strategisch, operativ und taktisch.
Beispiele
- Ein ISAC teilt IoCs zu einem neuen Ransomware-Affiliate Stunden vor dessen Angriffen auf Mitglieder.
- Eine TIP reichert SIEM-Events mit Akteurszuschreibung, MITRE-ATT&CK-Techniken und Konfidenzwerten an.
Verwandte Begriffe
Cyber Threat Intelligence (CTI)
Evidenzbasiertes, kontextualisiertes Wissen über Cyber-Bedrohungen, das Verteidigern schnellere und fundiertere Sicherheitsentscheidungen ermöglicht.
Tactical Threat Intelligence
Tactical Threat Intelligence — definition coming soon.
Strategic Threat Intelligence
Strategic Threat Intelligence — definition coming soon.
Operational Threat Intelligence
Operational Threat Intelligence — definition coming soon.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Tactics, Techniques and Procedures (TTPs)
Tactics, Techniques and Procedures (TTPs) — definition coming soon.