Zum Hauptinhalt springen

Top Threat Intelligence Plattformen und Tools

Veröffentlicht am:
.
12 Minuten Lesezeit
.
Für die Englische Version

Heutzutage zeichnen massive Datenmengen, ein Mangel an Analysten und ausgeklügeltere Angriffe durch Gegner das Cybersicherheitsumfeld aus. Aktuelle Sicherheitsinfrastrukturen bieten mehrere Lösungen zur Verwaltung dieser Informationen, aber es fehlt an Integration. Dies führt zu einer frustrierenden Menge an technischem Aufwand, der erforderlich ist, um Systeme zu verwalten, und zu einer Verschwendung der bereits begrenzten Zeit und Ressourcen.

Führungskräfte im Bereich Sicherheit und Risikomanagement müssen bestimmen, über welche Risiken sie sich am meisten Sorgen machen sollten. Sie sollten auch:

  • Konzentrieren Sie sich auf Anwendungsfälle mit schnellem ROI, wie z.B. Telemetrieanreicherung und Priorisierung von Schwachstellen, insbesondere für Unternehmen, die gerade ein Bedrohungsintelligenzprogramm starten.
  • Begründen Sie das Budget, indem Sie die Bedeutung von Bedrohungsinformationen für den Erfolg des Sicherheitsbetriebsprogramms und die Sicherheit der Organisation beschreiben.
  • Definieren Sie prioritäre Informationsbedarfe (PIRs), um die Auswahl der richtigen Informationsprodukte und -dienstleistungen für die Kuratierung in echte Bedrohungsinformationen für das Unternehmen zu leiten.
  • Nehmen Sie an Initiativen zum Austausch von Bedrohungsinformationen teil und tragen Sie dazu bei, die Bemühungen gegen Bedrohungsakteure zu bündeln, während Sie die Bedenken des Unternehmens hinsichtlich Datenschutz oder der Offenlegung sensibler Daten zerstreuen.
  • Falls zutreffend, bewerten Sie Lieferanten und Dienstleister, die möglicherweise über Fähigkeiten verfügen, Risiken im Zusammenhang mit digitalen Assets außerhalb konventioneller IT-Infrastrukturen zu analysieren, zu überwachen und zu mindern, wie z.B. Cloud, soziale Medien und Technologien von Drittanbietern.

Um diesen Bedenken entgegenzuwirken, nutzen immer mehr Unternehmen Bedrohungsintelligenzplattformen. Eine Threat-Intelligence-Plattform ist eine Art Software, die Bedrohungsdaten aus verschiedenen Quellen sammelt und organisiert, sodass Organisationen ihre wichtigsten Sicherheitsbedenken erkennen können. Eine Bedrohungsintelligenz-Plattform kann das Sammeln und Organisieren von Bedrohungsdaten verwalten, sodass Sicherheitsexperten sich auf Analyse und Planung konzentrieren können. Darüber hinaus kann eine Organisation Software für Bedrohungsinformationen nutzen, um die Entscheidungsfindung und die Fähigkeiten in der Sicherheitstechnologie zu verbessern, um das Risiko und die Möglichkeit eines Kompromisses zu verringern.

Threat Intelligence Platforms (TIP) können als SaaS- oder On-Premise-Lösung installiert werden, um die Verwaltung von Cyber-Bedrohungsinformationen und verwandten Entitäten zu erleichtern, einschließlich Akteuren, Kampagnen, Vorfällen, Signaturen, Bulletins, Taktiken, Techniken und Verfahren (TTPs).

In diesem Artikel werden wir zunächst Bedrohungsinformationen definieren und verschiedene Arten von Bedrohungsinformationen erklären, dann besprechen, was eine Bedrohungsinformationsplattform ist, die Bedeutung von Bedrohungsinformationsplattformen, die unverzichtbaren Funktionen von Bedrohungsinformationstools und die besten Bedrohungsinformationsplattformen, die auf dem Markt erhältlich sind.

Was ist Bedrohungsintelligenz?

Threat Intelligence ist eine Art von Daten, die von Unternehmen gesammelt wird und die üblichen Motivationen, Aktivitäten und Ziele eines Angreifers beschreibt. Es informiert über bekannte Malware-Signaturen, die Arten von Daten, die Hacker anvisieren, und potenzielle Infektionssymptome auf einem Gerät oder Netzwerk eines Unternehmens.

Mit diesem Wissen können Organisationen intelligentere Sicherheitsentscheidungen treffen und sich auf die anfälligsten Bereiche ihres Netzwerks konzentrieren. Da Unternehmen Threat Intelligence nutzen können, um sich sowohl vor bekannten als auch vor unbekannten Bedrohungen zu schützen, können sie einen proaktiveren Ansatz für die Cybersicherheit verfolgen, indem sie Sicherheitsvorfälle vermeiden, anstatt zu versuchen, den Schaden zu minimieren. Die bereitgestellten Informationen ermöglichen es Unternehmen, ihre Incident-Response-Strategien zu verbessern und gezieltere Schulungen für die Mitarbeiter anzubieten.

Arten von Bedrohungsinformationen

Für eine erfolgreiche Cybersecurity-Abwehr benötigen Unternehmen vier Formen von Bedrohungsinformationen.

  • Operative Bedrohungsaufklärung: Operative Bedrohungsaufklärung ist die Informationssammlung über einen bevorstehenden Angriff, in der Regel über soziale Medien und Chatrooms. Es kann weitere Einblicke geben, wo und wann ein Angreifer zuschlagen wird, welche Vermögenswerte anfällig sind und wie ein Unternehmen einen Angriff verhindern könnte, bevor er stattfindet.
  • Strategische Bedrohungsaufklärung: Es bietet hochrangiges Wissen über Gefahren und ist oft für ein nicht-technisches Publikum, typischerweise Führungskräfte, gedacht. Es vermittelt dem Benutzer ein Verständnis für die potenziellen Folgen eines Verstoßes, um seine Entscheidungsfindung besser zu leiten.
  • Technische Bedrohungsintelligenz: Es bietet technischen und nicht-technischen Mitarbeitern Indikatoren für eine bestimmte Art von Gefahr, wie Schlüsselbegriffe in E-Mail-Betreffzeilen. Diese Form der Aufklärung wird oft aktualisiert, um sich an die sich ändernden Strategien des Feindes anzupassen.
  • Taktische Bedrohungsaufklärung: Es gibt spezifische Informationen über die Methoden, Ziele und Werkzeuge eines Angreifers. Diese Informationen werden oft an technische Benutzer, wie Sicherheitsexperten, gesendet und weisen sie darauf hin, nach welchen Indikatoren für Kompromittierungen (IoCs) sie suchen sollen.

Was ist eine Threat Intelligence Platform?

Eine Bedrohungsintelligenz-Plattform ist eine Art Software, die Bedrohungsdaten aus verschiedenen Quellen sammelt und organisiert, sodass Unternehmen ihre bedeutendsten Sicherheitsbedenken identifizieren können. Eine Bedrohungsintelligenz-Plattform kann das Sammeln und Organisieren von Bedrohungsdaten verwalten, sodass sich Sicherheitsexperten auf Analyse und Planung konzentrieren können. Zusätzlich kann das Sicherheitsteam die von der Bedrohungsintelligenz-Software generierten Berichte nutzen, um Unterstützung von der Geschäftsführung für zusätzliche Sicherheitsmaßnahmen zu erhalten.

Der Markt für Bedrohungsinformationen besteht aus einer Vielzahl von Lösungen und Dienstleistungen, die darauf abzielen, Organisationen dabei zu unterstützen, ihre eigene einzigartige Bedrohungslandschaft zu verstehen und sich darauf vorzubereiten, wodurch ihre Präventions- und Vorhersagefähigkeiten gestärkt und die Verbesserung anderer Betriebsanstrengungen wie Incident Response (IR), Threat Hunting und Vulnerability Management (VM) unterstützt werden.

Die Bedrohungsintelligenzbranche hat eine große Anzahl von Unternehmen, und Kunden sehen sich oft einer überwältigenden Menge an Alternativen gegenüber.

Die von TI-Produkten und -Dienstleistungen angebotenen Informationen und Fachkenntnisse werden auf verschiedene Weise genutzt, basierend auf den beabsichtigten Ergebnissen und Anforderungen der Organisation, wie zum Beispiel:

  • Erkennungstechnik (SIEM-Regelerstellung).
  • Bedrohungssuche (Erstellen einer Sysmon-Abfrage für die Ausführung bösartiger Makros, abgeleitet aus einem technischen Malware-Bericht, den Endgeräteschutztools nicht finden).
  • Vorfallanreicherung über Security Orchestration, Automation, and Response (SOAR) (Verknüpfung einer IP oder binären Artefakts mit einer bekannten Malware-Familie).
  • Deaktivieren Sie Benutzerkonten als Reaktion auf eine Benachrichtigung eines DRPS-Anbieters, dass eine Liste kompromittierter Konten im Dark Web zum Verkauf steht.
  • Angriffe zur Testung simulieren (Angriffsverhalten basierend auf dem Bedrohungsakteur-Profil erstellen).

Warum benötigen Sie Threat Intelligence-Plattformen?

Früher nutzten Sicherheits- und Bedrohungsintelligenz-Teams eine Vielzahl von Werkzeugen und Prozessen, um Bedrohungsdaten manuell zu sammeln und zu überprüfen, die aus verschiedenen Quellen stammen, potenzielle Sicherheitsbedrohungen zu bestimmen und darauf zu reagieren sowie Bedrohungsintelligenz mit anderen Interessengruppen zu teilen.

Diese Strategie wird aus den folgenden Gründen weniger effektiv:

  • Die Menge und Vielfalt der Sicherheitsbedrohungen (wie die von böswilligen Akteuren, Malware, Phishing, Botnets, Denial-of-Service (DDoS)-Angriffen, Ransomware usw.) nehmen mit jedem Jahr sowohl in der Breite als auch in der Komplexität zu.
  • Unternehmen sammeln heutzutage enorme Datenmengen in einer Vielzahl von Formaten, einschließlich STIX/TAXII, JSON, XML, PDF, CSV und E-Mail. Diese Formate werden verwendet, um die Daten zu speichern.
  • Jeden Tag werden Millionen möglicher Bedrohungsindikatoren von Grund auf neu generiert.
  • Um weitreichenden Schaden abzuwenden, müssen Unternehmen viel schneller auf mögliche Sicherheitsrisiken reagieren als in der Vergangenheit.

All diese Elemente können Sicherheits- und Bedrohungsintelligenz-Teams in einen Zustand versetzen, in dem sie von einem Meer aus Lärm und Fehlalarmen begraben werden, was es ihnen unmöglich macht, Folgendes zu identifizieren und zu unterscheiden:

  • welche Daten für ihre Organisation am relevantesten und wertvollsten sind, damit sie diese analysieren und mögliche Sicherheitsbedenken aufdecken können.
  • welche Bedrohungen legitim sind und welche nicht, damit sie ihre Ressourcen angemessen zuweisen können.

Darüber hinaus müssen Sicherheitsteams auch die Aufsicht über andere wesentliche sicherheitsbezogene Aufgaben wie Planung, Überwachung, Reaktion, Feedback und Behebung aufrechterhalten und eine konsistente Kommunikation mit anderen Interessengruppen und Sicherheitssystemen über die neuesten Bedrohungsdaten gewährleisten.

Wenn wir all die oben genannten Punkte betrachten, ist es nicht schwer zu erkennen, warum die alte Methode zur Beschaffung und Zusammenstellung von Bedrohungsinformationen nicht mehr relevant ist und warum sie ersetzt werden sollte.

Im Gegensatz dazu bieten Bedrohungsintelligenz-Tools den Sicherheits- und Bedrohungsintelligenz-Teams die folgenden Vorteile:

  • Kontinuierlich die aktuellsten Bedrohungsdaten an Sicherheitssysteme wie Security Information and Event Management (SIEM)-Lösungen, Endpunkte, Firewalls, Application Programming Interfaces (APIs) und Intrusion Prevention Systems (IPSs) sowie andere Arten von Sicherheitssystemen weitergeben.
  • Der gesamte Prozess der Untersuchung, Sammlung, Aggregation und Organisation von Bedrohungsdaten sowie der Normalisierung, Duplikatentfernung und Verbesserung dieser Daten sollte so weit wie möglich automatisiert, rationalisiert und vereinfacht werden.
  • Holen Sie sich Informationen, die wirklich wichtig sind, wie die Geschichte der Situation und Einzelheiten zu aktuellen und zukünftigen Sicherheitsbedenken, Bedrohungen, Angriffen und Schwachstellen. Zusätzlich Informationen über potenzielle Bedrohungsgegner und deren Taktiken, Techniken und Prozesse (TTPs) einholen.
  • Überwachen Sie die Umgebung in Echtzeit, um mögliche Sicherheitsbedenken umgehend zu entdecken, zu überprüfen und darauf zu reagieren.
  • Dashboards, Warnmeldungen und Berichte, unter anderem Formate, sollten verwendet werden, um den Datenaustausch mit anderen Interessengruppen über Bedrohungsinformationen zu erleichtern.
  • Protokolle für die Eskalation und Reaktion auf Sicherheitsvorfälle festlegen.

Unverzichtbare Funktionen von Cyber-Bedrohungsanalyse-Tools

Jedes Unternehmen wird eine einzigartige Reihe von Anforderungen an die Bedrohungsintelligenzplattform haben, die es verwendet, sei es Sandboxing, um weitere Forschungen zu Angriffen durchzuführen, oder Verhaltensanalyse, um Bedrohungen schneller zu erkennen. Es ist entscheidend festzustellen, ob Sie einfach nur nach Bedrohungsinformationen suchen oder ob Sie eine Plattform mit zusätzlichen Funktionen wie Antivirus oder Endpoint-Sicherheit wünschen, wenn Sie die geeignete Bedrohungsinformationssoftware für Ihr Unternehmen auswählen.

Es wird empfohlen, dass große Unternehmen mit eigenen Sicherheitsteams in Betracht ziehen, eine Best-of-Breed-Software als separate Lösung zu erwerben, während kleinere und mittelständische Unternehmen es möglicherweise nützlicher finden, Bedrohungsinformationen in ein bestehendes Sicherheitsprodukt zu integrieren.

Bedrohungsintelligenz-Software sollte es Sicherheits-Teams erleichtern, mögliche Cyberangriffe zu erkennen und Netzwerke davor zu schützen. Eine Bedrohungsintelligenz-Plattform muss über die folgenden Fähigkeiten verfügen:

  • Mehrere Datenquellen: Daten und Analysen sind die Grundlage, auf der die Cyber-Bedrohungsaufklärung aufgebaut wird. Bedrohungsintelligenz-Software sollte in der Lage sein, Bedrohungsdaten aus vielen Quellen zu extrahieren, um ein umfassendes Bild eines potenziellen Angriffs zu liefern. Nicht jede Quelle wird den Experten für Informationssicherheit alle notwendigen Informationen liefern, um ihr Unternehmen zu schützen, aber eine könnte die Methodik des Angreifers offenlegen, während andere über deren gewünschte Ziele oder spezielle Werkzeuge sprechen könnten. Um eine vertrauenswürdige Datenbank mit bedrohungsbezogenen Informationen aufzubauen, muss das Tool Daten aus einer Vielzahl von Quellen sammeln, einschließlich öffentlicher, geschlossener und drittanbieter Datenbanken. Wenn ein feindlicher Akteur einen Angriff startet, hinterlässt er oft einen Fingerabdruck oder andere Hinweise auf Cyber-Bedrohungen, die von Ermittlern gefunden werden können. Um sowohl reaktive als auch präventive Sicherheit bieten zu können, muss eine Cyber-Bedrohungsintelligenz-Plattform Informationen über Cyber-Bedrohungsindikatoren aus der ganzen Welt sammeln.
  • Zentrale Verwaltungs-Konsole: Bedrohungsintelligenz-Software sollte eine zentrale Verwaltungsplattform zur Identifizierung und Minderung von Risiken bieten. Mit einer zentralisierten Verwaltungsoberfläche können Sicherheitsexperten Anomalien mit bekannten Risiken abgleichen und die Reparatur beschleunigen.
  • Integrationen: Bedrohungsintelligenz-Software muss sich mit anderen Sicherheitslösungen verbinden, wie z.B. Sicherheitsinformations- und Ereignismanagement (SIEM), Firewalls und Endpunktschutz. Wenn Sie das Cyber-Bedrohungsintelligenz-Tool in den Rest Ihres Cybersicherheits-Ökosystems integrieren möchten, muss es einfach erweiterbar sein. Einige Systeme legen den Schwerpunkt auf Anwendungsprogrammierschnittstellen (API), die es Ihnen ermöglichen, einen leistungsstarken Bedrohungsintelligenz-Feed in eine von Ihnen selbst entwickelte Sicherheitssoftware zu integrieren. Es ist möglich, dass andere einen integrierenden Marktplatz haben, der bereits eingerichtet und betriebsbereit ist. Darüber hinaus muss es in der Lage sein, mit verschiedenen Umgebungen, Protokollierungs- und Compliance-Tools sowie Hardware-Variationen zu koexistieren, um Intelligenz und Schutz zu bieten, die dynamisch kompatibel sind.
  • Flexibilität: Das Instrument, das Sie auswählen, muss flexibel genug sein, um eine Vielzahl von Anwendungen zu unterstützen. Um Ihnen eine zentrale Sichtbarkeit zu bieten, sollte es beispielsweise mit Filialen und verstreuten Standorten kommunizieren. Alternativ könnten Sie es mit der internen Sicherheitsinformations- und Ereignismanagement-Plattform (SIEM) kombinieren, um IT-Ereignisse auf Unregelmäßigkeiten zu überprüfen. Ihr Produkt zur Cyber-Bedrohungsaufklärung wäre in einer idealen Welt mit allen wichtigen Arten von Informationstechnologie-Architekturen und -Einstellungen interoperabel.
  • Extern fokussiert: Eine der bemerkenswertesten Unterscheidungen, die zwischen Cyber-Bedrohungsintelligenzprodukten und anderen Formen von Schwachstellenmanagement-Software getroffen werden kann, ist, dass erstere hauptsächlich mit Bedrohungen befasst sind, die von außen kommen. Es kann mit internen Systemen zur Unterstützung der Bedrohungserkennung und -reaktion interagieren, aber sein Hauptziel ist es, externe Datenströme, Repositories und Quellen zu scannen, um neue Bedrohungstypen zu erfassen. Diese Integration mit internen Systemen ist optional. Ihre fortwährende Sicherheit vor unbekannten Bedrohungen und Zero-Day-Exploits wird durch diese Maßnahme gewährleistet.
  • Umfassendheit: Ihre Plattform für Cyber-Bedrohungsinformationen muss umfassende Sicherheit für alle Ihre Netzwerkports, Geräte, On-Premise- und Cloud-Dienste bieten. Um dieses Ziel zu erreichen, muss es eine umfassende Suche in einer großen Anzahl externer Feeds durchführen, die Informationen über Bedrohungen aus der ganzen Welt, einschließlich des Dark Webs, enthalten. In den meisten Fällen werden Open-Source-Cyber-Bedrohungsinformationen öffentlich zugängliche Informationen bereitstellen, während kommerzielle Lösungen bei der breiteren Identifizierung und tiefergehenden Untersuchung von Cyber-Bedrohungen helfen werden.

Beste Cyber-Bedrohungsintelligenz-Tools

Laut Statista wurde der Wert des weltweiten Marktes für Cyber-Bedrohungsinformationen im Jahr 2020 auf 392,2 Millionen US-Dollar geschätzt und soll bis zum Jahr 2023 auf 981,8 Millionen US-Dollar anwachsen. Es gibt einige Organisationen, die sich als führend in dieser Branche hervortun, und jede von ihnen ist in der Lage, Ihnen effektive Lösungen zur Bekämpfung komplexer Bedrohungsiterationen anzubieten.

Die folgenden Plattformen werden Unternehmen empfohlen, die beabsichtigen, ihrer bestehenden Cybersicherheitslösungen Bedrohungsintelligenzsoftware hinzuzufügen. Diese Plattformen wurden aufgrund ihrer Kompetenz in der Cybersicherheit, Nutzerbewertungen und Funktionsauswahl ausgewählt.

  • Recorded Future
  • GreyNoise
  • Anomali ThreatStream
  • CrowdStrike Falcon X
  • AT&T Cybersicherheit
  • FireEye Helix
  • ThreatConnect
  • Cisco Umbrella Bedrohungsintelligenz
  • IBM X-Force Exchange
  • Maltego

Beste Cyber-Bedrohungsintelligenz-Tools

Abbildung 1. Beste Cyber-Bedrohungsintelligenz-Tools

Recorded Future

Das Cybersicherheitsunternehmen Recorded Future hat seinen Sitz in den Vereinigten Staaten und bietet prädiktive Daten über Online-Gefahren an. Dies enthält auch Informationen über die Marke sowie Informationen zu SecOps, Betrug, Verwundbarkeit und geopolitischen Gefahren. Folgendes ist eine Liste der wichtigen Funktionen, die in Recorded Future enthalten sind:

  • Es basiert auf dem Intelligence Graph, einer Referenzdatensammlung, die seit mehr als zehn Jahren gepflegt und regelmäßig aktualisiert wird.
  • Es ist anpassungsfähig, da es Bedrohungsindikatoren für eine Vielzahl von Bedrohungen bewertet, denen Ihr Unternehmen ausgesetzt sein könnte, und es ermöglicht Ihnen, den Umfang Ihrer Suche durch die Verwendung komplexer Filter zu reduzieren.
  • Es berücksichtigt eine Vielzahl von Gefahrensignalen aus der Außenwelt, um jede Form von Risiko zu identifizieren, der Sie in der Zukunft begegnen könnten.
  • Es bietet ein vollständiges und durchgängiges Bild des gesamten Bedrohungslebenszyklus, beginnend beim Angreifer und sich bis zur Zielerreichung erstreckend.
  • Es interagiert mit Ihrem Security Information and Event Management (SIEM)-System sowie mit Security Orchestration, Automation and Response (SOAR) und verfügt über einen sich entwickelnden Marktplatz für Integrationen.

Das Alleinstellungsmerkmal von Recorded Future ist, dass es die Erkenntnisse auf individuelle Arbeitsfunktionen und Risikobereiche zuschneidet, sei es für die Bewertung von Drittanbietern oder für die Aufrechterhaltung der Markenintegrität. Dies führt zu einer erheblichen Reduzierung von Rauschen, während den entsprechenden Stakeholdern die relevantesten Bedrohungsinformationen bereitgestellt werden. Die Preise beginnen bei 10.000 USD für Amazon Web Services (AWS), können jedoch je nach Bereitstellungsumgebung stark variieren.

GreyNoise

GreyNoise ist ein Startup-Unternehmen mit Sitz in den Vereinigten Staaten, das sich auf Cybersicherheit spezialisiert hat und dazu beiträgt, die Anzahl der Fehlalarme zu verringern, die bei der Analyse von Bedrohungsinformationen auftreten. Es sammelt Informationen, die als Rauschen betrachtet werden könnten und möglicherweise von einem Sicherheitsanalysten übersehen werden. Folgendes ist eine Liste der wichtigen Merkmale, die in diesem Cyber-Bedrohungsintelligenz-Tool enthalten sind:

  • Es sammelt Informationen zu IP-Labels, um Situationen zu identifizieren, in denen Sicherheitstools von Lärm überwältigt werden.
  • GreyNoise-Insights werden über APIs und Visualisierer bereitgestellt, die für die Verwendung in verschiedenen Kontexten angepasst werden können. Dies macht die GreyNoise-Insights flexibel.
  • Das Programm untersucht ausschließlich Daten, die auf dem Internet und öffentlich zugänglichen Servern basieren, um Fälle zu finden, in denen die Geschäftssicherheit gefährdet ist.
  • GreyNoise kann neue Gefahren identifizieren, kontextualisierte Informationen bereitstellen und umsetzbare Warnungen lokalisieren, indem es Hunderttausende von IPs überwacht.
  • Es ist möglich, es mit fast jedem anderen Informations-technologiesystem durch die Verwendung von APIs und Integrationen zu verbinden.

Die einzigartige RIOT- oder Rule It Out-Funktion von GreyNoise, die Warnungen kontextualisiert, indem sie Benutzerverhalten, Geschäftsanwendungen und Serverdaten korreliert, ist das herausragendste Merkmal des Unternehmens. Die Preise beginnen bei 25.000 Dollar pro Jahr, und es gibt auch eine kostenlose Version namens Community-Edition. Unabhängige Nutzer könnten feststellen, dass diese frei verfügbare Datenbank vorteilhaft ist.

Anomali ThreatStream

Anomali ThreatStream ist in der Lage, Millionen von Bedrohungsindikatoren zu aggregieren, was es ermöglicht, neue Angriffe zu erkennen, aktuelle Sicherheitsverletzungen zu finden und den Sicherheitsteams die Fähigkeit zu geben, Bedrohungen schnell zu verstehen und zu beseitigen. Durch den Anomali App Store, zusätzlich zu den 140 Open-Source-Feeds, die mit dem Produkt gebündelt sind, erleichtert Anomali die Erweiterung des Umfangs der Informationen, die vom TIP gesammelt werden. Benutzer können in diesem Abschnitt Bewertungen durchführen und neue Intelligence-Feeds erwerben. Die Kontextualisierung von Bedrohungen, die durch diese zusätzlichen Informationen bereitgestellt wird, trägt dazu bei, die Anzahl der Fehlalarme erheblich zu reduzieren.

Die äußerst präzise maschinelle Lerntechnik, die Anomali verwendet, um Indikatoren für Kompromittierungen (IoCs) zu bewerten und den Sicherheitsteams zu helfen, ihre Milderungsbemühungen zu priorisieren, ist eines der Hauptunterscheidungsmerkmale des Unternehmens. Um die Bedrohungserkennung und Reaktionsprozesse zu verbessern, ermöglicht ThreatStream die Integration mit einer Vielzahl von weit verbreiteten Sicherheitsinformations- und Ereignismanagement-Systemen (SIEM) und Orchestrierungsplattformen.

Die Hauptmerkmale von Anomali ThreatStream sind unten aufgeführt:

  • Integration mit von anderen Parteien bereitgestellten Intelligence-Tools
  • Extraktion von Informationen aus E-Mails, die als Phishing verdächtigt werden
  • Daten-Duplikation entfernen
  • Eliminierung von falsch-positiven Ergebnissen
  • Bereitstellung verschiedener kostenloser Werkzeuge zur Sammlung und Analyse von Bedrohungsinformationen.

CrowdStrike Falcon X: Bedrohungsintelligenz

Der Falcon X, der Falcon X Premium und der Falcon X Elite sind die drei verschiedenen Stufen, die mit dieser Bedrohungsintelligenz-Plattform erhältlich sind. Alle von ihnen verfügen über automatische Malware-Untersuchungstools, die die benötigte Zeit zur Feststellung der Schwere einer Bedrohung und zur Erkennung potenzieller Gefahren verkürzen. Personen, die derzeit die von der Firma angebotenen Falcon-Produkte verwenden, müssen keine zusätzliche Software installieren oder bereitstellen, da die Plattform eine benutzerfreundliche Endpunktintegration bietet, die keine neue Hardware erfordert.

Menschen könnten auch von Geheimdienstberichten profitieren, die tägliche Updates und strategische Einblicke in aktuelle Ereignisse bieten. Maßgeschneiderte Analysen ermöglichen es, ein Unternehmen nicht nur in Bezug auf soziale Medien, sondern auch auf Distributed Denial of Service (DDoS)-Angriffe zu überwachen. In der höchsten Stufe dieses Dienstes führt ein Cybersicherheitsspezialist Recherchen zu bestimmten Gefahren durch und liefert dann einen maßgeschneiderten Bericht über die Entdeckungen.

Die Hauptmerkmale von CrowdStrike Falcon X sind wie folgt:

  • IOC-Feed, der in Echtzeit Anzeichen einer Kompromittierung anzeigt
  • Die verfügbaren APIs und Integrationen sind mit den vielen Sicherheitstechnologien kompatibel.
  • Über hundert verschiedene Profile von anerkannten gefährlichen Akteuren

AT&T Cybersicherheit

Das Unified Security Management (USM) von AT&T Cybersecurity, das zuvor als AlienVault bekannt war, bezieht Bedrohungsinformationen von AlienVault Labs und seinem riesigen Open Threat Exchange (OTX), dem weltweit größten crowdsourced-kollaborativen Bedrohungsaustausch. Es bietet eine zentralisierte Bedrohungserkennung, Incident-Response und Compliance-Management für Umgebungen, die in der Cloud gehostet werden, sowie für solche, die vor Ort betrieben werden. USM wird dank der Bedrohungsinformationen, die von AT&T Alien Labs bereitgestellt werden, alle halbe Stunde automatisch aktualisiert. Dies ermöglicht es dem USM, den sich ständig weiterentwickelnden und neu entdeckten Bedrohungen einen Schritt voraus zu sein. Dies ermöglicht es den Sicherheitsteams, ihre Aufmerksamkeit auf die Reaktion auf Alarme zu richten, anstatt die Quelle der Warnungen selbst zu untersuchen.

Die Hauptmerkmale des Unified Security Management (USM) sind wie folgt:

  • Compliance-Management
  • Vorfallreaktion
  • Vermögensentdeckung
  • Bedrohungserkennung
  • Zugang zu OTX

FireEye Helix

FireEye Helix ist eine Sicherheitsplattform, die in der Cloud gehostet wird und Ihnen die Möglichkeit bietet, Probleme zu beheben und Benachrichtigungen über jegliche Gefahren zu erhalten. Die Lösung nutzt SIEM-Analysen und wird von den menschlichen Analysten und Spezialisten von FireEye unterstützt.

FireEye Helix ist in der Lage, Sie vor den neuesten Angriffen zu schützen, indem es eine Reihe verschiedener Technologien und Fähigkeiten im Zusammenhang mit Bedrohungsinformationen integriert. Ein von Mandiant bereitgestellter Bedrohungsdaten-Feed kann in das FireEye-Sicherheitssystem integriert werden. Die beiden Unternehmen haben kürzlich ihre Verbindungen gekappt, und der Feed war ein Dienst, der von FireEye bereitgestellt wurde, als das Helix-System entwickelt wurde. Darüber hinaus können Sie von diesen Informationen profitieren, indem Sie die Daten zu Warnungen und Ereignissen kombinieren.

Das Programm verwendet ML und KI zur Verhaltensanalyse und generiert Warnungen, wenn es Abweichungen von der Norm gibt. FireEye Helix hat die Fähigkeit, eine Vielzahl von Multi-Vektor-Angriffen dank seiner Bedrohungsintelligenz und fortschrittlichen Analysefähigkeiten zu identifizieren.

FireEye Helix kann potenzielle Sicherheitsvorfälle identifizieren, indem es Daten aus vielen verschiedenen integrierten Technologien vergleicht und standardisiert, einschließlich der folgenden:

  • Sicherheitsorchestrierung und -automatisierung (SOAR)
  • User- und Entitätsverhaltensanalytik (UEBA)
  • Next-Gen SIEM
  • Compliance-Berichterstattung
  • Sicherheitsanalytik
  • Bedrohungsintelligenz

ThreatConnect

ThreatConnect ist eine Plattform, die Bedrohungsinformationen, Sicherheitsorchestrierung und -reaktion sowie die Quantifizierung von Cyberrisiken in einer einzigen Lösung integriert. Anstatt einen Einheitsansatz für die Sicherheit zu verfolgen, passt das System seine Verfahren an die spezifischen Bedürfnisse des Unternehmens an. Um die Cybersicherheit zu verbessern, vereinfacht es die Arbeitsabläufe und beseitigt Barrieren zwischen verschiedenen Teams, während die Effektivität des Sicherheitsteams anhand der reduzierten Risikomenge gemessen wird. Das System bietet eine umfassende Perspektive auf die Risiken, was schnellere Bewertungen und effizientere Verfahren ermöglicht. Darüber hinaus integriert es strategische und operative Ziele, was den Sicherheitsteams hilft, die kritischsten Schwachstellen zu priorisieren.

Die Hauptmerkmale von ThreatConnect sind wie folgt:

  • Dynamische, intelligenzgesteuerte Handlungsanleitungen
  • Bedrohungsbewertung
  • Native- und API-Integrationen
  • Umsetzbare Bedrohungserkenntnisse
  • Teilbare Bedrohungsintelligenzberichte
  • Automatisierte Anpassungen des Playbooks

Cisco Umbrella Bedrohungsintelligenz

Cisco Systems, Inc. ist einer der größten Hersteller von Netzwerk- und Sicherheitslösungen weltweit. Cisco Umbrella ist ein System, das in der Cloud gehostet wird und Bedrohungsinformationen nutzt, um Ihre Endpunkte, Büros und Remote-Nutzer vor potenziellen Gefahren zu schützen.

Folgendes ist eine Liste der wichtigen Funktionen, die in diesem Cyber-Bedrohungsintelligenz-Tool enthalten sind:

  • Es sammelt sicherheitsrelevante Daten über Produkte hinweg aus der Infrastruktur von Cisco sowie aus von Dritten bereitgestellten Quellen.
  • Es bietet Sichtbarkeit und Schutz vor Phishing-, Malware- und Ransomware-Bedrohungen von Anfang bis Ende.
  • Es ist anpassungsfähig, da es in einer Vielzahl von verschiedenen Plänen und Paketen erworben werden kann, die sich auf den Cloud-Zugriff, die Online-Sicherheit und die Vermeidung von Datenverlust konzentrieren.
  • Sie könnten von einer Vielzahl von Anwendungsprogrammierschnittstellen (APIs) und nativen Verbindern profitieren.
  • Es verlässt sich nicht nur auf interne Überwachung, sondern auch auf externe Daten, um Gefahren zu identifizieren und zu beseitigen.

Das Alleinstellungsmerkmal von Cisco Umbrella ist, dass es auf dem SecureX-Produktangebot des Unternehmens basiert. SecureX ist eine zentrale Plattform für Bedrohungsinformationen, -erkennung, -analyse und -reaktion. Dies ermöglicht eine höhere Skalierbarkeit durch die Verwendung einer einheitlichen cloud-nativen Konsole. Cisco Umbrella ist besonders für den Einsatz durch große, dezentralisierte Unternehmen gedacht, die in bestimmten Bereichen ihrer Sicherheitslage möglicherweise Schwachstellen aufweisen.

IBM X-Force Exchange

IBM X-Force Exchange ist eine cloudbasierte Lösung, die Sicherheitsforschungsressourcen bereitstellt, um IT-Teams dabei zu unterstützen, neue Bedrohungen und Sicherheitsrisiken zu verstehen, Bedrohungen zu analysieren und nahezu in Echtzeit Entscheidungen zu treffen. IBM X-Force Exchange liefert nicht nur Bedrohungsinformationen von Branchenexperten, sondern ermöglicht es den Nutzern auch, sich mit Kollegen auszutauschen, um die besten Informationen aus verschiedenen Quellen zu erhalten. Durch die Kombination von menschlichen und maschinell generierten Informationen erhalten Cybersicherheitsteams die effektivste Intelligenz, um Angriffe zu vereiteln. Mehrere Pakete sind verfügbar, die es den Organisationen ermöglichen, den benötigten Schutz zu erhalten.

Die wichtigsten Funktionen von IBM X-Force Exchange sind unten aufgeführt:

  • ISO-Konformität
  • Frühwarnmeldungen
  • Indikatoren für Kompromittierung
  • Native- und API-Integrationen
  • Unbegrenzte Anzahl von Datensätzen
  • Robuste Suchfunktion

Vorteile von IBM X-Force Exchange sind unten aufgeführt:

  • Benutzerfreundliche Oberfläche
  • Kostenloser Plan für die grundlegendsten Anwendungen
  • Zugang zu einem erheblichen Datenvolumen über Bedrohungen für die Organisation

Allerdings könnte die Intelligenz recht allgemein sein und die notwendige Spezifität fehlen, um umsetzbar zu sein. Außerdem haben einige Kunden Unzufriedenheit geäußert, dass die verfügbaren KI-Funktionen nicht robust sind.

Maltego

Maltego ist eine grafische Link-Analyse- und Open-Source-Intelligence-(OSINT)-Anwendung zur Beschaffung und Verknüpfung von Informationen für Ermittlungsaktivitäten. Mit Maltego können Sie mühelos Daten aus verschiedenen Quellen abrufen, relevante Informationen automatisch in einem einzigen Diagramm kombinieren und grafisch darstellen, um Ihre Datenumgebung zu erkunden. Zu den Nutzern von Maltego gehören unter anderem Sicherheitsspezialisten, forensische Ermittler, investigative Journalisten und Forscher.

Die Datenintegrationen von Maltego mit The Wayback Machine, VirusTotal, Shodan, WHOIS, TinEye, ATT&CK, MISP, Orbis, Pipl und anderen ermöglichen es den Nutzern, viele Datenformen abzufragen.

Letztes Update am von Zenarmor