Beratung

Threat Intelligence

von ConSecur GmbH

Logo von ConSecur

KATEGORIEN

  • Managed Security Services

KATEGORIEN

  • Managed Security Services
Mehr anzeigen

Produktbeschreibung

Mit  Threat Intelligence Bedrohungen rechtzeitig entdecken

Angreifer werden immer ausgeklügelter und finden neue Wege IT-Sicherheitsmaßnahmen zu umgehen. Nur wer zeitnah über Bedrohungen

informiert ist, kann frühzeitig ein effizientes IT-Sicherheitskonzept entwickeln, zielgerichtete Gegenmaßnahmen einleiten und somit Cyberangriffe verhindern. Hier setzt die ConSecur Threat Intelligence Lösung an!

 

 

Was ist Threat Intelligence?

 

Threat Intelligence (TI) dient dazu, Unternehmen effektiv vor den aktuellen Bedrohungen im Bereich der Computerkriminalität zu schützen.

Augenmerk liegt hierbei vor allem auf der Früherkennung von spezifischen Bedrohungen, welche entweder zu neu sind um in den gängigen Sicherheitstools bereits erkannt zu werden (zum Beispiel Zero-Day Angriffe), oder aber spezifisch gegen ein bestimmtes Unternehmen oder eine Branche gerichtet sind (zum Beispiel staatlich finanzierte APT's oder Akteure der Industriespionage).Hierfür werden meist viele unterschiedliche Datenquellen gebündelt, welche Informationen über tagesaktuelle Angriffe bieten. 

 

Der ConSecur Threat Intelligence Ansatz

 

ConSecur-intern haben wir eine IOC-Datenbank eingerichtet, in die durch unterschiedliche selbst entwickelte Skripte jeden Tag die neusten IOC aus einer Vielzahl unterschiedlicher Feeds geladen werden. Als zentrale Datensammelstelle nutzen wir hierfür das Tool MISP.

MISP ist eine Open-Source Lösung zum Sammeln, Teilen und Anreichern von IOC. Entwickelt wurde diese in enger Zusammenarbeit mit der NATO und unterschiedlichen CERT's. Besonders zu erwähnen ist hierbei das CIRC Luxembourg (Computer Incident Response Center), das viele der in MISP standardmäßig integrierten IOC – Feeds bereitstellt. MISP ist mittlerweile eine der Standard-Plattformen für Threat Intelligence und als solche nutzen wir diese in unserem Unternehmen. Sie bietet weitreichende Erweiterungsmöglichkeiten und ist unter anderem aufgrund einer einfach zu nutzenden Python API gut modifizierbar und an unsere Bedürfnisse anpassbar.

 

Die Informationen aus dieser Datenbank werden zunächst unseren Analysten zugänglich gemacht. Hierdurch können wir unsere Analysen generell verbessern, indem wir einen größeren Informationspool haben und die Analysten effektiver nach Informationen zu einem Analyse Ticket suchen können. Außerdem können die Analysten dieses Wissen nutzen, um dem Kunden spezifischer auf die Risken einer erkannten Bedrohung hinzuweisen.

 

Davon abgesehen werden die Daten unserer Threat Intel Lösung aus unserem MISP täglich direkt über die internen Programmierschnittstellen (API) an die Kunden QRadar Systeme weitergeleitet. Hierdurch wird die Bedrohungserkennung und somit der Schutz der Unternehmen aktiv verbessert.    

 

Außerdem werden wir gezielt  Threat Intel von unseren Analysten einfließen lassen, sprich wird in einem Unternehmen ein Threat entdeckt, werden wir gezielt nach weiteren Indikatoren des Angreifers, der Angriffsmethode suchen.  So können akute Bedrohungen effizienter und schneller erkannt werden.

 

 

Unser Leistungsangebot

  • Wir bieten gebündelte Threat Informationen zu den neusten Bedrohungen.
  • Aktualisierung dieser Infos erfolgt mindestens alle 24 Stunden, auf Wunsch sogar öfter.
  • Eine gesteigerte Sicherheit zu einem guten Preis
  • Aktive (evtl. sogar 24/7) Überwachung der Anbindung an unsere TI Datenbank (müsste man abklären)
  • Verwendung von Industriestandard Tools (MISP)
  • Aktive Anbindung an QRadar SIEM’s
  • Aktive gezielte Suche nach weiteren Indikatoren einer im Netzwerk erkannten Bedrohung

 

Seien Sie Internetkriminellen immer einen Schritt voraus mit den aktuellen Daten und Analysen zur Bedrohungslage und wie sich diese auswirken können. Sie möchten die Macht der Threat Intelligence nutzen und Angriffe vorhersehen?

Mehr anzeigen

Produktexperte