Threat Intelligence wird häufig in drei Kategorien unterteilt: Strategie, Taktik und Operation.
Strategisch
Sie befasst sich mit Fragen der Cybersicherheit, die sich auf umfassendere Geschäftsentscheidungen auswirken können, sowie mit allgemeinen Trends und möglichen Beweggründen. Strategische Threat Intelligence basiert häufig auf öffentlich zugänglichen Quellen wie Medienberichten, Whitepapers und Forschungsergebnissen.
Taktisch
Taktische Aufklärung über Bedrohungen:
Hierbei werden einfache Bedrohungsindikatoren (IoCs) identifiziert, nach denen IT-Teams suchen können, um bestimmte Bedrohungen innerhalb eines Netzwerks abzuwehren. IoCs umfassen Elemente wie bösartige IP-Adressen, bekannte bösartige Domänennamen, ungewöhnlicher Datenverkehr, verdächtige Anmeldeversuche oder erhöhte Datei-/Downloadanfragen. Die taktische Bedrohungsaufklärung erfolgt in der Regel vollautomatisch.
Operativ
Operative Threat Intelligence:
Die Fragen "Wer", "Warum" und "Wie" stehen hinter jedem Cyber-Angriff. Operative Threat Intelligence versucht, diese Fragen zu beantworten, indem Cyber-Angriffe im Nachhinein untersucht werden, um Rückschlüsse auf die Absicht, den Zeitpunkt und die Ausgereiftheit des Angriffs zu ziehen. Sie erfordert mehr Ressourcen als die taktische Threat Intelligence und hat einen längeren Lebenszyklus, da Cyber-Angreifer ihre Taktiken, Techniken und Verfahren (TTPs) nicht so leicht ändern können wie ihre Werkzeuge, z. B. eine bestimmte Art von Malware.
Bei der Entwicklung Ihrer Präventionsstrategie unterstützen wir Sie gerne.