Threat Intelligence Glossar
Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Threat Intelligence (TI) ist die systematische Sammlung, Analyse und Nutzung von Informationen über Cyberbedrohungen: Indicators of Compromise (IOCs), Tactics, Techniques and Procedures (TTPs), Bedrohungsakteure und ihre Motive. Unterschieden wird zwischen Strategic (C-Level), Operational (SOC-Triage) und Tactical Intelligence (technische IOCs). Wichtige Quellen: MISP, OpenCTI, VirusTotal, CISA, BSI, kommerzielle Feeds (Recorded Future, Mandiant, CrowdStrike Falcon Intel).
Threat Intelligence ist der Unterschied zwischen reaktiver und proaktiver Sicherheit. Wer seine Angreifer kennt - ihre Methoden, Werkzeuge, Motivationen - kann sich gezielt schützen, statt auf jeden Alarm gleich zu reagieren.
Intelligence-Typen
Strategic Intelligence (C-Level / CISO)
- Wer greift Unternehmen meiner Branche an?
- Welche geopolitischen Entwicklungen erhöhen das Risiko?
- Wie entwickelt sich die Bedrohungslandschaft in 12-24 Monaten?
- Quellen: BSI Lagebericht, Verizon DBIR, CrowdStrike Global Threat Report
- Output: Sicherheitsstrategie, Investitionsentscheidungen
Operational Intelligence (SOC / IR-Team)
- Welche Kampagnen sind aktiv gegen meine Branche?
- Welche TTPs nutzen APT-Gruppen gerade?
- Gibt es aktive Angriffswellen auf bestimmte CVEs?
- Quellen: ISACs (Informationsaustausch-Zentren), kommerzielle TI-Feeds
- Output: Detection-Rules, Playbook-Anpassungen, proaktive Jagd
Tactical Intelligence (Analysten / Incident Response)
- Konkrete IOCs: IP-Adressen, Domains, File-Hashes, URLs
- YARA-Rules für Malware-Familien
- Welche C2-Server sind aktiv?
- Quellen: MISP, VirusTotal, AlienVault OTX, AbuseIPDB
- Output: SIEM-Rules, Firewall-Blocklists, EDR-Signaturen
IOC-Typen und ihre Nützlichkeit
Pyramid of Pain (David Bianco)
| Ebene | IOC-Typ | Änderungsaufwand für Angreifer | Nützlichkeit |
|---|---|---|---|
| 1 | Hash-Werte (MD5/SHA1/SHA256) | 1 Bit umbenennen → neuer Hash | Gering (trivial zu umgehen) |
| 2 | IP-Adressen (C2-Server) | Neuer Server (5 Minuten) | Mittel (schnell veraltete IOCs) |
| 3 | Domain-Namen | Neue Domain registrieren (Stunden) | Mittel-gut |
| 4 | Netzwerk/Host-Artefakte (User-Agent, Registry-Keys) | Quellcode-Anpassung erforderlich | Gut |
| 5 | Tools (Mimikatz, Cobalt Strike, Impacket) | Neues Tool entwickeln (Wochen/Monate) | Sehr gut |
| 6 | TTPs (Tactics, Techniques, Procedures) | Teams umschulen = sehr teuer | Maximal! |
Fokus auf TTP-basierte Detektion (ATT&CK) > IOC-Jagd - IOCs schnell integrieren, aber nicht als einzige Strategie.
TI-Plattformen und Tools
Open-Source TI-Plattformen
MISP (Malware Information Sharing Platform):
- Entwickelt von CIRCL (Luxembourg), NATO-genutzt
- Sharing: bidirektionaler IOC-Austausch zwischen Organisationen
- Feeds: 100+ öffentliche Feeds (CIRCL, ENISA, nationale CERTs)
- Taxonomien: TLP (Traffic Light Protocol), MITRE ATT&CK
- Automatisierung: MISP API → SIEM-Integration
# MISP Docker Setup:
git clone https://github.com/MISP/misp-docker
docker compose up
# Default: https://localhost, admin@admin.test / adminOpenCTI (Open Cyber Threat Intelligence Platform):
- Filigran (französisch), moderner als MISP
- Graphbasiert: Beziehungen zwischen Entitäten
- Integriert: MITRE ATT&CK, CVE, STIX 2.1
- Konnektoren: 50+ (VirusTotal, Shodan, MISP, AbuseIPDB)
- Stärke: Visualisierung von Angreifergruppen + TTPs
Wichtige Entitäten: Threat Actor → Campaign → Intrusion Set → Malware → TTP (ATT&CK Technique) → Indicator (IOC)
AlienVault OTX (Open Threat Exchange):
- Community-basiert, kostenlos
- “Pulses”: gebündelte IOC-Sammlungen zu Vorfällen
- API: einfache Integration in SIEM/Firewall
Freie Feeds
| Feed | Inhalt |
|---|---|
| AbuseIPDB | IP-Reputation (Brute-Force, Spam, etc.) |
| URLhaus | Malware-URLs (abuse.ch) |
| Malware Bazaar | Malware-Samples + Hashes (abuse.ch) |
| PhishTank | Phishing-URLs (Community) |
| Feodo Tracker | Botnet C2 IP-Adressen (abuse.ch) |
| CISA KEV | Known Exploited Vulnerabilities (PFLICHT!) |
Kommerzielle Feeds
| Anbieter | Besonderheit |
|---|---|
| Recorded Future | Marktführer, KI-basiert, teuer |
| Mandiant (Google) | APT-Expertise, IR-Insights |
| CrowdStrike Intel | Falcon-Integration, Akteure-Profile |
| Microsoft MSTIC | Defender + Sentinel Integration |
| VirusTotal Intel | API für Hashes, URLs, Domains |
TI-Integration in den SOC-Betrieb
Threat Intelligence Lifecycle
1. Planung (Requirements):
- Was muss ich wissen? (Branchenspezifisch!)
- Finanzbranche: Emotet, QBot, BEC-Akteure
- KRITIS: APT-Gruppen mit geopolitischem Motiv
- KMU: opportunistische Ransomware, Phishing
2. Sammlung:
- Feeds abonnieren (MISP, OTX, CISA KEV)
- ISAC-Mitgliedschaft (branchenspezifisch)
- Dark Web Monitoring (optional, für höhere Stufen)
3. Verarbeitung + Normalisierung:
- STIX 2.1 / TAXII 2.1 (Standard-Formate)
- Deduplizierung, Konfidenz-Score
- TLP-Klassifizierung (Clear/Green/Amber/Red)
4. Analyse:
- Relevanz: Betrifft das meine Umgebung?
- Aktualität: Ist der IOC noch gültig?
- Attribution: Welche Akteure nutzen das?
5. Verteilung:
- SIEM: IOCs als Lookup-Listen
- Firewall/EDR: Automatisches Blocking
- SOC-Analysten: Kontext für Alert-Triage
- CISO: Strategic Reporting
6. Feedback:
- War die Intelligence nützlich?
- False Positives durch IOCs?
- Welche Feeds liefern Qualität?
TLP (Traffic Light Protocol)
| Klassifikation | Bedeutung |
|---|---|
| TLP:RED | Nur für genannte Empfänger (vertraulich!) |
| TLP:AMBER | Nur intern (begrenzte Verteilung) |
| TLP:GREEN | Community (keine öffentliche Veröffentlichung) |
| TLP:CLEAR | Öffentlich (keine Beschränkung) |
Threat-Akteure und Attribution
Russland
APT28 (Fancy Bear / Sofacy):
- Ziele: Regierung, Militär, Rüstung, Energie
- Tools: X-Agent, Zebrocy, LoJax-UEFI
- Bekannte Angriffe: Bundestag 2015, DNC 2016
APT29 (Cozy Bear):
- Ziele: Regierung, Think Tanks, Pharma
- Tools: WellMess, CozyBear-Backdoor
- SolarWinds SUNBURST (2020!)
Sandworm:
- Ziele: Kritische Infrastruktur
- Tools: NotPetya, BlackEnergy, Industroyer/Crashoverride
- Ukraine Stromausfälle 2015/2016
China
APT10 (Stone Panda):
- Ziele: Managed Service Provider, Produktionsunternehmen
- Operation Cloud Hopper: MSP-Angriffe weltweit
APT41:
- Dual-Use: staatliche Spionage + Cyberkriminalität
- Ziele: Pharma, Spieleindustrie, Telekommunikation
DPRK (Nordkorea)
Lazarus Group:
- Ziele: Finanzinstitute, Kryptowährung
- Bangladesh Bank Robbery: $81 Mio gestohlen
- WannaCry 2017 (zugeschrieben)
Cyberkriminalität (finanziell motiviert)
| Gruppe | Besonderheit |
|---|---|
| LockBit | Ransomware-as-a-Service, größte Ransomware-Gruppe 2022-2024 |
| BlackCat | Rust-basiert, triple extortion |
| Clop | MOVEit-Massenkampagne 2023 |
| FIN7 | Finanz-Sektor, POS-Malware |
Attribution-Vorsicht
- False-Flag-Operationen existieren
- “Confidence Level” immer angeben (Low/Medium/High)
- Öffentliche Attribution: politisch sensibel
- Für Unternehmen: TTP-basierter Schutz > Akteurs-Attribution
