Bedrohungsakteure diversifizieren ihre Monetarisierungstechniken, -taktiken und -verfahren (TTP) mit neuen Angriffsmethoden, da der technologische Fortschritt die Einstiegshürde gesenkt hat und das Aufkommen von Ransomware als Service (RaaS) das Problem noch verschärft hat.

Damit ein Unternehmen mit dieser Raffinesse mithalten kann, muss Threat Intelligence zu einem wichtigen Bestandteil seiner Sicherheitsstrategie werden, da es verwertbare Informationen über aktuelle Bedrohungen liefert und Unternehmen vor bösartigen Angriffen schützen kann.

AutoFocus

AutoFocus von Palo Alto Networks ist eine Cloud-basierte Threat-Intelligence-Plattform, die es Ihnen ermöglicht, kritische Angriffe zu identifizieren, erste Bewertungen vorzunehmen und Schritte zur Behebung der Situation einzuleiten, ohne dass zusätzliche IT-Ressourcen benötigt werden. Der Service sammelt Bedrohungsdaten aus Ihrem Unternehmensnetzwerk, aus der Branche und aus globalen Informationsquellen.

AutoFocus liefert Informationen von Unit 42 – dem Bedrohungsforschungsteam von Palo Alto Network – über die neuesten Malware-Kampagnen. Der Bedrohungsbericht ist auf Ihrem Dashboard einsehbar und gibt Ihnen zusätzlichen Einblick in die Techniken, Taktiken und Verfahren (TTP) böser Akteure.

Wichtigste Merkmale

  • Der Forschungsfeed der Unit 42 bietet Einblick in die neueste Malware mit Informationen über deren Taktiken, Techniken und Verfahren
  • Verarbeitet täglich 46 Millionen DNS-Anfragen aus der realen Welt
  • Sammelt Informationen aus Drittquellen wie Cisco, Fortinet und CheckPoint
  • Das Tool stellt Bedrohungsdaten für SIEM-Tools (Security Information and Event Management), interne Systeme und andere Tools von Drittanbietern über eine offene und flexible RESTful-API bereit
  • Enthält vorgefertigte Tag-Gruppen für Ransomware, Banking-Trojaner und Hacking-Tools
  • Benutzer können auch benutzerdefinierte Tags auf der Grundlage ihrer Suchkriterien erstellen
  • Kompatibel mit verschiedenen Standard-Datenformaten wie STIX, JSON, TXT und CSV

Die Preise für das Tool werden auf der Website von Palo Alto Network nicht bekannt gegeben. Käufer sollten sich an das Vertriebsteam des Unternehmens wenden, um ein Angebot zu erhalten. Sie können auch eine Produktdemo anfordern, um mehr über die Funktionen der Lösung zu erfahren und darüber, wie Sie sie für Ihr Unternehmen nutzen können.

Criminal IP

Criminal IP ist eine CTI-Suchmaschine, die umfassende Bedrohungsinformationen zu allen Cyber-Assets liefert. Mithilfe von KI-Technologie für maschinelles Lernen überwacht sie offene Ports von IP-Adressen weltweit in einem 24/7-Scanprozess und erstellt Berichte mit einer 5-stufigen Risikobewertung.

Criminal IP ist nicht nur eine leistungsstarke Suchmaschine, sondern bietet auch verschiedene Anwendungen wie Attack Surface Management, Penetrationstests sowie Schwachstellen- und Malware-Analysen.

Wichtigste Merkmale

  • Analyse von Schwachstellen und Bereitstellung von CVE-Informationen
  • Sammlung und Analyse von IP-Adressdaten weltweit in Echtzeit
  • Integration in verschiedene bestehende Arbeitsabläufe und Produkte

ManageEngine Log360

ManageEngine Log360 ist ein Log-Management- und SIEM-Tool, das Unternehmen einen Einblick in ihre Netzwerksicherheit verschafft, Active Directory-Änderungen prüft, ihre Exchange-Server und die Einrichtung der Public Cloud überwacht und das Log-Management automatisiert.

Log360 kombiniert die Funktionen von fünf ManageEngine-Tools, darunter ADAudit Plus, Event Log Analyzer, M365 Manager Plus, Exchange Reporter Plus und Cloud Security Plus.

ManageEngine-Log360-dashboard-image

Die Log360-Module für Bedrohungsdaten umfassen eine Datenbank, die globale bösartige IPs enthält, und einen STIX/TAXII-Bedrohungsfeed-Prozessor, der regelmäßig Daten aus globalen Bedrohungsfeeds abruft und Sie auf dem Laufenden hält.

Wichtigste Merkmale

  • Integrierter Cloud Access Security Broker (CASB) zur Überwachung von Daten in der Cloud, zur Erkennung von Schatten-IT-Anwendungen und zur Verfolgung von sanktionierten und nicht sanktionierten Anwendungen
  • Erkennung von Bedrohungen über Unternehmensnetzwerke, Endpunkte, Firewalls, Webserver, Datenbanken, Switches, Router und andere Cloud-Quellen
  • Erkennung von Vorfällen und Überwachung der Dateiintegrität in Echtzeit
  • Verwendet das MITRE ATT&CK-Framework, um Bedrohungen in der Angriffskette zu priorisieren
  • Die Angriffserkennung umfasst regelbasierte Echtzeit-Korrelation, verhaltensbasierte ML-basierte User and Entity Behavior Analytics (UEBA) und signaturbasiertes MITRE ATT&CK
  • Enthält integrierte Data Loss Prevention (DLP) für eDiscovery, Bewertung von Datenrisiken, inhaltsbezogenen Schutz und Überwachung der Dateiintegrität
  • Sicherheitsanalysen in Echtzeit
  • Integriertes Compliance-Management

Log360 kann in einer Datei heruntergeladen werden und ist in zwei Editionen erhältlich: Free und Professional. Benutzer können die erweiterten Funktionen der Professional Edition 30 Tage lang testen. Danach werden diese Funktionen in die kostenlose Edition übernommen.

AlienVault USM

DieAlienVault USM-Plattform wurde von AT&T entwickelt. Die Lösung bietet Bedrohungserkennung, Bewertung, Reaktion auf Vorfälle und Compliance-Management in einer einheitlichen Plattform.

AlienVault USM erhält alle 30 Minuten Updates von AlienVault Labs über verschiedene Arten von Angriffen, neue Bedrohungen, verdächtiges Verhalten, Schwachstellen und Exploits, die sie in der gesamten Bedrohungslandschaft entdecken.

AlienVault USM bietet eine einheitliche Sicht auf die Sicherheitsarchitektur Ihres Unternehmens und ermöglicht Ihnen die Überwachung Ihrer Netzwerke und Geräte vor Ort oder an entfernten Standorten. Die Lösung umfasst außerdem SIEM-Funktionen, Cloud Intrusion Detection für AWS, Azure und GCP, Network Intrusion Detection (NIDS), Host Intrusion Detection (HIDS) und Endpoint Detection and Response (EDR).

Wichtigste Merkmale

  • Botnet-Erkennung in Echtzeit
  • Identifizierung von Command and Control (C&C) Verkehr
  • Erkennung fortgeschrittener anhaltender Bedrohungen (APT)
  • Entspricht verschiedenen Branchenstandards wie GDPR, PCI DSS, HIPAA, SOC 2 und ISO 27001
  • Netzwerk- und Host-IDS-Signaturen
  • Zentralisierte Ereignis- und Protokolldatenerfassung
  • Erkennung von Datenexfiltration
  • AlientVault überwacht Cloud- und On-Premise-Umgebungen aus einem einzigen Blickwinkel, einschließlich AWS, Microsoft Azure, Microsoft Hyper-V und VMWare

Die Preise für diese Lösung beginnen bei $1.075 pro Monat für den Essential Plan. Potenzielle Käufer können sich für eine 14-tägige kostenlose Testversion anmelden, um mehr über die Funktionen des Tools zu erfahren.

Qualys Threat Protection

Qualys Threat Protection ist ein Cloud-Service, der erweiterten Schutz vor Bedrohungen und Reaktionsmöglichkeiten bietet. Er enthält Echtzeit-Bedrohungsindikatoren für Schwachstellen, ordnet Erkenntnisse von Qualys und externen Quellen zu und gleicht externe Bedrohungsinformationen kontinuierlich mit Ihren Schwachstellen und Ihrem IT-Bestandsinventar ab.

Qualys-Threat-Protection-Dashboard

Mit Qualys Threat Protection können Sie manuell ein benutzerdefiniertes Dashboard aus Widgets und Suchanfragen erstellen und die Suchergebnisse sortieren, filtern und verfeinern.

Wichtigste Merkmale

  • Zentralisiertes Kontroll- und Visualisierungspanel
  • Bietet einen Live-Feed von Schwachstellenmeldungen
  • RTIs für Zero-Day-Angriffe, öffentliche Exploits, aktive Angriffe, hohe Seitwärtsbewegungen, hohe Datenverluste, Denial-of-Service, Malware, kein Patch, Exploit-Kit und einfache Exploits
  • Enthält eine Suchmaschine, mit der Sie durch Ad-hoc-Abfragen nach bestimmten Assets und Schwachstellen suchen können
  • Qualys Threat Protection gleicht kontinuierlich Informationen über externe Bedrohungen mit Ihren Schwachstellen und Ihrem IT-Inventar ab

Qualys bietet eine kostenlose 30-Tage-Testversion an, mit der Sie die Funktionen des Tools testen können, bevor Sie eine Kaufentscheidung treffen.

SOCRadar

SOCRadar beschreibt sich selbst als SaaS-basierte Extended Threat Intelligence (XTI)-Plattform, die externes Attack Surface Management (EASM), Digital Risk Protection Services (DRPS) und Cyber Threat Intelligence (CTI) kombiniert.

Die Plattform verbessert die Sicherheitslage Ihres Unternehmens, indem sie Einblick in seine Infrastruktur, sein Netzwerk und seine Datenbestände gewährt. Zu den Funktionen von SOCRadar gehören Echtzeit-Bedrohungsdaten, automatisierte Deep- und Dark-Web-Scans und eine integrierte Reaktion auf Vorfälle.

Wichtigste Merkmale

  • Lässt sich in bestehende Sicherheitssysteme wie SOAR, EDR, MDR und XDR sowie SIEM-Lösungen integrieren
  • Sie verfügt über mehr als 150 Feed-Quellen
  • Die Lösung liefert Informationen über verschiedene Sicherheitsrisiken wie Malware, Botnets, Ransomware, Phishing, schlechten Ruf, gehackte Websites, Distributed Denial of Service (DDOS), Honeypots und Angreifer
  • Branchen- und regionenbezogene Überwachung
  • MITRE ATT & CK-Zuordnung
  • Zugriff auf über 6.000 Combo-Listen (Zugangsdaten und Kreditkarten)
  • Deep- und Dark-Web-Überwachung
  • Erkennung kompromittierter Anmeldeinformationen

SOCRadar hat zwei Editionen: Cyber Threat Intelligence für SOC-Teams (CTI4SOC) und Extended Threat Intelligence (XTI). Beide Pläne sind in zwei Versionen erhältlich – kostenlos und kostenpflichtig – der CTI4SOC-Plan beginnt bei $9.999 pro Jahr.

Solarwinds Sicherheitsereignis-Manager

SolarWinds Security Event Manager ist eine SIEM-Plattform, die Ereignisprotokolldaten von über 100 vordefinierten Konnektoren, einschließlich Netzwerkgeräten und Anwendungen, sammelt, normalisiert und korreliert.

Mit SEM können Sie Sicherheitsrichtlinien effektiv verwalten, managen und überwachen und Ihr Netzwerk schützen. Es analysiert die gesammelten Protokolle in Echtzeit und nutzt die gesammelten Informationen, um Sie über ein Problem zu benachrichtigen, bevor es schwere Schäden in Ihrer Unternehmensinfrastruktur verursacht.

Wichtigste Merkmale

  • Überwacht Ihre Infrastruktur 24/7
  • SEM verfügt über 100 vorgefertigte Konnektoren, darunter Atlassian JIRA, Cisco, Microsoft, IBM, Juniper Sophos, Linux und mehr
  • Automatisiert das Management von Compliance-Risiken
  • SEM umfasst die Überwachung der Dateiintegrität
  • SEM sammelt Protokolle, korreliert Ereignisse und überwacht Bedrohungsdatenlisten – alles in einem einzigen Fenster
  • Die Plattform verfügt über mehr als 700 integrierte Korrelationsregeln
  • Benutzer können Berichte im PDF- oder CSV-Format exportieren

Solarwinds Security Event Manager kann 30 Tage lang kostenlos getestet werden. Es gibt zwei Lizenzierungsoptionen: ein Abonnement, das bei 2.877 Dollar beginnt, und eine unbefristete Lizenz, die bei 5.607 Dollar beginnt. Die Lizenzierung des Tools basiert auf der Anzahl der Knoten, die Protokoll- und Ereignisinformationen senden.

Tenable Security Center

Tenable Security Center basiert auf der Nessus-Technologie und ist eine Plattform zur Verwaltung von Schwachstellen, die einen Einblick in die Sicherheitslage und IT-Infrastruktur Ihres Unternehmens bietet. Es sammelt und bewertet Schwachstellendaten in Ihrer gesamten IT-Umgebung, analysiert Schwachstellentrends im Zeitverlauf und ermöglicht es Ihnen, Prioritäten zu setzen und Korrekturmaßnahmen zu ergreifen.

Die Tenable.sc Produktfamilie (Tenanble.sc und Tenable.sc ) ermöglicht es Ihnen, Schwachstellen zu identifizieren, zu untersuchen, zu priorisieren und zu beheben, damit Sie Ihre Systeme und Daten schützen können.

Wichtigste Merkmale

  • Es optimiert die Einhaltung von Branchenstandards wie CERT, NIST, DISA STIG, DHS CDM, FISMA, PCI DSS und HIPAA/HITECH
  • Die Funktionen zur passiven Erkennung von Assets ermöglichen es Ihnen, IT-Assets in Ihrem Netzwerk zu erkennen und zu identifizieren, z. B. Server, Desktops, Laptops, Netzwerkgeräte, Webanwendungen, virtuelle Maschinen, mobile Geräte und die Cloud
  • Das Tenable-Forschungsteam stellt regelmäßig Updates zu den neuesten Schwachstellenprüfungen, Zero-Day-Forschungen und Konfigurationsbenchmarks bereit, um Sie beim Schutz Ihres Unternehmens zu unterstützen
  • Tenable unterhält eine Bibliothek mit mehr als 67k Common Vulnerabilities and Exposures (CVEs)
  • Echtzeit-Erkennung von Botnets und Command-and-Control-Verkehr
  • Tenable.sc Director enthält eine zentrale Ansicht, mit der Sie Ihr Netzwerk über alle Tenable.sc-Konsolen hinweg anzeigen und verwalten können

Tenable.sc wird pro Jahr und pro Asset lizenziert, die 1-Jahres-Lizenz beginnt bei $5.364,25. Sie können Geld sparen, indem Sie eine Mehrjahreslizenz erwerben.

Lassen Sie uns als nächstes die Grundlagen von Threat Intelligence verstehen.

Was ist eine Threat Intelligence-Plattform?

Eine Threat Intelligence Platform (TIP) ist eine Technologie, die es Unternehmen ermöglicht, Bedrohungsdaten aus verschiedenen Quellen zu sammeln, zu analysieren und zu aggregieren. Diese Informationen ermöglichen es Unternehmen, potenzielle Sicherheitsrisiken proaktiv zu erkennen und abzuschwächen und sich gegen künftige Angriffe zu verteidigen.

What-is-a-Threat-Intelligence-Platform

Cyber Threat Intelligence ist ein wichtiger Bestandteil der Unternehmenssicherheit. Durch die Überwachung der neuesten Cyber-Bedrohungen und Schwachstellen kann Ihr Unternehmen potenzielle Sicherheitsverletzungen erkennen und darauf reagieren, bevor sie Ihre IT-Ressourcen schädigen.

Wie funktioniert die Threat Intelligence-Plattform?

Threat Intelligence-Plattformen helfen Unternehmen dabei, die Risiken von Datenschutzverletzungen zu mindern, indem sie Bedrohungsdaten aus verschiedenen Quellen sammeln, darunter Open-Source Intelligence (OSINT), Deep und Dark Web sowie proprietäre Threat Intelligence-Feeds.

TIPs analysieren die Daten, identifizieren Muster, Trends und potenzielle Bedrohungen und geben diese Informationen dann an Ihr SOC-Team und andere Sicherheitssysteme wie Firewalls, Intrusion-Detection-Systeme und SIEM-Systeme (Security Information and Event Management) weiter, um den Schaden für Ihre IT-Infrastruktur zu begrenzen.

Vorteile von Threat Intelligence-Plattformen

Threat Intelligence-Plattformen bieten Unternehmen verschiedene Vorteile, darunter:

  • Proaktive Erkennung von Bedrohungen
  • Verbesserte Sicherheitslage
  • Bessere Zuweisung von Ressourcen
  • Rationalisierte Sicherheitsabläufe

Weitere Vorteile von TIPs sind die automatisierte Reaktion auf Bedrohungen, Kosteneinsparungen und eine verbesserte Transparenz.

Fazit

In diesem Leitfaden wurden verschiedene Threat-Intelligence-Plattformen und deren herausragende Merkmale analysiert. Welche Option für Sie am besten geeignet ist, hängt von Ihrem Bedarf an Bedrohungsdaten und Ihren Präferenzen ab. Sie können eine Produktdemo anfordern oder sich für eine kostenlose Testversion anmelden, bevor Sie sich für ein bestimmtes Tool entscheiden.

So können Sie testen, ob es für die Zwecke Ihres Unternehmens geeignet ist. Vergewissern Sie sich schließlich, dass der Anbieter einen guten Support bietet und wie oft er seine Threat Feeds aktualisiert.