Ein proaktiver Ansatz für Cyber Threat Intelligence

Die Untersuchung von Cyber-Bedrohungen

Wir legen großen Wert darauf, einen wirksamen Schutz vor den Cyberbedrohungen zu bieten, denen Unternehmen ausgesetzt sind. Dies spiegelt sich in einem engagierten Team wider, dem Stormshield Customer Security Lab. Unser Cyber Threat Intelligence-Team hat zwei Hauptaufgaben: die Untersuchung von Cyber-Bedrohungen, um sie zu verstehen, und die kontinuierliche Verbesserung des Schutzes, den die Stormshield-Produkte bieten. All dies mit dem Ziel, einen Beitrag zu den Bemühungen der Cybersicherheitsgemeinschaft zu leisten, Cyber-Bedrohungen zu bekämpfen.

Kontinuierliche Verbesserung unseres Cyberschutzes

Um unser Wissen über IoCs (Indicator of Compromise) zu erweitern, stützt sich dieses Cyber-Threat-Intelligence-Team auf die großen Mengen an Informationen, die von unseren eigenen NGFW-, EDR- und Sandboxing-Lösungen in Verbindung mit externen Datenquellen geliefert werden. Im Mittelpunkt steht das ständige Ziel, die Sicherheit der Stormshield-Lösungen zu verbessern, und eine zentrale Rolle für CTI im eXtended Detection & Response (XDR)-Ansatz.

Und mit unserem Produktsicherheitsportal verfolgen wir auch die Aufgabe, unsere Partner und Kunden über den Stand der weltweiten Cyberbedrohung zu informieren. Unser Sicherheitsportal ermöglicht mehrere Sicherheitsaktionen: Sie können herausfinden, ob eine IP-Adresse in unseren IP-Reputationsdatenbanken enthalten ist, die bestehenden Schutzmaßnahmen unserer Produkte (SNS-Signaturen wie SES-Regeln) abrufen oder auf die Liste der CVE (Bekannte Schwachstellen und Anfälligkeiten) zugreifen, die von unserem SNVM-Modul für das Schwachstellen-Management entdeckt wurden.

Ein engagiertes Threat-Intelligence-Team

Die eingehende Analyse der Technologien und Mechanismen, die von Cyber-Kriminellen ausgenutzt werden, ist Teil der täglichen Arbeit unseres Cyber Threat Intelligence-Teams: dem Stormshield Customer Security Lab.

Haben Sie eine Frage oder einen Vorfall, den Sie melden möchten? Die Mitglieder unseres Security-Intelligence-Teams stehen Ihnen zur Verfügung.

Cyber-stellen zu Besetzen. Unser Team für Cyber Threat Intelligence wird regelmäßig um neue Profile erweitert. Cyber-Experten, engagierte Berater und andere Profile aller Art: Sind Sie auf der Suche nach einem neuen Abenteuer im Bereich Cybersicherheit? Werfen Sie einen Blick auf unsere offenen Stellen und bewerben Sie sich.

Sicherheitswarnungen und technische Dokumente

Schließlich beschäftigt sich unser Threat-Intelligence-Team auch sehr intensiv mit dem technischen Ansatz der Cybersicherheit.

Mit den Händen tief im Code, gehen unsere Cybersicherheitsexperten den Mechanismen von Malware auf den Grund und liefern ihre hochkarätigen Analysen, manchmal sogar im Vorfeld. Technische Inhalte für erfahrene Leser.

Zweifel an einer datei?

Trauen Sie der letzten E-Mail, die Sie erhalten haben, nicht wirklich? Und schon gar nicht in der dazugehörigen Anlage? Werden Sie mit Breach Fighter cybersicher. Über ein frei zugängliches Portal erkennt dieses Suchinstrument mögliche bösartige Verhaltensweisen. Dieser Dienst zur Erkennung von Malware ist ein wesentlicher Bestandteil unserer Sandboxing-Lösung Breach Fighter. Eine auf Verhaltensanalysen basierende Lösung, die aus unserem Produkt Stormshield Endpoint Security Evolution und der Forschung unseres Security Intelligence-Teams hervorgegangen ist. So kann Breach Fighter bösartiges Verhalten in E-Mails mit Anhängen und in Dateien wie Microsoft Office, PDF, JAR- und Java-Dateien, Skripten (PowerShell, JScript ...), ausführbaren Windows-Dateien oder Archiven (ZIP, RAR, 7-Zip ...) analysieren und aufdecken.

Was ist CTI?

CTI ist die Sammlung von Informationen, um Trends bei Cyber-Bedrohungen zu erkennen und umsetzbare Erkenntnisse zu gewinnen. Cyber Threat Intelligence kann verschiedene Formen annehmen.

  1. Strategische CTI: ein umfassender Überblick über die Bedrohungslandschaft, der geografische, politische und kommerzielle Aspekte für nichttechnische Entscheidungsträger abdeckt.
  2. Taktische CTI: konzentriert sich auf die Ansätze, Methoden und Werkzeuge, die von Cyber-Angreifergruppen verwendet werden.
  3. Operative CTI: ein Echtzeit-Ansatz für neue Software, Angriffsmethoden und Cyber-Bedrohungsakteure.
  4. Technische CTI: eine eingehende Analyse der technischen Merkmale von Schwachstellen, Malware und Angriffsmethoden für SOCs und andere Reaktionsteams.

Was ist ein IoC?

Ein IoC ist ein technisches Element, das aus einem Sicherheitsvorfall resultiert. Dieser "Indicator of Compromise" kann verschiedene Formen annehmen: Dateisignaturen (Datei-Hash, Malware-Hash), URLs, Domänen, DNS, bösartige IPs, Registrierungsschlüssel usw. Diese Indikatoren oder Cyber-Intelligence werden für die Erkennung, Analyse und Erforschung von Bedrohungen (Threat Hunting) und die Kontextualisierung von Ereignissen (z. B. zur Zuordnung von Cyber-Angriffen) verwendet.

In der Praxis umfasst der Begriff IoC im Allgemeinen auch IoA (Indicator of Attack). Diese anderen Indikatoren sind mit laufenden Cyberangriffen verknüpft und werden in Sicherheitslösungen verwendet, um Angriffe in Echtzeit zu erkennen und abzuwehren

Die notwendige Lebensdauer von IoCs. Die Cyber-Bedrohung entwickelt sich weiter; angesichts des Risikos von Fehlalarmen und der Überlastung von IoC-Datenbanken ist es der Lebenszyklus von Markern, der die Wirksamkeit von Detection & Response-Lösungen gewährleistet. Ein IoC hat daher ein Entdeckungsdatum, einen aktuellen Status und ein Gültigkeitsdatum.