Bedrohungsdaten im Bereich der Cybersecurity lassen sich im Allgemeinen als Informationen beschreiben, die gesammelt, verarbeitet und analysiert werden, um potenzielle Cyberbedrohungen zu verstehen. Sie helfen Organisationen dabei, Angriffe vorauszusehen, zu identifizieren und abzuwehren.
In diesem Blog vergleichen wir die beiden Haupttypen von Bedrohungsdaten, die von Sicherheitsteams verwendet werden – Silent Push Indicators of Future Attack (IOFA)™ und traditionelle Indicators of Compromise (IOC).
Wir heben die Unterschiede zwischen beiden hervor und erläutern, warum Organisationen IOFA™ als eine wertvollere Quelle für Bedrohungsinformationen ansehen, um gegnerische Infrastrukturen zu identifizieren und zu blockieren, noch bevor ein Angriff gestartet wird.
Was sind IOCs?
IOCs sind reaktive Cybersecurity-Datenpunkte, die anzeigen, dass ein System Ziel oder Opfer eines Cyberangriffs geworden ist.
IOCs werden über verschiedene Kanäle verteilt – von Open-Source-Intelligence (OSINT)-Streams über private Sammelmethoden, lizenzierte Intelligence-Plattformen, öffentliche Foren bis hin zu Berichten über Advanced Persistent Threats (APT).
Was sind Indicators of Future Attack™ (IOFA™)?
Indicators of Future Attack™ sind proaktive Indikatoren (Hostname, Domain, IP usw.), die vorausschauend aufzeigen, von wo aus ein Angriff in der Zukunft gestartet wird, sowie, wo bereits ein Angriff stattgefunden hat.
Sicherheitsteams greifen auf IOFA™-Daten zurück, um die Taktiken, Techniken und Verfahren (TTPs) anzugreifen, die steuern, wie ein Angreifer seine Infrastruktur initialisiert und einsetzt, noch bevor ein Angriff ausgelöst wird.
Silent Push ist der einzige Sicherheitsanbieter, der IOFA™ verwendet, um Bedrohungen zu erkennen und zu stoppen.
Was ist der wesentliche Unterschied zwischen Indicators of Future Attack™ und IOCs?
Die Verwendung von IOFA™ ermöglicht es Teams, von einem reaktiven zu einem proaktiven Sicherheitsbetrieb überzugehen.
Cyberangriffe, die von unbekannter Infrastruktur ausgehen, sind von Natur aus schwerer zu blockieren und bergen ein wesentlich höheres Risiko.
Man kann dies mit einer Armee vergleichen, die sich auf einen Kampf vorbereitet, basierend auf dem Standort des Feindes und seiner Angriffsstrategien. Gegner, die ihre Position verschleiern oder verstecken, sind weitaus schwieriger zu bekämpfen als ein Feind, der ständig aus derselben Position angreift.
Cyberkriegsführung verhält sich nicht anders.
IOFA™ liefern Teams handlungsfähige, aussagekräftige Bedrohungsinformationen, die nicht nur einen laufenden Angriff abwehren, sondern es den Teams auch ermöglichen, die verborgenen Elemente einer Bedrohungskampagne zu durchdringen – noch bevor sie vollständig ausgerollt ist – und die Bewegungen des Gegners im globalen IP-Raum nachzuverfolgen.
IOCs hingegen erlauben es Sicherheitsteams nicht, leicht zu erkennen, wo ein Gegner als Nächstes zuschlagen könnte, sondern offenbaren lediglich, wo bereits ein Angriff stattgefunden hat.
Schauen wir uns die wesentlichen funktionalen Unterschiede zwischen IOFA™ und IOCs an und warum IOFA™ bei der Abwehr bekannter und aufkommender Angriffe von Natur aus nützlicher sind.
Erhöhter Bedrohungskontext mit Indicators of Future Attack™
Ein IOC ist ein isolierter Datenpunkt, der dazu verwendet werden kann, eine Domain oder IP zu blockieren, die bereits in einen Angriff involviert war.
Bei der Verwendung von IOCs müssen Teams oft zahlreiche zusätzliche Verknüpfungen herstellen, um die zugehörige Infrastruktur zu kartografieren und ihre Informationen zu fragmentieren. Dies führt zu einer erhöhten Angriffsfläche während Sicherheitsvorfällen und bindet das Personal von wichtigen Aufgaben.
IOFA™ gehen einen Schritt weiter, indem sie automatisch die zugehörige Hosting-Infrastruktur, verknüpfte Domains und IPs sowie übereinstimmende Webinhalte offenlegen – so dass SOC- und IR-Teams in der Lage sind, die Informationen unmittelbar und zuverlässig zu bewerten, sobald diese eintreffen.
Durchsuchbare Attribute
IOCs werden aus mehreren unterschiedlichen Quellen zusammengetragen. Dadurch fehlt ihnen ein einheitlicher Satz durchsuchbarer Attribute, der genutzt werden könnte, um Bedrohungsdaten schnell zu operationalisieren und eine breitere Erkennung potenzieller Bedrohungen zu ermöglichen.
IOFA™ hingegen werden ausschließlich durch Silent Push bezogen, aggregiert und bewertet. Dies ermöglicht uns, jedem einzelnen Hostnamen, jeder Domain oder IP mehr als 150 Attribute zuzuordnen, die in der gesamten Plattform für One-Click-Verknüpfungen, Scans und Abfragen genutzt werden können, um die Beziehung eines einzelnen Indikators zum gesamten beobachtbaren Internet schnell und zuverlässig festzustellen.
Verfolgung von Infrastrukturevolutionen
Angreifer nutzen neue Domains und IPs in rasantem Tempo, um der Entdeckung zu entgehen, ihre Angriffsvektoren zu verschleiern und IOC-basierte Cyberabwehrmechanismen zu umgehen, die auf isolierten Listen von nachträglichen IOCs beruhen.
IOFA™ liefern fertige Bedrohungsinformationen, die – indem sie die TTPs der Angreifer anvisieren, welche die eigentliche Angriffsursache darstellen – kontinuierlich die verschiedenen Methoden berücksichtigen, die Gegner bei der Bereitstellung neuer Infrastrukturen anwenden (z. B. Fast-Flux-Techniken, Hosting-Wechsel, Namenskonventionen und den Einsatz von Subdomains). Dadurch werden Teams in Echtzeit taktisch informiert und erhalten sofort einsatzbereite Erkenntnisse.
Diese Erkenntnisse werden verwendet, um Verhaltensmuster der Aktivitäten der Angreifer zu erstellen. So können Teams die Bewegungen eines Gegners im IP-Raum nachvollziehen und zukünftige Versuche, einen Angriff über eine andere Infrastruktur zu starten, blockieren.
Reduzierung von Fehlalarmen
Ob lizenziert oder Open-Source – ein einzelner IOC wird Sicherheitsteams meist mit minimalen Informationen darüber geliefert, woher die Information stammt oder wie relevant sie für die Organisation ist.
Daher sind IOC-basierte Bedrohungsfeeds oft verrauscht und enthalten einen hohen Anteil an falschen positiven Domains und IPs oder veralteten Indikatoren, die nicht mehr in Angriffen verwendet werden. Solche Informationen sind bestenfalls überbewertet oder im schlimmsten Fall nutzlos.
Die IOFA™-Feeds von Silent Push enthalten hingegen authentifizierte, wahre positive Indikatoren, die ohne manuelle Validierung als zuverlässige Quelle für Bedrohungsinformationen dienen.
Wir liefern IOFA™-Daten über einen proprietären Aggregations- und Korroborationsprozess, der sofort einsatzbereite Informationen bereitstellt und so die Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR) einer Organisation reduziert.
Mehr über IOFA™ und unseren proaktiven Ansatz im Bereich Bedrohungsinformationen
Silent Push ist die einzige Cybersecurity-Plattform, die IOFA™ verwendet, um proaktiv die Infrastrukturen vor einem Angriff aufzudecken, sodass Teams digitale Angriffe erkennen und blockieren können, noch bevor sie gestartet werden.
Wenn Sie mehr darüber erfahren möchten, wie wir Ihnen dabei helfen können, Ihre Infrastruktur vor bekannten und verborgenen Angriffen zu schützen, kontaktieren Sie uns für weitere Informationen.
