Anbieter konzentrieren sich auf verschiedene Regionen

Deutliche Unterschiede konnten die Sicherheitsforscher bei der regionalen Ausrichtung der jeweiligen Threat Intelligence Provider ausmachen.

Stellenmarkt
  1. IT-Mitarbeiter / Fachinformatiker (m/w/d) First-Level-Support
    RICHARD WOLF GMBH, Knittlingen (Raum Pforzheim/Karlsruhe)
  2. Mitarbeiter (m/w/d) IT-Systemtechnik
    Evangelische Schulstiftung in der EKBO, Berlin
Detailsuche

Ein Anbieter hat beispielsweise einen klaren Fokus auf China und Russland und liefert dabei vor allem netzwerkbezogene und weniger dateibezogene Indikatoren für diese Länder aus. Ein anderer Provider liefert dagegen vor allem netzwerkbezogene Indikatoren zu Iran und hat deutliche Stärken bei dateibezogenen Indikatoren für Iran, China und Russland. Ein dritter Anbieter weist die umfangreichste Sammlung von Netzwerkindikatoren zu China auf, daneben spielt auch Russland eine Rolle.

Der als Apfel dargestellte, traditionelle Antivirenhersteller analysiert alltäglich umfangreiche Mengen an Dateien zur Abwehr von Viren und Trojanern und nutzt die dabei anfallenden Signaturen als Indikatoren für seine Threat-Intelligence-Sparte. "Diese Signaturen werden hier für eine Menge Geld als Threat Intelligence verkauft", erklärt Röcher. Relevante Kontextinformationen würden dazu nicht gegeben, vielmehr handle es sich um automatisch erzeugten Müll. Entsprechend konnten Sicherheitsforscher die meisten Indikatoren keinem Land zuordnen.

Verteidiger haben es schwer

Eine klare Kaufempfehlung können die Sicherheitsforscher nicht geben, vielmehr sei eine Entscheidung für einen Threat Intelligence Provider abhängig vom jeweiligen Einsatzzweck und den jeweiligen Zielen des Käufers. Hierfür müssten Kriterien entwickelt werden, anhand derer sich auch der Erfolg der Maßnahme messen lasse. Nicht zu unterschätzen sei es, die Dokumentation des Providers zu studieren. "Man muss verstehen, was man von seinem Provider bekommt", sagt Röcher.

Golem Akademie
  1. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    7.–9. März 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Eine Analyse, wie sie die Sicherheitsforscher durchgeführt hätten, helfe. "Die Ergebnisse sind aus einer Management-Perspektive ziemlich nützlich", sagt Hickey. Je nachdem, aus welchen Regionen Unternehmen Angreifer befürchten, können sie den Threat Intelligence Provider mit dem entsprechenden Fokus auswählen. Viele Frage bleiben jedoch offen, beispielsweise wie die Qualität von Threat Intelligence gemessen werden könne. Hier sei noch viel Forschung nötig, meint Röcher.

Im Moment würden die Verteidiger nicht von der Situation profitieren. "Angreifer profitieren, weil wir uns nur schwer verteidigen können und Hersteller profitieren, weil es für sie leicht ist, Geld zu verdienen", kritisiert Röcher. Manchmal erinnere ihn die Threat Intelligence an die Antivirenindustrie. Diese wird immer wieder mit dem Verkauf von Schlangenöl assoziiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Hacking-Schutz: Wie findet man den besten Threat Intelligence Provider?
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

  3. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /