Was ist Bedrohungsforschung?

Die Bedrohungsforschung ist der Prozess des Sammelns, Analysierens und Teilens von Informationen über bestehende und neu auftretende Cyberbedrohungen. Bei der Bedrohungsforschung geht es darum, die Risiken von Bedrohungen zu identifizieren, zu bewerten und abzuschwächen. Sie stärkt die Abwehrfähigkeiten der Sicherheitsteams, indem sie ihnen hilft, die Taktiken, Techniken und Verfahren (TTPs) von Bedrohungsakteuren zu verstehen. 

Bedrohungsforschung ist ein entscheidendes Gegenstück zur Threat Intelligence, die wichtige Einblicke in die breitere Bedrohungslandschaft liefert. Die Bedrohungsforschung bietet Einblicke in spezifische Angriffsmethoden und Schwachstellen. Durch die Identifizierung von Schwachstellen und das Verständnis der Taktiken, Techniken und Prozeduren (TTPs) von Bedrohungsakteuren unterstützt die Bedrohungsforschung Sicherheitsteams dabei, effektive Strategien zur Risikominderung zu entwickeln, Sicherheitsprozesse zu verbessern und starke Gegenmaßnahmen zu ergreifen.

Die Bedrohungsforschung umfasst drei Schritte: Datenerfassung, Datenanalyse und Informationsaustausch.

Bedrohungsforscher sammeln Daten aus verschiedenen Quellen, darunter Open Source Intelligence (OSINT), Threat Intelligence-Feeds, Sicherheitsberichte (wie der Elastic Global Threat Report), das Dark Web, externe Daten (von Behörden, Cybersicherheitsanbietern, sozialen Medien und anderen) oder sogar interne Daten eines Unternehmens (Sicherheitsprotokolle oder Nutzeraktionen).

Bedrohungsforscher suchen nach Anzeichen für bösartige Aktivitäten oder Indikatoren für eine Kompromittierung (IoCs). Sie analysieren Malware-Proben, um deren Eigenschaften, Funktionalität und potenzielle Auswirkungen zu verstehen. Durch die Identifizierung von Mustern, Trends und Schwachstellen kann die Bedrohungsforschung genutzt werden, um zukünftige Angriffe vorherzusagen und die Sicherheit zu verbessern.

Die Erstellung von Profilen zu Bedrohungsakteuren ist eine weitere gängige Praxis, bei der die Motivation, die Fähigkeiten, die bevorzugten Ziele und andere kontextbezogene Informationen von Bedrohungsakteuren nachgeahmt werden, um Schwachstellen zu bewerten und zu identifizieren. Durch die Analyse gemeinsamer Muster können Bedrohungsforscher eine präventive statt einer reaktiven Haltung einnehmen.

Der letzte Schritt des Bedrohungsforschungsprozesses besteht darin, die Ergebnisse mit den Teams und Führungskräften ihres Unternehmens und oft auch mit der breiteren Sicherheitscommunity zu kommunizieren.

In der sich ständig verändernden Bedrohungslandschaft ist die Bedrohungsforschung ein kontinuierlicher Prozess, der ein fortlaufendes Monitoring, die Bewertung vorhandener Sicherheitsmaßnahmen und ständige Anpassung erfordert.

Bedrohungsforschung ist wichtig, ja sogar entscheidend, um die Cybersicherheitsmaßnahmen zu verbessern. Bedrohungsforschung hilft Teams, vorhandene und neue Bedrohungen zu verstehen und vorherzusehen. Sie verbessert die Fähigkeit von Sicherheitsexperten, Angriffe zu verhindern, zu erkennen und darauf zu reagieren. Anhand der Ergebnisse der Bedrohungsforschung können Sicherheitsteams robuste Sicherheitsmaßnahmen entwickeln, Schwachstellen priorisieren und die Sicherheitslage ihres Unternehmens verbessern.

Informieren Sie sich mithilfe früherer Forschungen von Elastic über die wichtigsten Bedrohungstrends für SOC-Führungskräfte.

Es gibt drei wesentliche Vorteile der Bedrohungsforschung:

1. Verbesserung proaktiver Sicherheitsmaßnahmen: Sicherheitsteams nutzen Bedrohungsforschung, um eine robuste Sicherheitsstrategie zu entwickeln, die sich auf die Risikominderung durch Präventivmaßnahmen konzentriert. Durch die Identifizierung von Schwachstellen in Anwendungen, Netzwerken und Systemen können Sicherheitsteams diese Schwachstellen priorisieren. Mit wertvollem Kontext können Sicherheitsteams die Hauptursache eines Angriffs leichter identifizieren, dessen Umfang erkennen und wirksame Reaktionsmaßnahmen ergreifen.
2. Schutz vor neuen Bedrohungen: Durch die Analyse der neuesten Bedrohungstrends identifizieren Forscher neue Angriffsvektoren, Malware und gegnerische TTPs. Das hilft Sicherheitsteams, das Verhalten der Gegner, ihre Beweggründe und potenziellen Ziele zu verstehen, sodass sie diese neuen Bedrohungen effektiv erkennen und darauf reagieren können. Basierend auf Erkenntnissen von Bedrohungsforschern können Sicherheitsteams die Leistung ihrer SOC-Tools (SOC: Security Operations Center) verbessern und optimieren.
3. Hilfe bei der Entscheidungsfindung: Die Bedrohungsforschung liefert datengestützte Einblicke, die Unternehmen dabei helfen können, ihre Risiken zu verstehen, sich auf Schwachstellen zu konzentrieren, Abwehr- und Eindämmungsmaßnahmen zu priorisieren, die Sicherheitslage zu verbessern und Ressourcen entsprechend zuzuweisen. Bedrohungsforscher fassen ihre Erkenntnisse zusammen, damit Entscheidungsträger im Unternehmen fundierte, strategische Entscheidungen treffen können.

Bedrohungsforscher verwenden Tools, um Schwachstellen zu identifizieren, Angriffe zu simulieren, Netzwerkaktivitäten zu überwachen und Informationen über neu auftretende Bedrohungen zu sammeln. Zu diesen Tools gehören Bedrohungsanalyse-Plattformen, Schwachstellenscanner, Systeme zur Überwachung der Netzwerksicherheit, Frameworks zur Bedrohungssuche sowie Malware-Analyse, Datenanalyse und Lösungen für ein Sicherheitsinformations- und Ereignismanagement (SIEM).

• Frameworks zur Bedrohungssuche: Bedrohungsforscher verwenden regelmäßig MITRE ATT&CK und die Cyber Kill Chain-Frameworks. MITRE ATT&CK® liefert das „Was“ – eine detaillierte Wissensdatenbank zu gegnerischen TTPs – während die Cyber Kill Chain das „Wie“ bietet – ein vereinfachtes, stufenbasiertes Modell zum Ablauf von Cyberangriffen.
• Malware-Analyse-Sandboxes Malware-Analyse-Sandboxes sind für die Bedrohungsforschung von entscheidender Bedeutung, da sie eine kontrollierte, isolierte Umgebung bieten, in der Malware-Proben sicher ausgeführt und beobachtet werden können. Mithilfe von Sandboxes ermitteln Bedrohungsforscher, wie Malware funktioniert, einschließlich ihrer TTPs, ohne ihre Systeme oder Netzwerke zu gefährden.
• Threat Intelligence Platforms (TIPs): TIPs, wie die von Elastic Security, sammeln und analysieren Daten aus verschiedenen Quellen. Bedrohungsforscher erhalten einen einheitlichen Überblick über alle IoCs und können auf Informationen über Bedrohungsakteure, deren Motivationen und Fähigkeiten zugreifen.
• Tools für das Netzwerksicherheits-Monitoring: Diese Tools überwachen den Netzwerkverkehr kontinuierlich auf verdächtige Aktivitäten und potenzielle Bedrohungen. Netzwerkverkehrsanalysatoren ermöglichen es Bedrohungsforschern, Bedrohungen zu überwachen, zu erkennen und zu untersuchen, indem sie Netzwerkverkehrsmuster analysieren, Anomalien identifizieren und bösartige Aktivitäten aufdecken.
• SIEMs: Die Bedrohungsforschung liefert dem SIEM eines Teams wertvolle Einblicke in neue Bedrohungen, Angriffsmuster und Schwachstellen – so können Sicherheitsanalysten Ereignisse korrelieren, Anomalien identifizieren und Warnungen effektiver priorisieren. Der Vorgang lässt sich auch umkehren; Bedrohungsforscher nutzen moderne SIEMs als Quelle für forensische Untersuchungen und zum Sammeln, Analysieren und Korrelieren von Sicherheitsereignisdaten aus verschiedenen Quellen.

Sowohl die Bedrohungsforschung als auch Threat Intelligence sind wesentliche Bestandteile einer proaktiven Cybersicherheitsstrategie und sollten zusammen genutzt werden. Während die Threat Intelligence Unternehmen einen wichtigen Kontext für die Erkennung und Reaktion auf Cyberbedrohungen bietet, hilft die Bedrohungsforschung, spezifische Schwachstellen und Bedrohungen proaktiv zu identifizieren und zu mindern.

Dies sind die wichtigsten Unterschiede:

In einer dynamischen Bedrohungslandschaft umfasst eine effektive Bedrohungsforschung das proaktive Sammeln und Analysieren von Informationen über aufkommende Cyberbedrohungen und potenzielle Schwachstellen.

Dies sind die drei Best Practices:

1. Pflegen Sie ein kontinuierliches 24/7-Monitoring von Netzwerken, Systemen, Cybersicherheits-Tools und -Techniken und integrieren Sie dynamische Feeds zu Bedrohungsdaten.
2. Führen Sie häufig Schwachstellenanalysen durch, um Schwachstellen in den Systemen eines Unternehmens zu identifizieren und zu bewerten. 
3. Stellen Sie sicher, dass die Zusammenarbeit über die Grenzen des SOC des Unternehmens hinaus in die breitere Sicherheitsgemeinschaft reicht. Gemeinsame Bedrohungsforschung verbessert nicht nur die Sicherheitslage eines Unternehmens, sondern steigert auch die kollektive Cybersicherheit. 

Ausführliche Informationen finden Sie im Webinar „Einblick in die Bedrohungslandschaft“.

Die Bedrohungsforschung ist ein wesentlicher Bestandteil jeder proaktiven Cybersicherheitsstrategie. Durch die Aufdeckung und Weitergabe von gegnerischen Taktiken, Tools und Zielen spielen Bedrohungsforscher:innen eine entscheidende Rolle bei der Gewährleistung der Widerstandsfähigkeit eines Unternehmens.

Elastic Security Labs deckt beispielsweise reale Aktionen von Angreifern anhand von Milliarden Datenpunkten aus der einzigartigen Elastic Telemetrie auf, die auf der Search AI Platform basiert. Das engagierte Bedrohungsforschungsteam von Elastic widmet sich der Entdeckung neuartiger Bedrohungsarten und der automatischen Implementierung von Schutzmaßnahmen innerhalb der Elastic Security-Lösung zu deren Abwehr.

Berichte, Sicherheitsbewertungen von großen Sprachmodellen (LLMs) und ausführliche Artikel von Elastic Security Labs sollen Ihren Cybersicherheitsteams entscheidende Einblicke bieten, um Ihre Abwehrmaßnahmen zu stärken.

• Elastic Security entdecken
• Elastic Global Threat Report 2023
• Video: Einblick in die Bedrohungslandschaft
• Stand der Erkennungstechnik bei Elastic 2025
• Elastic Security für das Threat Hunting