Threat-Intelligence-Plattformen – ein Kaufratgeber

specnaz | shutterstock.com

Der erste Schritt zu einem soliden Enterprise-Security-Programm besteht darin, eine geeignete Threat-Intelligence-Plattform (TIP) auszuwählen. Fehlt eine solche Plattform, haben die meisten Security-Teams keine Möglichkeit, Tool-Komponenten miteinander zu integrieren und angemessene Taktiken und Prozesse zu entwickeln, um Netzwerke, Server, Applikationen und Endpunkte abzusichern. Aktuelle Bedrohungstrends machen TIPs unverzichtbar: So ermöglicht etwa KI-basierte Malware (unter anderem) schnellere Exploits, die weniger Spuren hinterlassen. Hinzu kommt ein steigender Professionalisierungs- und Koordinierungsgrad unter Cyberkriminellen.

Unternehmen können es sich schlicht nicht mehr leisten, reaktiv mit Bedrohungen umzugehen. So hat die CISA (das US-Pendant zum BSI) bereits vor einiger Zeit festgestellt, dass Schwachstellen seit dem Jahr 2023 mehrheitlich mit Zero-Day-Techniken ausgenutzt werden. Und laut Verizons aktuellem “Data Breach Investigations Report” (Download gegen Daten), hat sich der Anteil bösartiger E-Mails, die mit KI generiert wurden, in den letzten beiden Jahren verdoppelt. Inzwischen liegt ihr Anteil bereits bei zehn Prozent.

“Cybersecurity-Entscheider sehen sich heute mit einem Mix aus KI-Disruption, komplexen regulatorischen Vorschriften und raffinierten Bedrohungsakteuren konfrontiert”, fasst Greg Sullivan, Gründungspartner der Security-Beratung CIOSO, zusammen. Es gehe nicht mehr nur darum, Risiken zu managen, so der Manager: “CISOs müssen digitalen Trust in einer Welt neu definieren, in der Deepfakes, Schwachstellen bei Drittanbietern und fragmentierte Datenschutzgesetze das neue Normal darstellen.”

Für diese Aufgabe sind moderne Threat-Intelligence-Plattformen gut geeignet – allerdings gilt es bei der Auswahl einige Aspekte zu beachten. In diesem Artikel lesen Sie:

• was moderne Threat-Intelligence-Plattformen können sollten,
• wie die Kosten für solche Lösungen ausfallen, und
• welche Angebote in diesem Bereich empfehlenswert sind.

Das sollte Threat Intelligence leisten

Frühe Threat-Intelligence-Plattformen waren eher simple Produkte, die oft einfach nur ein paar Intelligence-Feeds zu den aktuellsten Exploits miteinander verknüpft haben – mit wenig bis gar keinen Detailinformationen. Das hat sich drastisch verändert: Heutige, moderne Threat-Intelligence-Lösungen bieten eine umfangreiche Informationsbasis, die auch auf zugrundeliegende Komplexitäten und Besonderheiten der einzelnen Bedrohungen eingeht. Und: Wurden die ersten Threat-Intelligence-Plattformen in der Regel lokal installiert, laufen moderne Produkte heutzutage im Regelfall sowohl in der Cloud als auch On-Premises.

Sämtlichen modernen TIPs sind drei zentrale Aspekte gemein:

• Die Fähigkeit, Bedrohungsdaten sowohl in strukturierten als auch in unstrukturierten Formaten zu aggregieren, zu korrelieren und zu normalisieren. Das umfasst unter anderem auch, doppelte Einträge, Fehler und ungeeignete Datensätze herauszufiltern. Das Ziel besteht darin, Alarmmeldungen so weit wie möglich zu reduzieren und Security-Profis zu ermöglichen, versteckte Muster oder potenzielle neue Bedrohungsvektoren in den anfallenden Daten zu identifizieren. Das setzt allerdings voraus, dass die gewählte Plattform auch auf mehrere verschiedene Threat-Feeds und Malware-Quellen zugreifen und deren Daten verarbeiten kann. Mit Blick auf diese Daten kommt es nicht nur auf die Quantität, sondern auch auf die Qualität an.
• Die Fähigkeit, automatisiert auf Bedrohungen oder Angriffe reagieren zu können. Dazu gehört beispielsweise auch, Playbooks für den Angriffsfall zu erstellen. Im Idealfall sollten die Automation-Features einer Threat-Intelligence-Plattform schnelle Workflows mit minimalen manuellen Eingriffen realisieren. Das Ziel besteht darin, Malware so schnell wie möglich zu eliminieren und so potenzielle Systemschäden zu minimieren. Um die dabei anfallenden Tasks (beispielsweise Alerts anreichern, Anzeichen für eine Kompromittierung in Echtzeit teilen oder Threat-Reportings erstellen) automatisieren und orchestrieren zu können, ist es außerdem erforderlich, Standards wie TAXII oder STIX über die gesamte Threat-Management-Toolchain hinweg einzusetzen.
• Einen zentralen Platz für sämtliche Threat-Management-Tasks zu etablieren. Dieser deckt den gesamten Lifecycle ab – von der Threat-Entdeckung über die -Abwehr bis hin zur nachträglichen Absicherung der Systeme, um Folgeangriffe zu verhindern. Das erfordert allerdings auch, bestehende Sicherheitssysteme und -Tools in die Threat-Intelligence-Plattform integrieren zu können – beispielsweise aus den Bereichen SOAR, SIEM oder CNAPP.

Das kostet Threat Intelligence

Mit Blick auf ihr Preisgefüge zeigen sich die meisten Threat-Intelligence-Plattformanbieter eher verschlossen. Und das aus gutem Grund, denn TIPs sind nicht günstig. Immerhin stehen in einigen Fällen auch kostenlose Testversionen zur Verfügung.

Ganz allgemein lässt sich zu diesem Aspekt festhalten: Die Preise variieren stark. Um größere und komplexere Infrastrukturen abzusichern, sollten Sie jedoch mit jährlichen Kosten im niedrigen sechsstelligen Bereich rechnen.

Empfehlenswerte Threat-Intelligence-Plattformen

Auch die Threat-Intelligence-Anbieterlandschaft verändert sich fortlaufend. So hat beispielsweise Bitsght Ende 2024 Cybersixgill übernommen, während einige Monate zuvor Recorded Future vom Finanzdienstleistungs-Gigant Mastercard aufgekauft wurde. Diese Übernahmen tragen dazu bei, dass die zugrundeliegenden Plattformen mit zusätzlichen Daten und Signalinformationen angereichert werden.

Nachfolgend haben wir einige empfehlenswerte Angebote im Bereich Threat-Intelligence-Plattformen für Sie zusammengestellt. Zu beachten ist dabei, dass es viele weitere Optionen gibt – alleine Gartner listet in seinem Kompendium mehr als 150 Anbieter.

• Bitsight Cyber Threat Intelligence liefert Echtzeit-Informationen aus dem Clear- Deep- und Darkweb. Letzteres ist der bereits angesprochenen Übernahme von Cybersixgill zu verdanken. Bitsight kuratiert nach eigenen Angaben täglich mehr als sieben Millionen Intelligence-Einträge und sammelt mehr als eine Milliarde kompromittierte Anmeldedaten. Zwischen Datenerfassung benutzerdefiniertem Alert sollen weniger als 60 Sekunden liegen, verspricht der Anbieter.
• Cyware Threat Intelligence Management deckt eine Vielzahl strukturierter und unstrukturierter Bedrohungsquellen ab und bietet dabei Echtzeit-Aktionen und performante Automatisierungsfunktionen, um Bedrohungsdaten anzureichern.
• Greynoise for Threat Hunting Teams nutzt eine Sammlung von mehr als 300 Edge-basierten Honeypots, um Threat-Daten zu sammeln und in (nahezu) Echtzeit zu analysieren. Diese Plattform ist mit einer breiten Palette an SIEM-, SOAR- und XDR-Tools integrierbar sowie mit Netzwerk-Firewalls von Sophos. Das soll Sicherheitsprofis dabei unterstützen, Bedrohungen mit Schwachstellen und Incident Response zu einem kohärenten und umsetzbaren Plan zu verknüpfen.
• Kela Cyber Intelligence Platform bietet eine ganze Sammlung von Tools – beispielsweise um Assets zu überwachen, Angriffe zu untersuchen oder Informationen über Bedrohungsakteure einzusehen. Die Plattform ist auch in der Lage, Playbooks für Verteidiger automatisiert zu erstellen und lässt sich mit einer Vielzahl bestehender Sicherheitsprodukte von Drittanbietern integrieren. Kela bietet für Interessierte eine kostenlose Testversion an.
• OpenText Threat Intelligence (BrightCloud) greift auf ein globales Sensornetzwerk zu, um neue Bedrohungen zu identifizieren und bietet Features wie Echtzeit-Webklassifizierung, Anti-Phishing-Mechanismen sowie IP- und dateibasiertes Reputation Monitoring. Davon abgesehen, liefert die Plattforme auch Detailinformationen zu Cloud-basierten Threats und ist in der Lage, polymorphe Malware zu identifizieren und zu isolieren.
• Palo Alto Networks Cortex XSIAM ist eine KI-gesteuerte SOC-Plattform, die riesige Mengen an Sicherheitsdaten (inklusive Bedrohungsinformationen) erfasst, korreliert und auf dieser Grundlage agiert. Um Endpunkte, Netzwerke, Clouds und Identity-Anbieter fortlaufend zu analysieren, kommt bei dieser Lösung generative KI zum Einsatz. Diese TIP kann Threat-Daten sowohl über kommerzielle als auch Open-Source-Provider einholen und integriert mit mehr als 250 Drittanbieter-Produkten.
• Recorded Future Threat Intelligence wird von zahlreichen Analystenhäusern als “Leader” im Bereich TIP angesehen – die Übernahme durch Mastercard dürfte diese Position weiter gefestigt haben. Der Anbieter beschäftigt sein eigenes Research-Team (Insikt) – dessen Daten fließen mit in die Plattform ein. Recorded Future setzt davon abgesehen bereits seit mehr als zehn Jahren auf deterministische KI und hat diese Erfahrungswerte genutzt, um Analysen, Insights und Workflows mit Generative-AI-Frontends zu unterstützen.
• Seemplicity nutzt für seine Threat-Intelligence-Plattform eine eigene KI-Engine namens RemOps. Diese ermöglicht es, maßgeschneiderte Remediation-Pläne auf der Grundlage von Kontextinformationen aus Code-Repositories, ITSM- und Ticketing-Systemen zu erstellen. Die KI sammelt außerdem uch Daten aus existierenden Tools und kann empfohlene Abhilfemaßnahmen an den Security-Analysten weiterleiten, der am besten für die Aufgabe geeignet ist. Der Preis dieser Plattform richtet sich nach der Anzahl der abgedeckten Datenquellen und Automatisierungen – im günstigsten Fall liegt die Jahresgebühr bei rund 60.000 Dollar.
• SilentPush bietet eine Vielzahl von (Echtzeit-)Funktionen, darunter auch Brand- und DNS-Protection. Diese Threat-Intelligence-Lösung integriert mit diversen unterschiedlichen SOAR- und SIEM-Tools sowie den Plattformen von Crowdstrike und Cyware. Diese Lösung steht auch als kostenlose Community-Edition zur Verfügung. Die enthält zwar keine Bedrohungs-Feeds, ist aber dazu geeignet, Infrastrukturänderungen zu überwachen. Die kostenpflichtige Enterprise-Version kostet mindestens 120.000 Dollar pro Jahr – dafür gibt’s allerdings nur grundlegende Funktionen. Wer mehr braucht, kommt schnell auf eine Jahresgebühr von 500.000 Dollar oder mehr.
• SOCRadar bietet seine Threat-Intelligence-Plattform in drei verschiedenen Ausformungen an: Cyber Threat Intelligence, Advanced Dark Web Monitoring und Extended Threat Intelligence. Letztere Version ist die umfassendste und beinhaltet neben den Features der beiden erstgenannten Versionen zusätzlich auch Attack Surface Management und Brand Protection. Die Lösungen von SOCRadar sind mit diversen Log-Management-, SOAR- und SIEM-Systemen integrierbar. In Sachen Preistransparenz ist dieser Anbieter der Konkurrenz voraus. Neben kostenlosen Testversionen steht auch ein dauerhaft kostenloses Freemium-Produkt von Cyber Threat Intelligence zur Verfügung. Der Essential-Plan (empfohlen für KMU) schlägt mit mindestens 11.350 Dollar pro Jahr zu Buche.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.