WISSEN — GRUNDLAGEN & COMPLIANCE

Threat Intelligence

Threat Intelligence ist kuratiertes Wissen über bekannte Bedrohungen — schädliche IP-Adressen, Command-and-Control-Server, kompromittierte Domains und aktuelle Angriffsmuster. Sie liefert anderen Sicherheitswerkzeugen den Kontext, um bekannte Gefahren zu erkennen, und ist selten ein eigenständiges Endkunden-Produkt, sondern speist Systeme wie NDR und SIEM.

Einfach erklärt

Threat Intelligence ist das Fahndungsbuch der Cybersicherheit: eine ständig aktualisierte Sammlung dessen, was bereits als gefährlich bekannt ist. Ein Erkennungssystem, das dieses Wissen nutzt, erkennt eine bekannte Bedrohung sofort wieder — auch wenn sie im normalen Rauschen sonst untergehen würde.

Wie es funktioniert

Threat-Intelligence-Quellen sammeln Indikatoren aus vielen Beobachtungen weltweit, prüfen und kuratieren sie. Sicherheitswerkzeuge gleichen den beobachteten Verkehr gegen diese Indikatoren ab. So wird etwa eine Verbindung zu einem bekannten Schadserver erkannt, selbst wenn sie auf den ersten Blick unauffällig wirkt.

Wozu es dient und wo die Grenze liegt

Threat Intelligence ist stark bei Bekanntem. Ihre Grenze: Was neu und noch nicht erfasst ist, steht in keinem Fahndungsbuch. Deshalb wirkt sie am besten in Kombination mit Verhaltensanalyse — die eine erkennt das Bekannte, die andere das Abweichende. Genau diese Kombination nutzt NDR.

Threat Intelligence

Einfach erklärt

Wie es funktioniert

Wozu es dient und wo die Grenze liegt

Verwandte Begriffe