Was ist eine Threat Intelligence Platform (TIP)?
Sammeln, Verwalten und Austausch von Threat Intelligence
Zweck einer Threat Intelligence Platform
Die heutige Cybersicherheitslandschaft ist durch einige gemeinsame Probleme gekennzeichnet – erhebliche Datenmengen, Mangel an Analysten und zunehmend komplexe gegnerische Angriffe. Die aktuellen Sicherheitsinfrastrukturen bieten viele Tools zur Verwaltung dieser Informationen, aber nur wenig Integration zwischen ihnen. Dies bedeutet eine frustrierende Menge an technischem Aufwand für die Verwaltung von Systemen und eine unvermeidliche Verschwendung ohnehin begrenzter Ressourcen und Zeit.
Um diese Probleme zu bekämpfen, entscheiden sich viele Unternehmen für die Einführung einer Threat Intelligence Platform (TIP). Diese TIPs können als SaaS- oder On-Premise-Lösung eingesetzt werden, um die Verwaltung von Cyber Threat Intelligence und zugehörigen Einheiten wie Akteuren, Kampagnen, Vorfällen, Signaturen, Bulletins und TTPs zu erleichtern. Sie werden durch ihre Fähigkeit definiert, vier Hauptfunktionen auszuführen:
- Aggregation von Informationen aus mehreren Quellen
- Anpassung, Normalisierung, Anreicherung und Risikobewertung von Daten
- Integration in vorhandene Sicherheitssysteme
- Analyse und Austausch von Threat Intelligence
SIND DER AUFFASSUNG, DASS THREAT INTELLIGENCE WESENTLICH IST, UM EINEN STARKEN SICHERHEITSSTATUS ZU ERLANGEN
DER ORGANISATIONEN GEBEN AN, DASS SIE VON CYBERBEDROHUNGS-DATEN ÜBERSCHWEMMT WERDEN
TIP – Definition
Threat (Bedrohung)
Die Möglichkeit, dass Dritte auf die normalen geplanten Vorgänge eines Informationsnetzwerks zugreifen oder diese stören. Zu den häufigsten Bedrohungen zählen:
Intelligence
Kenntnisse über eine Bedrohung, die von menschlichen Analysten gewonnen oder durch Ereignisse innerhalb des Systems ermittelt wurden. Intelligence ist ein weit gefasster Begriff. Eine TIP hingegen stellt Analysten bestimmte Arten von Intelligence zur Verfügung, die automatisiert werden können, darunter:
- Technisches Wissen über Angriffe, einschließlich Indikatoren
- Finished Intelligence: Der Output von Fachleuten, die sich verfügbare Informationen ansehen und Schlussfolgerungen über die Ausgangslage ziehen, mögliche Ergebnisse oder zukünftige Angriffe vorhersagen oder die Fähigkeiten des Gegners einschätzen
- Human Intelligence: Alle von Menschen gesammelten Informationen, z. B. in Foren, um nach verdächtigen Aktivitäten zu suchen
Plattform
Ein Lösungspaket, das sich in vorhandene Tools und Produkte integrieren lässt und ein System zur Verwaltung von Threat Intelligence bietet, das einen Großteil der Arbeit, die bisher von Analysten durchgeführt wurde, automatisiert und vereinfacht.
Wer verwendet eine TIP?
Eine Threat Intelligence Platform ist für viele Parteien innerhalb einer Organisation nützlich.
SOC-Teams (Security Operations Center)
Diese Teams konzentrieren sich auf die alltäglichen betrieblichen Aufgaben und reagieren auf Bedrohungen, sobald sie auftreten. Eine TIP bietet Automatisierung für Routineaktivitäten wie Integrationen, Anreicherung und Scoring.
Threat Intelligence-Teams
Diese Teams versuchen, Vorhersagen auf der Grundlage von Zuordnungen und Kontextinformationen zwischen Akteuren, Kampagnen usw. zu treffen. Eine TIP stellt ihnen eine „Bibliothek“ mit Informationen zur Verfügung, die diesen Prozess vereinfacht und rationalisiert.
Management- und Führungsteams
Eine TIP bietet dem Management eine einzige Plattform, über die Berichte sowohl auf technischer als auch auf allgemeiner Ebene angezeigt werden können. Dadurch können sie Daten effektiv gemeinsam nutzen und analysieren, wenn Vorfälle auftreten.
Datenaggregation
Eine Threat Intelligence Platform erfasst Daten aus verschiedenen Quellen und Formaten und gleicht diese automatisch ab. Die Erfassung von Informationen aus einer Vielzahl von Quellen ist eine wesentliche Komponente für eine starke Sicherheitsinfrastruktur Folgende Quellen und Formate werden unterstützt:
Quellen:
- Open Source
- Zahlungspflichtige Drittanbieterinhalte
- Regierung
- Vertrauenswürdige Austausch-Communitys (ISACs)
- Intern
Formate:
- STIX/TAXII
- JSON und XML
- .csv, .txt, PDF, Word-Dokument
Normalisierung und Anreicherung von Daten
Die Erfassung von Daten über eine Vielzahl von Feeds hinweg führt zu Millionen von Indikatoren, die es pro Tag zu sichten gilt, weshalb eine effiziente Verarbeitung von Daten unerlässlich ist. Die Verarbeitung umfasst mehrere Schritte, besteht jedoch aus drei Hauptelementen: Normalisierung, Deduplizierung und Anreicherung von Daten.
Diese sind in Bezug auf Rechenanstrengung sowie Zeit und Geld für Analysten aufwändig. Eine Threat Intelligence Platform automatisiert diese Prozesse, sodass Analysten die erfassten Daten analysieren können, statt sie nur zu verwalten.
- Normalisierung: Konsolidierung von Daten in verschiedenen Quellformaten
- Deduplizierung: Entfernung doppelter Informationen
- Anreicherung: Entfernung von Fehlalarmen, Bewertung von Indikatoren und Hinzufügen von Kontext
Integrationen
Daten, die normalisiert, geprüft und angereichert wurden, müssen dann an Systeme übermittelt werden, die sie für die automatisierte Durchsetzung und Überwachung verwenden können. Damit soll diese Technologien eine Art „Cyber-No-Fly-Liste“ bereitgestellt werden, ähnlich einer Flugverbotsliste (No-Fly-Liste), wie sie im Flugverkehr zu finden ist. Basierend auf Hintergrundwissen sollten bestimmte IPs, Domänen und weitere Daten innerhalb des Netzwerks nicht aufgerufen oder zugelassen werden.
Eine Threat Intelligence Platform arbeitet im Hintergrund mit Anbietern von SIEM- und Logmanagementsystemen zusammen und nutzt Indikatoren, um Sicherheitslösungen innerhalb der Netzwerkinfrastruktur des Kunden umzusetzen. Analysten müssen diese Integrationen dann nicht mehr einrichten und verwalten. Dies wird stattdessen an die SIEM- und TIP-Anbieter ausgelagert.
Zu den möglichen Integrationen von Sicherheitsprodukten gehören:
- SIEM
- Endpoint
- Firewall
- IPS
- API
Analyse und Reaktion
Eine Threat Intelligence Platform bietet Funktionen, die bei der Analyse potenzieller Bedrohungen und der entsprechenden Eindämmung helfen. Diese Funktionen unterstützen Analysten insbesondere bei Folgendem:
- Erkennung von Bedrohungen
- Bereitstellung von Analyse-Workflows
- Verstehen des breiteren Kontexts und der Auswirkungen von Bedrohungen
- Austausch von Informationen
Eine TIP berücksichtigt alle möglichen Daten, Anreicherungen und anderen verfügbaren Kontexte und zeigt diese Informationen in einer nutzbaren Weise an, z. B. in Dashboards, Regeln, Warnungen und Notizen.
Eine Threat Intelligence Platform unterstützt Analysten auch durch die Automatisierung der Recherche- und Erfassungsprozesse, was die Reaktionszeit erheblich verkürzt. Einige spezifische Funktionen des Analyseteils einer Threat Intelligence Platform umfassen:
- Unterstützung von Indikatoranreicherung und Recherche
- Vorfalleskalations- und Reaktionsprozesse
- Analysten-Workflow-Prozesse
- Erstellung von Intelligence-Produkten und Austausch mit Stakeholdern
