Was ist eine Threat Intelligence Platform (TIP)?

Sammeln, Verwalten und Weitergeben von Bedrohungsdaten.

Zweck einer Threat Intelligence-Plattform

Die heutige Cybersicherheitslandschaft ist durch einige gemeinsame Probleme gekennzeichnet: riesige Datenmengen, ein Mangel an Analysten und immer komplexere Angriffe durch Angreifer. Die aktuellen Sicherheitsinfrastrukturen bieten viele Tools zur Verwaltung dieser Informationen, sind aber kaum miteinander integriert. Dies führt zu einem frustrierenden technischen Aufwand bei der Verwaltung der Systeme und zu einer unvermeidlichen Verschwendung von bereits begrenzten Ressourcen und Zeit.

Um diese Probleme zu bekämpfen, entscheiden sich viele Unternehmen für die Implementierung einer Threat Intelligence Platform (TIP). Threat Intelligence-Plattformen können als SaaS- oder Vor-Ort-Lösung eingesetzt werden, um die Verwaltung von Cyber-Bedrohungsdaten und zugehörigen Elementen wie Akteuren, Kampagnen, Vorfällen, Signaturen, Bulletins und TTPs zu erleichtern. Sie ist durch ihre Fähigkeit definiert, vier Schlüsselfunktionen zu erfüllen:

TIP definiert

Bedrohung

Die Möglichkeit, dass eine andere Partei auf den normalen geplanten Betrieb eines Informationsnetzes zugreift oder diesen stört. Zu den heute üblichen Bedrohungen gehören:

APT
Botnetze
DDOS
Ransomware

Geheimdienst

Kenntnisse über eine Bedrohung, die von menschlichen Analysten gewonnen oder durch Ereignisse innerhalb des Systems identifiziert wurden. Intelligenz ist ein weit gefasster Begriff, aber ein TIP stellt den Analysten bestimmte Arten von Intelligenz zur Verfügung, die automatisiert werden können, darunter:

Technische Kenntnisse über Angriffe, einschließlich Indikatoren
Fertige Intelligenz - das Ergebnis menschlicher Bemühungen, die verfügbaren Informationen auszuwerten und Schlussfolgerungen über die Lage zu ziehen, potenzielle Ergebnisse oder künftige Angriffe vorherzusagen oder die Fähigkeiten des Gegners einzuschätzen
Menschliche Intelligenz - alle von Menschen gesammelten Informationen, z. B. das Lauern in Foren, um verdächtige Aktivitäten zu erkennen

Plattform

Ein Produktpaket, das sich in vorhandene Tools und Produkte integrieren lässt und ein System zur Verwaltung von Bedrohungsdaten bietet, das einen Großteil der Arbeit, die Analysten bisher selbst erledigt haben, automatisiert und vereinfacht.

Aggregation von Daten

Eine Threat Intelligence-Plattform sammelt automatisch Daten aus verschiedenen Quellen und Formaten und gleicht diese ab. Die Aufnahme von Informationen aus einer Vielzahl von Quellen ist eine entscheidende Komponente für eine starke Sicherheitsinfrastruktur. Zu den unterstützten Quellen und Formaten gehören:

Quellen:

Offene Quelle
Von Dritten bezahlt
Regierung
Vertrauenswürdige Austauschgemeinschaften (ISACs)
Intern

Formate:

STIX/TAXII
JSON und XML
E-Mail
CSV, TXT, PDF, Microsoft Word Dokument

Normalisierung und Anreicherung von Daten

Das Sammeln von Daten über eine Vielzahl von Feeds führt dazu, dass täglich Millionen von Indikatoren sortiert werden müssen, was eine effiziente Datenverarbeitung unerlässlich macht. Die Verarbeitung umfasst mehrere Schritte, besteht aber aus drei Hauptelementen: Normalisierung, Entdopplung und Anreicherung der Daten.

Diese Prozesse sind teuer, was den Rechenaufwand, die Zeit der Analysten und die Kosten angeht. Eine Threat Intelligence-Plattform automatisiert diese Prozesse und gibt den Analysten die Möglichkeit, die gesammelten Daten zu analysieren, anstatt sie zu verwalten.

Normalisierung - Konsolidierung von Daten aus verschiedenen Quellen und Formaten
De-Duplizierung - Beseitigung von doppelten Informationen
Anreicherung - Beseitigung von Fehlalarmen, Bewertung von Indikatoren und Hinzufügen von Kontext

Integrationen

Die normalisierten, überprüften und angereicherten Daten müssen dann an Systeme weitergeleitet werden, die sie zur automatischen Durchsetzung und Überwachung verwenden können. Ziel ist es, diesen Technologien eine Art "Cyber-Flugverbotsliste" zur Verfügung zu stellen, ähnlich der Flugverbotsliste, die man an einem Flughafen findet. Auf der Grundlage von Hintergrundwissen sollte der Zugriff auf bestimmte IPs, Domänen usw. innerhalb des Netzwerks nicht erlaubt sein.

Eine Threat Intelligence Platform arbeitet im Hintergrund mit Anbietern von SIEM- und Protokollverwaltungssystemen zusammen und sammelt Indikatoren, die an die Sicherheitslösungen in der Netzwerkinfrastruktur des Kunden weitergeleitet werden. Die Last der Einrichtung und Pflege dieser Integrationen wird daher von den Analysten genommen und stattdessen auf die SIEM- und TIP-Anbieter verlagert.

Mögliche Integrationen von Sicherheitsprodukten umfassen:

SIEM
Endpunkt
Firewall
IPS
API

Analyse und Antwort

Eine Threat Intelligence-Plattform bietet Funktionen, die bei der Analyse potenzieller Bedrohungen und der entsprechenden Schadensbegrenzung helfen. Genauer gesagt, helfen diese Funktionen den Analysten dabei:

Bedrohungen erforschen
Bereitstellung von Untersuchungsabläufen
den breiteren Kontext und die Auswirkungen von Bedrohungen zu verstehen
Informationen teilen

Ein TIP nimmt alle möglichen Daten, Anreicherungen und sonstigen verfügbaren Kontexte auf und zeigt diese Informationen auf eine Weise an, die einen Mehrwert bietet, z. B. in Dashboards, Linealen, Warnungen und Notizen.

Eine Threat Intelligence-Plattform unterstützt die Analysten auch durch die Automatisierung der Recherche- und Erfassungsprozesse, was die Reaktionszeit erheblich verkürzt. Zu den spezifischen Funktionen des Analyse-Teils einer Threat Intelligence-Plattform gehören:

Unterstützung für die Ausweitung von Indikatoren und Forschung
Verfahren zur Eskalation und Reaktion auf Vorfälle
Analytische Arbeitsabläufe
Erstellung von Informationsprodukten und Weitergabe an die Beteiligten