Was ist eine Threat Intelligence-Plattform (TIP)? | Anomali

Was ist eine Threat Intelligence-Plattform (TIP)?

Sammeln, Verwalten und Austauschen von Threat Intelligence

Zweck einer Threat Intelligence-Plattform

Die heutigen Cybersicherheitseinrichtungen weisen einige gemeinsame Probleme auf: riesige Datenvolumina, fehlende Analytiker und immer komplexer werdende feindliche Angriffe. Die aktuellen Sicherheitsinfrastrukturen bieten zahlreiche Tools zur Verwaltung dieser Informationen, jedoch wenig Integration zwischen ihnen. Dies bedeutet einen erheblichen Entwicklungsaufwand für die Verwaltung von Systemen und eine unvermeidliche Vergeudung von ohnehin schon begrenzten Ressourcen und Zeit.

Um gegen diese Probleme anzugehen, haben sich viele Unternehmen für die Implementierung einer Threat Intelligence-Plattform (TIP) entschieden. Threat Intelligence-Plattformen können als SaaS oder On-Premise-Lösung bereitgestellt werden, um die Verwaltung von Threat Intelligence und der dazugehörigen Einheiten wie Akteuren, Kampagnen, Vorfälle, Signaturen, Bulletins und TTPs zu erleichtern. Die zeichnet sich durch ihre Fähigkeit zur Durchführung von vier wesentlichen Funktionen aus:

  1. Aggregieren von Informationen aus mehreren Quellen
  2. Pflege, Normalisierung, Anreicherung und Risikobeurteilung von Daten
  3. Integration in bestehende Sicherheitssysteme
  4. Analyse und Weitergabe von Threat Intelligence
78%

sind der Meinung, dass Threat Intelligence für eine starke Sicherheit von großer Wichtigkeit ist

70%

der Unternehmen geben an, dass sie von Threatdaten überflutet werden

TIP-definiert

Bedrohung

Das Potenzial Dritter, die normal geplanten Abläufe eines Informationsnetzwerks zu stören oder darauf zuzugreifen. Zu den aktuellen gängigen Bedrohungen gehören:

Threat Intelligence

Bedrohung, über die menschliche Analytiker in Kenntnis gelangt sind oder die von Ereignissen im System identifiziert wurde. Dies ist ein weiter Begriff, eine TIP bietet Analytikern jedoch spezielle Arten von Threat Intelligence, die automatisiert werden können. Hierzu gehören:

  • Technische Kenntnis über Bedrohungen einschließlich deren Indikatoren
  • Fertiginformationen – das Ergebnis von Menschen, die nach verfügbaren Informationen suchen und zu Schlüssen im Hinblick auf das Situationsbewusstsein kommen und im Anschluss potenzielle Ergebnisse oder künftige Angriffe vorhersagen oder die Fähigkeiten der Gegner einschätzen.
  • Von Menschen stammende Informationen – Informationen, die von Menschen gesammelt werden, beispielsweise indem sie in Foren nach verdächtigen Aktivitäten suchen.

Plattform

Ein abgepacktes Produkt, das sich in bestehende Tools und Produkte integrieren lässt; ein Verwaltungssystem für Threat Intelligence, das eine Menge traditionell von Analytikern erledigte Arbeit automatisiert und vereinfacht.

Threat Intelligence-Plattform

Wer verwendet eine TIP?

Eine Threat Intelligence-Plattform ist für viele Abteilungen in einem Unternehmen nützlich.

Teams von Sicherheitsleitstellen

Diese Teams konzentrieren sich auf ihre täglichen Aufgaben und reagieren auf Bedrohungen, wenn sie auftreten. Eine TIP bietet Automatisierung von Routinetätigkeiten wie Integration, Anreicherung und Bewertung.

Threat Intelligence-Teams

Aufgabe dieser Teams ist es, Vorhersagen basierend auf Verbindungen und Kontextinformationen zwischen Akteuren, Kampagnen usw. zu treffen. Eine TIP bietet ihnen eine Bibliothek mit Informationen, die diesen Prozess vereinfachen.

Management- und Führungsteams

Eine TIP ermöglicht die Verwaltung über eine einzige Plattform, auf der Berichte sowohl auf technischer als auch auf hoher Ebene angezeigt werden können. Auf diese Weise können Daten bei Auftreten von Vorfällen effizient weitergegeben und analysiert werden.

Datenaggregation

Eine Threat Intelligence-Plattform sammelt automatisch Daten aus verschiedenen Quellen in verschiedenen Formaten und gleicht sie miteinander ab. Die Aufzeichnung von Informationen aus vielen verschiedenen Quellen stellt eine überaus wichtige Komponente für eine starke Sicherheitsinfrastruktur dar. Folgende Quellen und Formate werden unterstützt:

Quellen:

  • Open Source
  • Bezahlte Informationen von Dritten
  • Regierung
  • Vertrauenswürdige Austausch-Communities (ISACs)
  • Interne Quellen

Formate:

  • STIX/TAXII
  • JSON und XML
  • E-Mail
  • .csv, .txt, PDF, Word-Dokumente
Aggregierung von Threat Intelligence

Normalisierung und Anreicherung von Daten

Die Sammlung von Daten aus vielen verschiedenen Feeds führt zu Millionen von Indikatoren, die täglich durchgegangen werden müssen, daher ist eine effiziente Datenverarbeitung unerlässlich. Die Verarbeitung erfolgt in mehreren Schritten, besteht jedoch im wesentlichen aus drei Hauptelementen: Normalisierung, Deduplizierung und Anreicherung von Daten.

Diese gestalten sich kostspielig im Hinblick auf Hardware und Software, Analytikern und Geld. Eine Threat Intelligence-Plattform automatisiert Prozesse, was bedeutet, dass Analytiker sich auf Analysen konzentrieren können anstatt sich mit der Verwaltung gesammelter Daten befassen zu müssen.

  • Normalisierung – Konsolidierung von Daten in verschiedenen Quellformaten
  • Deduplizierung – Entfernung von doppelten Informationen
  • Anreicherung – Entfernung von Falschmeldungen, Bewertung von Indikatoren und Hinzufügen von Kontext
Threat Intelligence-Plattform

Integration

Normalisierte, geprüfte und angereicherte Daten müssen anschließend an Systeme weitergeleitet werden, die sie zur automatisierten Durchsetzung und Überwachung nutzen können. Der Zweck besteht darin, diese Technologien mit eine Art „Cyber-Flugverbotsliste“ auszustatten, ganz ähnlich wie jene Flugverbotslisten, die man am Flughafen findet. Entsprechend dem Hintergrundwissen sollten bestimmte IPs, Domänen u. Ä. nicht im Netzwerk zugelassen werden und es sollte nicht auf sie zugegriffen werden.

Eine Threat Intelligence-Plattform arbeitet hinter den Kulissen mit SIEM- und Protokollmanagement-Systemanbietern zusammen und macht Indikatoren ausfindig, die innerhalb der Netzwerkinfrastruktur des Kunden an die Sicherheitslösungen weitergeleitet werden. Somit brauchen sich Analytiker nicht mehr mit Aufbau und Pflege dieser Integrationen zu beschäftigen, denn dies wird von den SIEM- und TIP- Anbietern übernommen.

Zu den möglichen Integrationen von Sicherheitsprodukten gehören:

  • SIEM
  • Endpoint
  • Firewall
  • IPS
  • API
Integration von Threat Intelligence

Analyse und Reaktion

Eine Threat Intelligence-Plattform stellt Funktionen bereit, die bei der Analyse von potentiellen Bedrohungen und deren anschließender Entschärfung helfen. Genauer gesagt helfen diese Funktionen Analytikern bei folgenden Aktivitäten:

  • Erforschung von Bedrohungen
  • Bereitstellung von Untersuchungs-Workflows
  • Verständnis des Zusammenhangs und der Auswirkungen von Bedrohungen
  • Austausch von Informationen

Eine TIP sammelt alle möglichen Daten, Anreicherungen und anderen verfügbaren Kontext und zeigt sie so an, dass sie einen Wert darstellen, beispielsweise in Dashboards, Linealen, Alarmen und Notizen.

Eine Threat Intelligence-Plattform unterstützt Analytiker außerdem, indem sie die Recherche- und Sammlungsprozesse automatisiert und die Reaktionszeit somit drastisch reduziert. Zu den speziellen Funktionen des Analyseteils einer Threat Intelligence-Plattform gehören:

  • Unterstützung für Indikatorenerweiterung und Recherche
  • Weiterleitung von Vorfällen und Reaktionsprozesse
  • Analytiker-Workflow-Prozesse
  • Erschaffung von Produkten rund um Threat Intelligence und deren Weitergabe an Interessenvertreter