Sammeln, Verwalten und Austauschen von Threat Intelligence
Die heutigen Cybersicherheitseinrichtungen weisen einige gemeinsame Probleme auf: riesige Datenvolumina, fehlende Analytiker und immer komplexer werdende feindliche Angriffe. Die aktuellen Sicherheitsinfrastrukturen bieten zahlreiche Tools zur Verwaltung dieser Informationen, jedoch wenig Integration zwischen ihnen. Dies bedeutet einen erheblichen Entwicklungsaufwand für die Verwaltung von Systemen und eine unvermeidliche Vergeudung von ohnehin schon begrenzten Ressourcen und Zeit.
Um gegen diese Probleme anzugehen, haben sich viele Unternehmen für die Implementierung einer Threat Intelligence-Plattform (TIP) entschieden. Threat Intelligence-Plattformen können als SaaS oder On-Premise-Lösung bereitgestellt werden, um die Verwaltung von Threat Intelligence und der dazugehörigen Einheiten wie Akteuren, Kampagnen, Vorfälle, Signaturen, Bulletins und TTPs zu erleichtern. Die zeichnet sich durch ihre Fähigkeit zur Durchführung von vier wesentlichen Funktionen aus:
Das Potenzial Dritter, die normal geplanten Abläufe eines Informationsnetzwerks zu stören oder darauf zuzugreifen. Zu den aktuellen gängigen Bedrohungen gehören:
Bedrohung, über die menschliche Analytiker in Kenntnis gelangt sind oder die von Ereignissen im System identifiziert wurde. Dies ist ein weiter Begriff, eine TIP bietet Analytikern jedoch spezielle Arten von Threat Intelligence, die automatisiert werden können. Hierzu gehören:
Ein abgepacktes Produkt, das sich in bestehende Tools und Produkte integrieren lässt; ein Verwaltungssystem für Threat Intelligence, das eine Menge traditionell von Analytikern erledigte Arbeit automatisiert und vereinfacht.
Eine Threat Intelligence-Plattform ist für viele Abteilungen in einem Unternehmen nützlich.
Diese Teams konzentrieren sich auf ihre täglichen Aufgaben und reagieren auf Bedrohungen, wenn sie auftreten. Eine TIP bietet Automatisierung von Routinetätigkeiten wie Integration, Anreicherung und Bewertung.
Aufgabe dieser Teams ist es, Vorhersagen basierend auf Verbindungen und Kontextinformationen zwischen Akteuren, Kampagnen usw. zu treffen. Eine TIP bietet ihnen eine Bibliothek mit Informationen, die diesen Prozess vereinfachen.
Eine TIP ermöglicht die Verwaltung über eine einzige Plattform, auf der Berichte sowohl auf technischer als auch auf hoher Ebene angezeigt werden können. Auf diese Weise können Daten bei Auftreten von Vorfällen effizient weitergegeben und analysiert werden.
Eine Threat Intelligence-Plattform sammelt automatisch Daten aus verschiedenen Quellen in verschiedenen Formaten und gleicht sie miteinander ab. Die Aufzeichnung von Informationen aus vielen verschiedenen Quellen stellt eine überaus wichtige Komponente für eine starke Sicherheitsinfrastruktur dar. Folgende Quellen und Formate werden unterstützt:
Quellen:
Formate:
Die Sammlung von Daten aus vielen verschiedenen Feeds führt zu Millionen von Indikatoren, die täglich durchgegangen werden müssen, daher ist eine effiziente Datenverarbeitung unerlässlich. Die Verarbeitung erfolgt in mehreren Schritten, besteht jedoch im wesentlichen aus drei Hauptelementen: Normalisierung, Deduplizierung und Anreicherung von Daten.
Diese gestalten sich kostspielig im Hinblick auf Hardware und Software, Analytikern und Geld. Eine Threat Intelligence-Plattform automatisiert Prozesse, was bedeutet, dass Analytiker sich auf Analysen konzentrieren können anstatt sich mit der Verwaltung gesammelter Daten befassen zu müssen.
Normalisierte, geprüfte und angereicherte Daten müssen anschließend an Systeme weitergeleitet werden, die sie zur automatisierten Durchsetzung und Überwachung nutzen können. Der Zweck besteht darin, diese Technologien mit eine Art „Cyber-Flugverbotsliste“ auszustatten, ganz ähnlich wie jene Flugverbotslisten, die man am Flughafen findet. Entsprechend dem Hintergrundwissen sollten bestimmte IPs, Domänen u. Ä. nicht im Netzwerk zugelassen werden und es sollte nicht auf sie zugegriffen werden.
Eine Threat Intelligence-Plattform arbeitet hinter den Kulissen mit SIEM- und Protokollmanagement-Systemanbietern zusammen und macht Indikatoren ausfindig, die innerhalb der Netzwerkinfrastruktur des Kunden an die Sicherheitslösungen weitergeleitet werden. Somit brauchen sich Analytiker nicht mehr mit Aufbau und Pflege dieser Integrationen zu beschäftigen, denn dies wird von den SIEM- und TIP- Anbietern übernommen.
Zu den möglichen Integrationen von Sicherheitsprodukten gehören:
Eine Threat Intelligence-Plattform stellt Funktionen bereit, die bei der Analyse von potentiellen Bedrohungen und deren anschließender Entschärfung helfen. Genauer gesagt helfen diese Funktionen Analytikern bei folgenden Aktivitäten:
Eine TIP sammelt alle möglichen Daten, Anreicherungen und anderen verfügbaren Kontext und zeigt sie so an, dass sie einen Wert darstellen, beispielsweise in Dashboards, Linealen, Alarmen und Notizen.
Eine Threat Intelligence-Plattform unterstützt Analytiker außerdem, indem sie die Recherche- und Sammlungsprozesse automatisiert und die Reaktionszeit somit drastisch reduziert. Zu den speziellen Funktionen des Analyseteils einer Threat Intelligence-Plattform gehören: