Cyberkrimimelle teilen Infos über potenzielle Schwachstellen. Unternehmen hingegen sind Einzelkämpfer im Kampf gegen das Aufspüren von Cyberbedrohungen. Auch sie können IT-Security-Wissen teilen und sich einen Vorteil verschaffen – und somit durch Schnelligkeit dem Angreifer einen Schritt voraus sein.
Was ist Cyber Threat Intelligence?
Cyber Threat Intelligence (CTI) ist das Sammeln von Informationen über potenzielle Cyber-bedrohungen. Augenmerk liegt hierbei vor allem auf der Früherkennung von spezifischen Be-drohungen, welche entweder zu neu sind, um in den gängigen Sicherheitstools bereits erkannt zu werden (zum Beispiel Zero-Day Angriffe) oder aber spezifisch gegen ein bestimmtes Unternehmen oder eine Branche gerichtet sind (zum Beispiel staatlich finanzierte APT’s oder Akteure der Industriespionage). Hierfür werden meist viele unterschiedliche Datenquellen gebündelt, welche Informationen über tagesaktuelle Angriffe bieten. Diese sogenannten Indicators of Compromise (IOC) werden dann in Datenbanken gesammelt und von Analysten ausgewertet.
Bedrohungserkennung mittels MISP und IOC Datenbank
Die ConSecur GmbH hat eine IOC-Datenbank mittels des Open-Source Tools MISP entwickelt, in die durch unterschiedliche selbst entwickelte Skripte jeden Tag die neusten Indikatoren aus einer Vielzahl unterschiedlicher Feeds geladen werden. Das gesammelte Wissen ermöglicht es schwerwiegende Bedrohungen zu verstehen und einzuordnen, um frühzeitig zu reagieren.
ConSecur nutzt das in der Datenbank gesammelte Wissen zur Verbesserung ihrer Dienstleistungen. Zum einen werden die gesammelten und nachbearbeiteten Informationen unseren Analysten zugänglich gemacht. Hierdurch können wir unsere Analysen generell verbessern, indem wir einen größeren Informationspool haben und die Analysten effektiver nach Informationen zu einem Analyse Ticket suchen können. So wird aus einer durch ein SIEM erkannten maliziösen Domain in Windeseile eine IP, zusätzliche bekannte Malware Dateien, welche mit der Domain zusammenhängen und im Zweifel sogar eine bekannte Angreifer-Gruppe, die der Malwarekampagne zugeordnet werden kann. Als Folge kann dann der Kunde nicht nur deutlich genauer über die Bedrohung informiert werden, es können auch weitere Methoden entwickelt werden, um das Unternehmen gezielt vor Angriffen des nun erkannten Akteurs zu schützen.
Die Daten der Threat Intelligence Lösung aus dem MISP können täglich direkt über die internen Programmierschnittstellen (API) an die Kunden SIEM-Systeme weitergeleitet werden. Hierdurch wird die Bedrohungserkennung und somit der Schutz der Unternehmen aktiv verbessert. Im Notfall lassen sich so auch interaktiv Bedrohungsindikatoren zu aktuell beim Kunden aufgetretenen Angriffen nachladen, um einen sehr spezifischen Schutz gewährleisten zu können.
Warum MISP als Threat Intelligence Plattform?
MISP ist eine Lösung zum Sammeln, Teilen und Anreichern von IOC und mittlerweile das de-facto Standartprogramm in der Threat Intelligence Industrie. Entwickelt wurde dieses in enger Zusammenarbeit mit der NATO und unterschiedlichen CERT’s. Besonders zu erwähnen ist hier-bei das Computer Incident Response Center Luxembourg (CIRCL), das viele der in MISP standardmäßig integrierten IOC – Feeds bereitstellt. MISP bietet weitreichende Erweiterungsmöglichkeiten und ist unter anderem aufgrund einer einfach zu nutzenden Python-API gut modifizierbar und an unsere Bedürfnisse anpassbar.