zurück zur Übersicht

Aufklärung auf dem Cyber-Schlachtfeld

Threat Intelligence hilft, Bedrohungen gezielt abzufangenDer Ansatz von Threat Intelligence (TI) erscheint einleuchtend: Wenn die Gefahrenquellen im Internet – “The Known Bad“ – bekannt sind, ist es möglich die Kommunikation mit diesen zu stoppen oder sogar im Vorfeld zu vermeiden. Damit könnten sich Organisationen und Internetnutzer einen zeitlichen Vorsprung gegenüber Angriffen und Bedrohungen verschaffen und ihr Sicherheitsniveau nachhaltig steigern. Dieser Artikel gibt einen Einblick in das Thema Threat Intelligence und wie durch einen kombinierten Einsatz von TI-Feeds mit entsprechenden Technologien ein Mehrwert gewonnen werden kann.

Threat Intelligence

Als Threat Intelligence werden in der IT-Security Informationen bezeichnet, die durch Auswertung, Verdichtung und Korrelation von sicherheitsrelevanten Daten aus verlässlichen Quellen gewonnen werden. Bezugsquellen für die zugrundeliegenden Rohdaten sind unter anderem:

  • Disassembling oder das Ausführen von Malware in einer Sandbox,
  • Honeypots und die nachfolgende Analyse der Angreiferdaten oder,
  • Logdaten von Firewalls/IPS-Systemen.

Damit diese Daten als Threat Intelligence verwendet werden können, werden die gesammelten Informationen miteinander verknüpft, bewertet und mit einem Risk- und Confidence-Score versehen. Diese beiden Werte sind essentielle Bestandteile eines TI-Datensatzes und für die Bewertung eines bösartigen Systems extrem wichtig. Nur durch sie kann eine Abschätzung der von ihm ausgehenden Gefährdung vorgenommen werden. Unter der Berücksichtigung der Zuverlässigkeit der TI-Information können dann Gegenmaßnahmen abgeleitet und ergriffen werden.

Wissensvorsprung durch TI-Feed Integration

Durch die Integration von Threat Intelligence in Form von Feeds in ein Security Information and Event Management System (SIEM) kann ein enormer Wissensvorsprung zur proaktiven Erkennung von Angriffen geschaffen werden. Im SIEM-System werden üblicherweise alle sicherheitsrelevanten Logs und Events korreliert. Die Integration eines TI-Feeds bietet die Möglichkeit, diese Events im SIEM mit den Informationen der Threat Intelligence zu kombinieren und entsprechende Alarme zu erzeugen, wenn Kommunikation mit bekannten bösartigen Systemen festgestellt wird.

In einer weiteren Ausbaustufe können diese Informationen dazu benutzt werden, automatisiert Gegenmaßnahmen zu ergreifen, wenn entsprechende Schnittstellen bereitgestellt werden. Zum Beispiel kann die Kommunikation mit einem Botnetz durch die Firewall unterbunden werden, indem über einen API-Request die entsprechende IP-Adresse in eine Black-List aufgenommen wird.

Auch unbekannte Malware lässt sich durch die Integration von TI-Feeds bereits vor einem Ausbruch erkennen, wenn diese mit bereits bekannten Command & Control Servern kommuniziert. Diese Strategie wird bereits erfolgreich angewendet bei den aktuellen Ausbreitungswellen der Ransomware „Locky“. Die Adressen der Command & Control Server wurden identifiziert und konnten den Abonnementen von Threat Intelligence Feeds zur Verfügung gestellt werden.

Threat Intelligence Plattform

Aber warum sich auf eine Quelle, einen TI-Feed verlassen? Threat Intelligence Plattformen bieten die Möglichkeit, die Informationen aus mehreren TI-Feeds zu verwalten und sie miteinander zu verknüpfen. Diese Systeme werden eingesetzt, um Daten über Angriffe oder Bedrohungen in Echtzeit aus den verschiedensten Quellen zu sammeln. Die gesammelten Daten werden ausgewertet und in konsolidierter Form zur Verfügung gestellt.

Durch die Möglichkeit, auf diverse Datenbestände und Datenquellen über eine Schnittstelle zuzugreifen, eröffnen sich völlig neue Möglichkeiten, diese in die Analyse und Behandlung von Security Incidents einzubeziehen.

Integrationsmöglichkeiten

Durch die Schaffung von Schnittstellen zwischen SIEM-System und Threat-Intelligence-Plattform wird die Basis für eine schnelle Angriffsanalyse und Abwehr geschaffen. Bestehende Systeme können durch die Integration von TI-Feeds mit zusätzlichen Informationen angereichert werden, was deren Funktionsumfang und Zuverlässigkeit erhöht.

Die Integration kann in verschiedenste Systeme erfolgen:

  • Firewalls,
  • IPS/IDS-Systeme,
  • Mail-Gateways,
  • URL-Filter,
  • Web Proxies,
  • Endpoint Security und System Management Systeme.

Außerdem können TI-Feeds zur Unterstützung der Analysten in einem Security Operation Center (SOC) dienen.

Das Thema TI und deren Potential für die Sicherheitsstrategie Ihres Unternehmens wird uns die nächsten Monate noch in einigen weiteren Artikeln beschäftigen. Folgen Sie uns also einfach für weitere spannende Aspekte!

Hier gehts zum Teil 2 der Serie (Threat Information vs. Threat Intelligence)
Hier gehts zum Teil 3 der Serie (Ordnung in der Asservatenkammer)
Hier gehts zum Teil 4 der Serie (Aus den Attacken auf andere lernen)
Hier gehts zum Teil 5 der Serie (Threat Sharing Platforms)


https://www.it-cube.net/de/it-security-portfolio/security-intelligence/threat-intelligence/

 

Bild: ©iT-CUBE SYSTEMS AG 2016

 

Schreibe einen Kommentar