Bessere Analyse und besserer Umgang mit BedrohungsberichtenThreat Intelligence wird zur Quellenfrage

28. Juni 2021

Die meisten Unternehmen verfügen über mehr Threat Intelligence, als sie verarbeiten können. Die Daten stammen aus einer Vielzahl von Quellen – aus kommerziellen, Open-Source- und Regierungsquellen sowie von Branchenverbänden und Sicherheitsanbietern. Wie lässt sich dabei der Überblick behalten?

Da die Unternehmen täglich Millionen von Bedrohungsdaten erhalten, ist es fast unmöglich, den vollen Wert der Daten Dritter auszuschöpfen. Hilfe und Tipps dazu, wie die Herausforderungen im Umgang mit Threat Intelligence gemeistert werden können, gab es in einem CyberSocial-Webcast der Branchenexperten David Grout, CTO EMEA bei FireEye, und Yann Le Borgne, International Vice President für Threat Intelligence Engineering bei ThreatQuotient Europe.

Anhand von Bedrohungsberichten als Beispiel für eine Art von veröffentlichten Bedrohungsinformationen gehen sie auf die Ergebnisse von Echtzeitumfragen ein und geben Ratschläge, wie man einen Bedrohungsbericht analysieren und umsetzbar machen kann. Die folgenden Tipps helfen den geplagten Security-Verantwortlichen weiter:

Die Auswahl der richtigen Quellen für Bedrohungsdaten für das Unternehmen

Bei einer Befragung gaben die Teilnehmer an, eine ausgewogene Kombination von Quellen für Threat Intelligence zu verwenden. Dabei sind sie zwar bereits auf dem richtigen Weg, jedoch ist es auch wichtig, die richtigen Quellen für das Unternehmen zu identifizieren und Bedrohungsberichte aus mehreren verschiedenen Quellen zu sammeln, da sie unterschiedliche Inhaltsebenen bieten – strategisch, operativ und taktisch. Es gilt, das „Wer“, „Was“ und „Wann“ für den Verbrauch herauszufinden und dies als Erfolgsmaßstab für die Akquisition zu verwenden.

Zudem nutzen die meisten Organisationen Open-Source-Intelligence (OSINT) ausgiebig, da sie kostenlos und leicht zugänglich ist. Organisationen müssen jedoch auch das Vertrauen und die Zuverlässigkeit der Quellen berücksichtigen. In einer klassischen Hierarchie kommt die höchste Vertrauensebene von den Daten, die man selbst generiert und von seinem engen Netzwerk und Kollegen erhält, und OSINT-Informationen sind auf der niedrigsten Ebene angesiedelt. Es empfiehlt sich die Verwendung von Vertrauensmodellen wie dem Admiralty-System oder dem NATO-System, das Informationen von A bis F für Zuverlässigkeit und von 1 bis 6 für Glaubwürdigkeit klassifiziert, insbesondere für neue Quellen, die in Zeiten von Krisen oder Ausbrüchen auftauchen. Die Anwendung dieser Skala auf Bedrohungsinformationen hilft bei der Entscheidung, was mit den Daten zu tun ist, und reduziert Fehlalarme und Rauschen, das durch nicht validierte und unbestätigte Daten entsteht.

Festlegen, wer die Daten erhalten soll

Die nächste Frage beantworteten 25 Prozent der Befragten damit, dass alle Gruppen Zugang zu allen Quellen von Threat Intelligence haben. Es ist zwar gut, einem breiten Publikum Zugang zu gewähren. Jedoch ist es wahrscheinlich noch besser, ein Team zu haben, das für die Beschaffung und Analyse von Bedrohungsberichten verantwortlich ist und nur Informationen liefert, die umsetzbar sind. Nicht jeder Stakeholder benötigt jede Datenebene.

Ein und derselbe Bericht kann sich auf unterschiedliche Art und Weise auf die Teams einer Organisation auswirken und von ihnen genutzt werden. Verschiedene Teams können verschiedene Aspekte desselben Berichts auf unterschiedliche Weise nutzen, um ihre gewünschten Ergebnisse zu erzielen, z. B. die Änderung von Richtlinien (strategisch), das Starten von Threat Hunting-Kampagnen (operativ) oder die Verbreitung von technischen Indikatoren (taktisch). Ein Bedrohungsbericht im PDF-Format erfordert viel Arbeit, um die darin enthaltenen Informationen in umsetzbare Daten für verschiedene Benutzergruppen zu übersetzen, weshalb es wichtig ist, dass ein spezielles Team die Daten erfasst.

Strukturieren der Daten für eine Analyse

Die drei Schritte für die Analyse umfassen Folgendes: Verstehen des Kontextes des Berichts, die Relevanz des Berichts und das In-Beziehung-Setzen des Berichts zu allen früheren Berichten, Informationen und Vorfällen. Dieser Prozess ermöglicht eine Kontextualisierung und Priorisierung von Informationen, erfordert aber eine einheitliche Strukturierung der Daten.

Bedrohungsdaten liegen in verschiedenen Formaten vor (z. B. STIX, MITRE ATT&CK-Techniken, Nachrichtenartikel, Blogs, Tweets, Berichte der Sicherheitsbranche, Kompromittierungsindikatoren (Indicators of Compromise, IoCs) aus Bedrohungsfeeds, GitHub-Repositories, Yara-Regeln und Snort-Signaturen) und müssen normalisiert werden. Die gesammelten Informationen, z. B. im Ryuk-Bericht, werden mit ihrem eigenen Vokabular ausgedrückt und die Übersetzung in ein maschinenlesbares Format ist notwendig, um sie mit anderen verwandten Berichten und Informationsquellen zu verknüpfen.

Es geht jedoch nicht nur um das Format. Die Menge an Informationen in der Bedrohungsdatenlandschaft ist groß und verschiedene Gruppen verwenden unterschiedliche Namen, um sich auf dieselbe Sache zu beziehen. Die Normalisierung gleicht dies aus und ermöglicht es, Informationen schnell zu aggregieren und zu organisieren. Die Strukturierung von Daten, um Prioritäten setzen zu können, ist kritisch bei der Alert Triage und stellt sicher, dass sich auf die wichtigsten Bedrohungen konzentriert wird.

Hilfreichen Tools für die Analyse nutzen

Die verwendeten Tools müssen das gewünschte Ergebnis unterstützen. Laut der Umfrage verwenden 67 Prozent der Teilnehmer technische Ingestion (SIEM), was darauf hindeutet, dass die gewünschten Ergebnisse eher technischer Natur sind. Unter den Teilnehmern handhaben 15 Prozent den Erfassungs- und Analyseprozess immer noch manuell. Das ist eine ziemliche Herausforderung, besonders während einer großen Veranstaltung. Eine Threat Intelligence-Plattform (TIP) leistet gute Arbeit bei der Extraktion von Kontext und kann helfen, die Informationen auf verschiedene Weise für unterschiedliche Anwendungsfälle (z. B. Alert Triage, Threat Hunting, Spear Phishing, Incident Response) und zur Unterstützung unterschiedlicher Ergebnisse zu nutzen.

Es ist auch wichtig, dass das gewählte Tool gut mit Frameworks wie MITRE ATT&CK zusammenarbeitet. MITRE ist das am häufigsten verwendete Framework, um den Analyseprozess zu organisieren. Kunden identifizieren ihre Daten, die am meisten geschützt werden müssen, und nutzen MITRE, um zu verstehen, welche Gegner sie angreifen könnten, auf welche Taktiken, Techniken und Prozeduren (TTPs) sie sich konzentrieren sollten und welche Maßnahmen zu ergreifen sind.

Auswählen der richtigen Tools, um Daten verwertbar zu machen

Die Analyse ermöglicht eine Priorisierung, sodass die entsprechenden Maßnahmen festgelegt werden können. Es gibt eine Vielzahl von Tools, die dabei helfen, Bedrohungsberichte und andere Elemente des Threat Intelligence-Programms umsetzbar zu machen und die gewünschten Ergebnisse auf strategischer Ebene (Berichtswesen für Führungskräfte), operativer Ebene (Änderungen der Sicherheitslage) und taktischer Ebene (Aktualisierung von Regeln und Signaturen) zu erzielen.

Bei der letzten Frage gaben 45 Prozent der Befragten an, dass sie eine TIP verwenden, um die Daten für die Erkennung und den Schutz nutzbar zu machen, aber nur wenige verwenden eine solche Plattform für die Forensik. Dies ist eine verpasste Gelegenheit und ein Potential, das Teams mit zunehmenden Fähigkeiten ausnutzen sollten. Aus forensischer Sicht ist MITRE ein wichtiges Tool, um die Analyse vergangener Vorfälle zu ermöglichen, damit Unternehmen daraus lernen und sich verbessern können.

Abschließend ist zu empfehlen, dass vor einem Nachdenken über Threat Intelligence-Quellen, -Analysen und -Maßnahmen die gewünschten Ergebnisse und Leistungen für jede der Komponenten verstanden werden müssen. Dieser Prozess beginnt in der Regel auf der taktischen Ebene und entwickelt sich mit zunehmender Reife weiter, um operative und strategische Informationen einzubeziehen, die einen zusätzlichen Mehrwert bieten.

Wenn sie in der richtigen Weise mit jedem Teil der Organisation geteilt werden, werden die wichtigsten Stakeholder Threat Intelligence als den Business Enabler sehen, der sie ist. In der Folge wird das Threat Intelligence-Programm die nötige Unterstützung und das Budget erhalten, um zu wachsen. (rhh)

FireEye

Lesen Sie auch