
Mit Threat Intelligence Bedrohungen rechtzeitig entdecken
Angreifer werden immer ausgeklügelter und finden neue Wege IT-Sicherheitsmaßnahmen zu umgehen. Nur wer zeitnah über Bedrohungen informiert ist, kann frühzeitig ein effizientes IT-Sicherheitskonzept entwickeln, zielgerichtete Gegenmaßnahmen einleiten und somit Cyberangriffe verhindern. Hier setzt die ConSecur Threat Intelligence Lösung an!
Was ist Threat Intelligence?
Threat Intelligence (TI) dient dazu, Unternehmen effektiv vor den aktuellen Bedrohungen im Bereich der Computerkriminalität zu schützen.
Augenmerk liegt hierbei vor allem auf der Früherkennung von spezifischen Bedrohungen, welche entweder zu neu sind um in den gängigen Sicherheitstools bereits erkannt zu werden (zum Beispiel Zero-Day Angriffe), oder aber spezifisch gegen ein bestimmtes Unternehmen oder eine Branche gerichtet sind (zum Beispiel staatlich finanzierte APT's oder Akteure der Industriespionage).Hierfür werden meist viele unterschiedliche Datenquellen gebündelt, welche Informationen über tagesaktuelle Angriffe bieten.
Was sind Indicators of Compromise (IOCs)?
Unterschiedliche Datenquellen arbeiten meist mit sogenannten Indicators of Compromise (IOC). IOC sind hierbei all jene Attribute, die einem spezifischen Angriff zugeordnet werden können, zum Beispiel bestimmte IP Adressen, Domains, File-Hashes, etc. (All das worauf die Tickets basieren, die unsere Analysten täglich bekommen.) Um sich mit der schieren Anzahl an Indikatoren vertraut zu machen, hier ein Beispiel: Kaspersky hat 2020 ca. 360.000 bösartige Dateien pro Tag erkannt. Jede Datei bietet mehrere Merkmale zur Erkennung, zum Beispiel eine C2 Domain, eine C2 IP, einen Malware Datei-Hash. Das macht pro Tag ca. 1 Mio. potenzieller neuer IOC - alleine von Kaspersky.
Ziel von Threat Intelligence ist es, diese Fülle an Indikatoren zu sammeln und nutzbar zu machen und unter Umständen auch gezielt zu filtern.
Die hierdurch sortierten und gesammelten Informationen können danach auf unterschiedliche Art und Weise an den Kunden gebracht werden. Sei es in Form eines Newsletters oder einer Anbindung bestimmter Sicherheitssysteme (SIEM, Firewall etc.) an einen oder mehrere Threat Intelligence Feeds, anhand derer die Netzwerk-interne Sicherheitsanalyse verbessert werden kann.
Der ConSecur Threat Intelligence Ansatz
ConSecur-intern haben wir eine IOC-Datenbank eingerichtet, in die durch unterschiedliche selbst entwickelte Skripte jeden Tag die neusten IOC aus einer Vielzahl unterschiedlicher Feeds geladen werden. Als zentrale Datensammelstelle nutzen wir hierfür das Tool MISP.
MISP ist eine Open-Source Lösung zum Sammeln, Teilen und Anreichern von IOC. Entwickelt wurde diese in enger Zusammenarbeit mit der NATO und unterschiedlichen CERT's. Besonders zu erwähnen ist hierbei das CIRC Luxembourg (Computer Incident Response Center), das viele der in MISP standardmäßig integrierten IOC – Feeds bereitstellt. MISP ist mittlerweile eine der Standard-Plattformen für Threat Intelligence und als solche nutzen wir diese in unserem Unternehmen. Sie bietet weitreichende Erweiterungsmöglichkeiten und ist unter anderem aufgrund einer einfach zu nutzenden Python API gut modifizierbar und an unsere Bedürfnisse anpassbar.
Die Informationen aus dieser Datenbank werden zunächst unseren Analysten zugänglich gemacht. Hierdurch können wir unsere Analysen generell verbessern, indem wir einen größeren Informationspool haben und die Analysten effektiver nach Informationen zu einem Analyse Ticket suchen können. Außerdem können die Analysten dieses Wissen nutzen, um dem Kunden spezifischer auf die Risken einer erkannten Bedrohung hinzuweisen.
Davon abgesehen werden die Daten unserer Threat Intel Lösung aus unserem MISP täglich direkt über die internen Programmierschnittstellen (API) an die Kunden QRadar Systeme weitergeleitet. Hierdurch wird die Bedrohungserkennung und somit der Schutz der Unternehmen aktiv verbessert.
Außerdem werden wir gezielt Threat Intel von unseren Analysten einfließen lassen, sprich wird in einem Unternehmen ein Threat entdeckt, werden wir gezielt nach weiteren Indikatoren des Angreifers, der Angriffsmethode suchen. So können akute Bedrohungen effizienter und schneller erkannt werden.
Ihre Vorteile mit dem ConSecur Ansatz
- Flexibilität
- bei der Auswahl und Anbindung von Feeds
- bei der Anreicherung und Verknüpfung einzelner IOC zu einem sinnhaft zusammenhängenden Event
- bei der Anbindung von SIEM-Systemen (nicht ausschließlich QRadar)
- Direkte Anbindung an ein SIEM System
- Komplettierung durch gezieltes Threat Research für unsere Kunden
Kurzum: Wir halten Sie mit unserem Security Intelligence Service immer auf dem Laufenden. Unsere erfahrenen IT-Security Analysten überwachen Ihre IT-Infrastruktur, werten Angriffskriterien aus und reichern kritische Informationen an um Ihnen ein umfassendes Bild
Über die aktuelle Bedrohungslage zu verschaffen.
Unser Leistungsangebot
- Wir bieten gebündelte Threat Informationen zu den neusten Bedrohungen.
- Aktualisierung dieser Infos erfolgt mindestens alle 24 Stunden, auf Wunsch sogar öfter.
- Eine gesteigerte Sicherheit zu einem guten Preis
- Aktive (evtl. sogar 24/7) Überwachung der Anbindung an unsere TI Datenbank (müsste man abklären)
- Verwendung von Industriestandard Tools (MISP)
- Aktive Anbindung an QRadar SIEM’s
- Aktive gezielte Suche nach weiteren Indikatoren einer im Netzwerk erkannten Bedrohung
Seien Sie Internetkriminellen immer einen Schritt voraus mit den aktuellen Daten und Analysen zur Bedrohungslage und wie sich
diese auswirken können. Sie möchten die Macht der Threat Intelligence nutzen und Angriffe vorhersehen?
Nehmen Sie Kontakt mit uns auf!