Cyber Threat Intelligence für Incident Response und Threat Prevention

19. Oktober, 2022

Threat Intelligence: Gamechanger für das Sicherheitsmanagement

Markus Riegler

Markus Riegler, Head of Managed Defense bei IKARUS Security Software

Cyber Threat Intelligence beinhaltet evidenzbasiertes Wissen über bestehende oder aufkommende Gefahren. Angereichert mit Analysen, Mechanismen, Indikatoren, Implikationen und umsetzbaren Ratschlägen liefern die Bedrohungsdaten den notwendigen Kontext, um informierte Entscheidungen zu sicherheitsrelevanten Vorfällen zu treffen.

Threat Intelligence bildet den perfekten Startpunkt für die gezielte Bedrohungsjagd. Sie ermöglicht außerdem die Erstellung von strategischen Lagebildern, aus denen in Folge Maßnahmen zur Cyberprävention und ein optimiertes Risikomanagement abgeleitet werden können. Unersetzlich ist Threat Intelligence im Akutfall, wenn es einerseits um die Früherkennung potenzieller Incidents und andererseits um die gezielte Reaktion auf Cybersicherheitsvorfälle geht.

Markus Riegler, Head of Managed Defense bei IKARUS Security Software, erklärt im Experteninterview, was Threat Intelligence ausmacht und wie sie effizient eingesetzt werden kann:

Was macht den „intelligenten“ Teil der Threat Intelligence aus?

Der Schlüssel liegt im Wort Kontextinformation. Am Beispiel einer IP-Adresse lässt sich das ganz gut beschreiben. Eine einzelne IP-Adresse in einer Liste von Bedrohungsinformationen sagt praktisch gar nichts aus. Zudem kann eine IP-Adresse auch wieder als gutartig eingestuft werden, wenn der Angreifer davon ablässt. Das heißt, man braucht deutlich mehr Information – z.B. in welchen Angriffen diese Adresse gesehen wurde, wie oft, wann zum ersten und wann zum letzten Mal, wo die Angriffe durchgeführt wurden – weltweit, nur in einem Land oder auch nur gegen eine Branche oder ein Unternehmen… Kontext umfasst auch das Wissen, wem die IP-Adresse und damit vielleicht die Angreifer-Infrastruktur zuzuordnen ist. Und vielleicht gibt es bereits historische Daten zu dieser IP-Adresse.

Welchen Unterschied macht dieses Wissen bzw. dieser Kontext in der praktischen Arbeit von Security-Teams?

Den Unterschied macht vor allem das Wissen darüber, welche Bedrohungen mich oder meine Organisation betreffen. Das beginnt bei der konkreten Erstellung von Lagebildern und Risikoanalysen, die auf eine aktuelle Situation einer Organisation anzuwenden sind, und geht bis zur Unterstützung im Incident Response Fall, indem geprüft wird, ob ein gefundenes Artefakt bereits in anderen Fällen angewendet wurde. In allen Fällen erlaubt die Threat Intelligence, zielgerichtete und priorisierte Antworten auf konkrete Fragestellungen zu geben.

Für wen ist Threat Intelligence geeignet? Welche Voraussetzungen sollten erfüllt sein?

Eine Threat Intelligence Plattform (TIP) ist ein Expertensystem, das es verlangt, sich schon im Vorfeld mit Bedrohungsinformationen auseinander zu setzen. Ohne entsprechende Vorkenntnis und Erfahrung im Umgang mit Bedrohungsinformationen ist das Potential einer TIP nicht ausschöpfbar.

Eine TIP ist wie eine Bibliothek, also ein Nachschlagewerk, das ich bedienen kann, um meine eigenen Analysen „Bücher“ zu schreiben. Sie unterstützt also bereits installierte Servicebereiche wie SOC, Incident Response, Threat Hunting, Risikomanagement oder der Bestückung von SIEM Systemen.

Was bringt eine zusätzliche Threat Intelligence, was andere Lösungen wie Antivirus-Technologien, EDR usw. nicht schaffen? 

Viele Defense Technologien bekommen vom jeweiligen Hersteller einen Satz an Bedrohungsinformationen mit. Ein Antivirus-Scanner lebt von seinen Signaturen. Ein NIDS lebt von den passenden Paketregeln. Dies ist jedoch immer vom Sensornetzwerk des Herstellers abhängig, bringt keine Kontextinformationen mit und die vorhandenen Daten sind für die Anwendenden nicht einsehbar.

Threat Intelligence liefert zusätzlichen Input für die Defense Technologien wie EDR, SIEM, NIDS, etc. Es ist aber auch ein unersetzlicher Input im Falle von Incident Response, Threat Hunting oder Threat Landscape.

Wie kann der Einsatz von Threat Intelligence in der Praxis aussehen?

Es wird zum Beispiel von einem Defense System ein Alarm getriggert, der Informationen zu einer möglichen Bedrohung beinhaltet. Diese Daten kann ich mit der Threat Intelligence abgleichen. Gibt es ergänzende Informationen oder Kontext, kann ich schnell ermitteln, mit wem oder was ich es zu tun habe. Aber auch im Falle von SIEM ist es möglich, Bedrohungsinformationen als Input für das SIEM zu nutzen und dort mit bestehenden Log Daten wie z.B. Proxy Logs oder DNS Logs abzugleichen.

Ein gutes Anwendungsbeispiel wäre demnach die Verbindung eines SIEM Systems mit einer Threat Intellligence Plattform: Zu Beginn deklariere ich mit Hilfe von Filtern und Parametern, welche Indikatoren in das SIEM übertragen werden sollen. Diese übertragenen Indikatoren (IPs, Domains, URLs, Files) werden innerhalb des SIEM mit bestehenden Logdaten von Firewalls, Proxies, DNS, DER, etc. abgeglichen. Kommt es zu einem Match, so wird dies als Alert an die TIP retour übertragen. Innerhalb der TIP kann nun das Case Management abgewickelt und, wenn bekannt, das Artefakt mit weiteren Informationen angereichert werden.

Welche Möglichkeiten bietet die IKARUS threat.intelligence.platform und wie unterscheidet sie sich von anderen Lösungen?

Logo IKARUS threat.intelligence.platform

Die IKARUS threat.intelligence.platform liefert Kontext und strukturiertes Wissen zu globalen und lokalen Cyberbedrohungen

Wir bieten unterschiedliche Varianten. Die einfachste ist jene, bei der ein Kunde einen Zugang direkt auf die IKARUS TIP erhält und dort seine eigenen Abfragen und Investigationen starten kann. Es stehen ihm dabei alle Datafeeds innerhalb der IKARUS TIP zur Verfügung.

Die erweiterte Version ist, dass direkt beim Kunden eine eigene Instanz integriert wird, welche durch die IKARUS TIP „betankt“ wird. Das liefert den Vorteil, dass der Kunde eine vollfunktionsfähige Plattform innerhalb seiner Infrastruktur zur Verfügung hat und auch Use Cases wie die Integration in ein SIEM möglich sind. IKARUS unterstützt natürlich den Kunden mit seiner Plattform im Sinne eines Managed Service. Das gesamte Service beinhaltet die Plattform als auch die moderierten Data Feeds.

Einen Sonderfall stellen Air-Gapped-Systeme dar. Auch hier ist eine Anbindung an die IKARUS TIP möglich, indem ein maximal täglicher Datenexport einer Online-Instanz erfolgt und danach ein Import in die air-gapped Instanz erfolgt. Dies ist auch über Datendioden möglich.

IKARUS bietet den Vorteil, internationale Daten mit lokalen europäischen Bedrohungsinformationen anreichern zu können. Die Datenqualität und die Verbindung von Plattform mit Datafeed in einem Service zusammen sind derzeit einzigartig.

Das könnte Sie auch interessieren:

Cyber Threat Intelligence für OT und kritische Infrastrukturen

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download