zurück zur Übersicht

One thing to rule them all: Threat Sharing Platforms

Threat Sharing Platforms sind der zentrale Knotenpunkt für die Arbeit mit Threat IntelligenceStolz blicken wir auf unsere Asservatenkammer, die wir so sorgfältig eingerichtet haben. Wir haben für ein strukturiertes Format gesorgt und damit so richtig Ordnung in die Angelegenheiten unseres Netzwerks gebracht. Durch neue Struktur im STIX-Format (Structured Threat Information eXpression) haben wir aus Informationen Intelligence geformt und im letzten Schritt sogar den Blick über unseren persönlichen Gartenzaun hin zu den Nachbarn gewagt – natürlich nur mit deren Einverständnis! Jetzt sitzen wir hier und schauen zu, wie Intelligence in unser Sammelbecken läuft.

Allein, es sind so viele Datensätze, dass wir nicht mehr so recht hinterher kommen. Intelligence veraltet, wird ersetzt oder als False Positive gekennzeichnet. Manche Informationen unserer Mitstreiter wollen wir vielleicht gar nicht und würden sie gern filtern. Andere wollen wir nur in einem bestimmten Ausmaß. Außerdem haben wir noch einige professionelle Feed-Anbieter aufgetan, die uns ständig mit frischen Informationen versorgen, die uns zum Teil gar nicht recht betreffen.

Zusammengefasst: Unser Vorhaben der Informiertheit artet in echte, unangenehme Arbeit aus. Schlimmer noch. In echte, unangenehme Arbeit mit XML-Dateien.

Sammeln, filtern, nutzbar machen

Um diese Arbeit zu erleichtern und in einem wirklich menschenlesbaren Format erledigen zu können, brauchen wir ein neues Werkzeug. Wunderbar wäre eine Tool, mit dem wir die Informationen anzeigen, durchsuchen und anpassen können. Noch besser wäre es, wenn wir das tun könnten, ohne das darunter liegende STIX-Format zu kennen, zu zerstören oder die Daten für unsere Partner unbrauchbar zu machen, die ja genauso wie wir auf der Jagd nach den neuesten Informationen sind. Am allerbesten wäre es, wenn wir die Daten über das Tool auch noch einteilen, kategorisieren und gezielt weiterleiten oder unterdrücken könnten.

Die Rede ist ganz klar von Threat Sharing Platforms. Doch wie sieht so etwas aus? Was können wir davon erwarten? Lohnt sich der Aufwand der Installation und Integration eines weiteren Tools denn überhaupt? Und schließlich die Gretchenfrage: Was wird es uns kosten?

Wertvolles Tagebuch für Analysten

Die gute Nachricht zuerst: Das Produkt selbst muss nichts kosten. Insbesondere für vergleichsweise kleine Installationen gibt es Open-Source-Systeme, die eine ordentliche Bandbreite an Funktionalitäten bieten. Darunter fallen die beiden Zugpferde MISP (Malware Information Sharing Platform) und CRITS (Collaborative Research Into Threats). Kommerzielle Produkte sind häufig eher etwas für größere Konzerne, insbesondere im Bankensektor. Die Kosten für Hardware, Integration, Einrichtung und Wartung dagegen lassen sich natürlich genauso wenig ignorieren wie die Zeit, die in die Einrichtung, Einarbeitung und Nutzung fließt. Bei richtigem Einsatz lohnt sich dann aber doch jede Minute. Die werden schließlich zurückgewonnen, sobald es an die Sichtung der gesammelten Informationen geht.

Die meisten Threat Sharing Platforms bieten dafür eine grafische Benutzeroberfläche (GUI) an, was die langwierige Einarbeitung in XML-Schemata obsolet macht und die Benutzer der Plattform nur noch an grundlegende Informationshygiene bindet. Auch das manuelle Erzeugen neuer Datensätze gerät so nicht mehr zur XML-Qual. Vorsicht ist allerdings geboten, wenn die Plattform neben oder statt STIX ein eigenes Format anbietet. Dann kann aus der Sammlung mühsam zusammengetragener Informationen schnell wieder eine Insel werden, die doch wieder nur mit gleichartigen Systemen kommunizieren kann.

Insbesondere für ein Security Operations Center (SOC) ist eine breite Informationsbasis von unschätzbarem Wert. Mittels der Plattformen können Analysten nach Lust und Laune nach verwandten Informationen stöbern, Beobachtungen und Gegenmaßnahmen dokumentieren und diese einfach in einen Feed einspeisen, der die Informationen direkt in die Threat Sharing Platforms der Partner weiterleitet.

Dokumentation, Anmerkungen, Suchen. Klingt wie ein spezialisiertes, aber irgendwie doch wieder typisches Wiki? Jein.

Threat Sharing Platforms sind ein direkter Draht zur Abwehr

Der Vorteil von Threat Sharing Plattforms gegenüber einem klassischen Wiki ist die Schnittstelle zu den echten Einsatzkräften im Netzwerk. Firewalls und Next-Generation-Antivirus-Agenten können die gesammelte Intelligence in Echtzeit anwenden. So profitiert das gesamte Netzwerk automatisiert von den Erkenntnissen, die in der Threat Sharing Plattform verwaltet werden, während die Informationen gleichzeitig noch bequem von Menschenhand kontrolliert werden können.

Das ist der eigentliche Sprung von unserem detektivischen Archiven und all den Akten, die unsere akribische Recherchen bis zum Bersten gefüllt haben, hin zu aktiver Prävention und zeitnaher Anwendung all unserer Intelligence. Ab hier wird es jetzt erst richtig interessant.

Da wir hier natürlich nicht einfach aufhören können, widmen wir einen unserer nächsten Artikel der Überlegung, wie genau so eine Integration aussehen und welche Tools dafür eingesetzt werden könnten.

 


https://www.it-cube.net/cubespotter/ordnung-in-der-asservatenkammer/

https://www.it-cube.net/cubespotter/threat-information-vs-threat-intelligence/

https://www.it-cube.net/cubespotter/geteiltes-leid-aus-den-attacken-auf-andere-lernen/

http://www.misp-project.org/index.html

https://crits.github.io/

Schreibe einen Kommentar