Threat Intelligence

Advanced Threat Intelligence

Threat Intelligence (TI) ist beweisbasiertes Wissen über eine existierende bzw. aufkommende Bedrohung oder Risiko, welches genutzt wird um fundierte Entscheidungen über die Reaktion auf diese Bedrohung zu treffen.

Zum TI-Wissen zählen vor allem Kontext, Mechanismen, Indikatoren, Implikationen und Handlungsempfehlungen gegen die Bedrohung. Dienste die diese Informationen zur Verfügung stellen werden als Threat Intelligence Service oder schlicht als Feeds bezeichnet. Das Grundprinzip ist gleich, weltweit werden Daten über Bedrohungen und Angriffe gesammelt und ausgewertet. Als Quellen kommen dabei zum einen Honeypots, Sinkholes etc. zum Einsatz und bei produktbasierten Ansätzen auch Rückmeldungen der Systeme bei Kunden.

Dieser Austausch gerade auch von Kunden wird in Zukunft immer wichtiger werden, da die Angriffe global aufgestellt sind. Deshalb muss sich auch der Verteidiger Informationen global beschaffen und teilen.

Sie haben Fragen zu diesem Thema? Kommen Sie einfach auf uns zu. Unsere Experten verfügen über ein fundiertes und umfangreiches Wissen im Bereich Threat Intelligence. Wir freuen uns auf Ihre Kontaktaufnahme. Senden Sie uns eine persönliche Anfrage. 

Von der Intelligenz anderer profitieren - Früherkennung von Angriffen durch TI-Feed- Integration in SIEM-Systeme

Was wird unter dem Begriff Threat Intelligence (TI) verstanden?  Als TI versteht man Daten über Bedrohungen, welche aus verarbeiteten und sortierten Informationen bestehen. Diese Daten werden von verlässlichen Quellen bezogen und von einem Spezialisten korreliert.

Diese Dienstleister beziehen ihre Rohdaten für die Threat Information unter anderem durch das Disassambling oder ausführen von Malware in einer Sandbox. Auch werden Daten aus  Honeypot-Netzwerken erfasst und analysiert. Als dritte Hauptquellenart dienen Logdaten von Firewalls/IPS Systemen, welche Angriffe erfolgreich erkannt und abgewehrt haben.

Um diese Daten als Threat Intelligence verwenden zu können, werden die gesammelten Informationen miteinander verknüpft, bewertet und mit einer Gefahrenstufe und Zuverlässigkeitslevel versehen. Durch die Integration von TI in Form von Feeds, kann ein enormer Vorsprung zur Erkennung von Angriffen geschaffen werden. Schon vor einem Malware-Ausbruch kann die bis dato noch unerkannte Malware als solche erfasst werden, da diese eine Verbindung zu einem Command and Control Server (C&C) aufbaut, um weitere Instruktionen zu erhalten. Da sie durch Analysten der C&C Server schon erkannt und als Eintrag in einem TI-Feed publiziert wurde.

Für Unternehmen ist es, wenn überhaupt, nur mit erheblichen finanziellen Mitteln möglich einen qualitativ ähnlichen Stream an Daten zu erheben und aufbereitet in Systemen einzusetzen.

Funktionsweise

Die TI-Feeds können in die bereits bestehende IT-Infrastruktur eingebunden werden. Dies wird z.B. durch eine Integration in ein zentrales SIEM oder direkt in IT-Security Systeme, wie Firewalls oder Network Access Control Systeme, realisiert.

Dabei können die Informationen entweder über eine dedizierte Schnittstelle der Hersteller in die IT-Security-Systeme integriert werden oder durch die Einbindung in das zentrale SIEM System. Im Security Information & Event Management System werden die Aufkommenden Log-Dateien, welche von Netzwerk Assets integriert werden gegen die TI-Feed-Listen verglichen. Wird hier eine positive Übereinstimmung gefunden, kann dementsprechend darauf alarmiert und reagiert werden.

Warum TI-Feed Integration?

  • Einsatz zur Alarmierung im SIEM
  • Verifikation von Incidents durch das Anreichern der vorhandenen Informationen mit TI-Feeds.
  • Präventives Blocken von Threatasset
  • Früherkennung von Angriffen und der anschließenden Isolierung
  • Interaktion auf Basis einer Gefahrenerkennung im SIEM mit Firewall / NAC

Andere Lösungen im Bereich Advanced Threat Intelligence:

Das könnte Sie auch interessieren...

 

Ist der Betrieb von Advanced Threat Intelligence zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um das Thema.

Infiltriert oder nicht – das ist hier die Frage. Mittels Vectra Networks sehen Sie auf einen Blick wo in Ihrem Netzwerk was los ist.

Fast alle Unternehmen haben infizierte Geräte in ihrem Netzwerk. Die am Perimeter aufgestellten Sicherheitslösungen können nur eine unvollständigen Schutz für das Netzwerk gegen einen Angriff darstellen. Wird dieser Schutz überwunden oder kommt ein Angreifer gar über einen anderen Weg herein, kann sich dieser ungehindert im Netzwerk ausbreiten und taucht nicht im Überwachungsbereich der Perimeterlösung auf. Auch die Kommunikation innerhalb des Switches (Switch-Interkommunikation) kann nicht überprüft werden. Doch gerade hier kann Malware ansetzen und sich direkt von Client zu Client ausbreiten. Um den Schutz zu erweitern, muss eine automatisierte Funktionalität zur Angriffserkennung und –berichterstattung in Echtzeit, mit vielfältigen Möglichkeiten einen Angriff zu erkennen erfolgen. Diese Sicherheitstechnologie muss in der Lage sein, Daten ununterbrochen zu beobachten, zu verarbeiten, aufzurufen und automatisch zu analysieren und so den nächsten Schritt des Angreifers antizipieren.

Funktionsweise

Die Vectra X-Serien-Plattform bietet als erstes System ein neues Niveau der Intelligenz und Automatisierung und kann einen Cyberangriff während der Durchführung erkennen und die Handlungen des Angreifers verfolgen. Die Technologie der Vectra Plattform prägt sich die typischen Muster des Netzwerkverkehrs sowie unterschiedliche beobachtete Verhaltensweisen ein und erkennt so über Stunden, Tage und Wochen beobachtetes anomales Verhalten. Hierbei werden automatisch die Angriffe, die das größte Risiko darstellen priorisiert und ermöglichen dem Unternehmen damit, seine Zeit und Ressourcen zielgerichteter einzusetzen. Durch die Verhaltensanalyse und dem selbstlernenden, mitdenkenden System kann Vectra automatisch ein bestehendes Netzwerk analysieren und auch eine bestehende Infektion aufdecken. Die Veränderungen an einem Netzwerk sind hierbei sehr gering, da nur ein Manager und Sensoren ins Netzwerk eingebracht werden müssen.

Warum Vectra Networks?

  • Vectra kann als Logquelle und Network/Threat Behavior Analytics System als Input für ein SIEM dienen.
  • Vectra ist in der Lage, wichtige Ereignisse im CEF-Format an ein SIEM wie z.B. HP ArcSight zu senden. Das SIEM kann mit Hilfe dieser Daten und weiteren Log-Quellen eine Bedrohung genauer einstufen und gezielt darauf reagieren.
  • Ein SIEM wie z.B. HP ArcSight, LogRhythm oder Splunk korreliert Daten mit Logs von Endpoint Security Lösungen (AV, HIPS, Traps etc.). Falls diese Lösungen eine Malware auf dem Endpoint gefunden und beseitig haben, öffnet das SIEM ein Ticket und erfasst den Fund von Vectra sowie die Beseitigung durch das Endpoint Produkt. Daraufhin wird das Ticket einem Analysten bei Bedarf zum Check zugewiesen.
  • Falls das Endpoint Produkt keine Bedrohung entdecken konnte, entscheidet das SIEM anhand der Einstufung von Vectra (Certainity), ob direkt eine Automated Response (z.B. über RestAPI von PAN (Traffic stop) oder ForeScout NAC (Q-VLAN) oder DLP Agent (Network access stop) gefolgt von ein Ticket zum Tracking ausgelöst wird, oder ob ein Prio-Alarm an eine Nutzergruppe zur Analyse erfolgt.

Warum iT-CUBE?

  • Enge Partnerschaft zwischen Vectra und iT-CUBE mit regelmäßigen Treffen in den jeweiligen HQ.
  • Angreifer gefunden, was nun? iT-CUBE bietet Experten die bei Findings wissen was der nächste Schritt ist (z.B. Handlungsempfehlungen).

Andere Lösungen im Bereich Advanced Threat Intelligence:

Das könnte Sie auch interessieren...

 

Ist der Betrieb von Advanced Threat Intelligence zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um das Thema.

Lastline – Jahrelange Forschung, Out-of-the-Box verfügbar

Partner iT-CUBE

Um fortgeschrittene Angriffe (sog. APTs) auf ein System/Netzwerk zu erkennen, muss man zwei essenzielle Komponenten betrachten: Die in einen Angriff involvierten Programme und den Netzwerkverkehr – liegt der Fokus nur auf einer der beiden Komponenten ist die Wahrscheinlichkeit, Angriffe zu übersehen äußerst hoch. Lastline beherrscht beide Disziplinen auf olympischen Niveau – verdächtige Programme werden aus unterschiedlichsten Quellen extrahiert und in der fortschrittlichsten Sandbox analysiert. Der Netzwerkverkehr wird durchgehend auf sog. Indicators of Compromise (IoCs) überprüft. Diese IoCs stammen aus Datenbaken unterschiedlicher IT-Security-Unternehmen. Zusätzlich haben Lastline Kunden die Möglichkeit selbst ermittelte IoCs untereinander zu teilen.

Funktionsweise

Sandbox Implementation
  • Fortgeschrittene Sandbox-Technologie entstanden aus über 10-Jahren universitärer Forschung, darauf getrimmt nicht als Sandbox erkannt zu werden
  • Nutzt sog. "Full System Emulation", um die Entdeckung der Analyseumgebung durch Malware so schwer wie möglich zu machen.

 

 

Lastline Breach Detection Platform
  • Korreliert Ergebnisse aus Sandbox-Analyse, Netzwerk-Monitoring und Anomalie Erkennung zu einem zuverlässigen Incident.
  • Erkennt die, von Malware abgefragten, Parameter und spielt so z.B. die Verfügbarkeit eines Programmes vor
  • Virtuelle Appliance kann auf Standard-Hardware betrieben werden
  • Lastline kann On-Premise oder in der Cloud gehostet werden. Wird es in der Cloud gehostet, müssen nur sog. Sensoren installiert werden
  • Sehr einfaches Lizenzmodell
  • Integration mit einer Vielzahl von 3rd Party Produkten und offene API um noch weitere Produkte zu integrieren
  • Lastline bietet die Möglichkeit Blocking-Regeln an Next-Generation-Firewalls (NGFWs) und Intrusion Prevention Systeme (IPS), Breach-Alarme an SIEM Systeme und Malware-Informationen an Secure-Web-Gateways zu übertragen

Lastline Quickfacts

Warum Lastline?

Lastine mit Secure-Web-Gateway

Läuft alle Web-Kommunikation eines Unternehmens über Secure-Web-Gateways (SWGs), sind diese ein mächtiges Werkzeug um Clients zu schützen und Firmen-Policies umzusetzen. Noch umfangreichere Möglichkeiten ergeben sich aus einer Kombination von SWGs und der Lastline Enterprise Plattform. Dadurch, dass Lastline potentielle Malware äußerst detailliert analysiert und auch den generierten Netzwerkverkehr untersucht, ergibt sich die Möglichkeit relevante Informationen direkt an die SWGs weiter zu reichen.

Wird etwa erkannt, dass Malware mit einer bestimmten URL Kontakt aufnimmt, kann diese URL direkt an die SWG weitergegeben werden. Diese, nun bekannten, URLs können für alle zukünftigen Analysen verwendet werden. Zusätzlich besteht die Möglichkeit, die Historie nach der schädlichen URL zu durchsuchen. Hat ein überwachter Client in der Vergangenheit Kontakt dazu aufgenommen, muss ein Incident Response Prozess eingeleitet werden.

All diese wertvollen Information sind natürlich nicht an eine Instanz gebunden. Erkannte URLs können firmenintern oder auch extern geteilt werden. Wird etwa an einem Standort ein Malwaresample erkannt und erfolgreich analysiert bietet es sich an, diese Informationen zwischen allen Standorten zu teilen. Innerhalb kürzester Zeit können so alle Standorte gegen diese Gefahr geschützt werden.

Warum iT-CUBE?

  • Wir planen gemeinsam die Integration von Lastline in Ihre Infrastruktur und ermitteln die optimale Platzierung der Sensoren
  • Wir integrieren Lastline in bereits vorhandene Security-Lösungen wie Firewalls oder Proxies, so kann unverzüglich auf erkannte Angriffe reagiert werden
  • Wir integrieren Lastline in Ihre bestehende SIEM und/oder Splunk Infrastruktur und ergänzen diese um neue Use-Cases.
  • Wir hosten das Lastline Backend in unserem Security Operation Center (SOC). Die Daten verlassen Deutschland nicht und wir sorgen für reibungslosen Betrieb

 

Eine Geschichte:

Vor etwa drei Monaten wurde die bestehende IT-Security Infrastruktur eines Unternehmens um Lastline Enterprise erweitert. Das Backend wird von einem zuverlässigen lokalen Partner betrieben. In jeder der drei Zweigstellen wurde mindestens ein Sensor platziert. Die Logs aller Systeme (Endpoint AntiVirus, ForceScout NAC, ...) werden in Splunk indexiert.

Eines Tages - zur Mittagszeit - erkennt Lastline den Download einer unbekannten Datei. Die Sandbox-Analyse ergibt, dass diese Datei gezielt Benutzernamen/Passwörter exfiltriert und zusätzlich erhebliche Anstrengungen unternimmt, um klassische Analysesysteme auszuhebeln.

Der von Lastline generierte Alarm wird in Splunk indexiert. Eigene Splunk Suchen erkennen in Echtzeit, dass die Endpoint AntiViren-Lösung keine verdächtigen Aktivitäten auf dem betroffenen Endpoint meldet. Daraufhin wird ein Splunk-Alarm generiert, die NAC Lösung wird angewiesen den Client in ein Quarantäne V-LAN umzuleiten. Die Mitarbeiter des Security Operations Center werden alarmiert und entfernen das System.

Die forensische Analyse ergab folgendes: Auf dem betroffenen Endpoint (einem Entwicklungssystem) war seit zwei Monaten ein sog. Dropper installiert - Software die nichts anderes macht als andere Software nachzuladen. Dieser Dropper hatte erst jetzt versucht die von Lastline erkannte Software nachzuladen. Es handelte sich tatsächlich um Software zum Diebstahl von Benutzerdaten und wurde zu diesem Zeitpunk von noch keinem Anti-Viren Programm erkannt. Der Dropper gelangte vermutlich über einen präparierten USB-Stick auf den Server. Dank der frühzeitigen Erkennung und hervorragender Kooperation verschiedener Systeme, konnte der Abfluss von Daten verhindert werden. Die ermittelten IoCs (Hashwerte, involvierte IPs und URLs, ...) wurden über die Lastline-Plattform anderen Kunden zugänglich gemacht

Andere Lösungen im Bereich Advanced Threat Intelligence:

Das könnte Sie auch interessieren...

 

Ist der Betrieb von Advanced Threat Intelligence zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um das Thema.

iT-CUBE Partner

Was sind die größten Gefahrenpotenziale für Ihr Unternehmen? Anomali deckt ins seinem aktuellen Labs Report1 gnadenlos die Schwachstellen großer Dax-Unternehmen auf. Die größte Bedrohung stellen verdäch­tige Domain-Registrierungen sowie kopierte bezie­hungs­weise ähnlich-klingende Marken­do­mains dar, sie ermög­li­chen das Erstellen von nachge­ahmte Webseiten und öffnen Cyber-Kriminellen Tür und Tor. Diese gelangen so unkompliziert an die Daten von ahnungs­losen Verbrau­chern.

Fazit des Reports: Bei 71 der 100 größten börsen­no­tierten Unter­nehmen Deutsch­lands wurde mindes­tens eine poten­zi­elle verdäch­tige Domain-Registrierung entdeckt. Durchschnittlich wurden pro Unter­nehmen 18 verdäch­tige Regis­trie­rungen nachge­wiesen. Anomali fand insgesamt 1.241 verdäch­tige Domains. Zudem offenbart der Bericht, die Entdeckung von mehr als 76.000 E-Mail-Adressen und Klartext-Passwörter von Benut­zer­konten der DAX-100 Unter­nehmen im Darkweb. Dort werden diese z.T. veröf­fent­licht oder poten­zi­ellen Käufern angeboten. Damit wird deutlich, das Risiko besteht nicht nur bei den Unternehmen selbst, sondern auch für ihre Verbrau­cher.

Übersicht Anomali Labs

Anomali ist führender Anbieter einer Threat-Intelligence-Plattform durch eine Integration in verschiedenste Systeme. Das leistungsstarke Analysewerkzeug erkennt frühzeitig neue, zielgerichtete Cyber-Angriffe auf Unternehmensnetzwerke durch die Integration in verschiedenste Systeme. Anomali ermöglicht die frühzeitige Erkennung von Angreifern durch automatisches Korrelieren von Millionen von Threat-Indikatoren mit Logdaten aus der Echtzeitumgebung als auch über mehrjährige forensische Logdatenbestände hinweg.

Cyberkriminalität ist ein so aktuelles Thema, dass es längst auf Geschäftsführer angesiedelt ist. Sicher­heits­kon­zepte sind heute ein wichtiger Bestand­teil des Reputa­ti­ons­schutzes und gewähr­leisten so die Wettbe­werbs­fä­hig­keit des Unter­neh­mens.

1 »The Dax 100: Targeted Brand Attacks and Mass Creden­tial Exposures«

Funktionsweise

Partner iT-CUBE
Auszug aus dem Intelligence Threat der TI mit zugehörigem passiven DNS Eintrag
Partner iT-CUBE
Detailinformation zu einem bekannten, bösartigen Angriffsvektor
Partner iT-CUBE
Web-Dashboard der wöchentlichen Threat Intelligence

Collect – Die Anomali Enterprise sammelt Daten via:

  • 3rd Party,
  • Open Source,
  • Customer-Generated,
  • Anomali Labs,
  • Anomali Community


Enhance
Normalisern unterschiedlichster Intelligence-Datenströme:

  • Normalisieren, Bereichern und Deduplizieren

  • Entfernen von Fehlalarmen und Age-Out expired IOCs (indicators of compromise)

  • 24/7 Verwaltung mittels Anomali Labs


Match –  Die richtigen Vergleiche ziehen:
 

  • Vergleich der IOCs mit Live Traffic im eigenen Netzwerk

  • Identifizieren von aktuell relevanten IOCs oder aus den letzten Jahren


Analyze Analyse von:

  • Untersuchen von IOCs

  • Verstehen von Quellen, Threat Typen und Mitigate Strategien


Monitor – die Übersicht behalten über:

  • Überblick über relevante IOCs

  • Alarm bei verdächtigen Datenverkehr

Warum Anomali?

Anomali zeichnet sich als ein Anbieter für ein proaktives Sicherheitskonzept aus. Unternehmen haben das Problem in Threat-Daten förmlich zu versinken. Dabei stellen sich natürlich Fragen wie: Welche Daten sind relevant? Welchen Ansatz verfolgen wir? Taktisch versus Strategisch?

Anomali ermöglicht die frühzeitige Erkennung von Angreifern durch automatisches Korrelieren von Millionen von Threat-Indikatoren mit Logdaten aus der Echtzeitumgebung als auch über mehrjährige forensische Logdatenbestände hinweg. Dieser Ansatz ermöglicht Erkennungstechniken in allen Phasen der Angriffskette und über sehr lange Zeitachsen hinweg mit dem Ziel, Bedrohungen effizienter zu erkennen und damit potentielle Schäden zu verhindern.

Aufgrund seines Maschine Learning Ansatz greift Anomali auf einen Datenbestand von mehreren Jahren zurück und macht mittels Algorithmen wirklich wichtige Verbindungen sichtbar. Die Lösung ermöglicht das Suchen von Spuren in einer hohen Tiefe und Dichte von Daten. Das führt zu einer hohen Zeitersparnis, da manuelle Prozesse eingespart werden und ein hohes Maas an Integration und Automatisierung erreicht werden kann und das SIEM spürbar entlastet wird. Das SIEM dient als Integrationspunkt, durch die Korrelation von Log-Daten mit Indikatoren. Dies führt zu einer besseren Erkennungsrate und einer Priorisierung von Alerts.

Der Anomali-Ansatz ermöglicht die Erfassung von Daten an jedem Punkt der Kill-Chain, bevor Schäden in der Organisation auftreten können. Anomali ist der Dreh- und Angelpunkt für die Verbesserung und den Zugriff auf Bedrohungsdaten, dem sogenannten Threat Intelligence bzw. IOCs. Zudem macht die Lösung Threat Intelligence besser verfolgbar, indem es jede Netzwerk-Aktivität abbildet und matched, die Auffälligkeiten aufweist.

Warum iT-CUBE?

Als langjähriger Experte im Bereich SIEM gibt es kaum einen Anbieter am Markt der ein besseres Gefühl für das Zusammenspiel von Threat Intelligence und Logmanagement besitzt. Wir implementieren die Lösung von Anomali und unterstützen Sie bei der Integration in ein vorhandenes SIEM-System oder gern auch bei der Auswahl eines für Sie geeigneten SIEM Systems.