Urspr\u00fcnglich wurden SIEM-Systeme als Tool entwickelt, um Informationen \u00fcber Sicherheitsereignisse innerhalb einer Infrastruktur zu sammeln und sie anhand externer Daten \u00fcber bekannte Cyberbedrohungen zu analysieren. Lange Zeit erf\u00fcllten sie ihre Aufgabe sogar recht gut. Da sich aber sowohl die Bedrohungslandschaft als auch die Informationssicherheitsbranche weiterentwickeln, kommen immer mehr Threat-Intelligence-Feeds mit ver\u00e4nderten Strukturen auf den Markt. Vielen Experten ist klar geworden, dass SIEM-Systeme ein neues Tool ben\u00f6tigen, das die Navigation in den Bedrohungsdatenstr\u00f6men erm\u00f6glicht, damit sie effektiv arbeiten k\u00f6nnen.<\/p>\n
Auf den ersten Blick mag es so aussehen, als ob ein SIEM-System seine Aufgabe umso effektiver erf\u00fcllt, je mehr externe Cyberbedrohungsdaten ihm zugef\u00fchrt werden. Das ist nicht der Fall.<\/p>\n
Erstens: Je mehr Indikatoren ein System verarbeitet, desto mehr Warnungen erzeugt es. Selbst wenn wir davon ausgehen, dass es eine minimale Anzahl von Fehlalarmen (False Positive<\/em>) gibt (gegen die niemand immun ist), wird ein Analyst nicht in der Lage sein, schnell durch Millionen von Doppel-Meldungen zu navigieren und die wichtigsten zu priorisieren.<\/p>\n Zweitens sind bestehende SIEM-Systeme einfach nicht daf\u00fcr ausgelegt, eine unendliche Anzahl von Indikatoren zu verarbeiten. Werden sie mit mehreren Feeds verbunden, steigt die Arbeitsbelastung des Systems erheblich, was sich negativ auf die Erkennungsrate von Vorf\u00e4llen auswirken kann. Das Gleiche kann passieren, wenn Sie versuchen, ein Szenario mit h\u00e4ufigen TI-Feed-Updates zu implementieren. Das ist zwar nicht v\u00f6llig unm\u00f6glich, aber auch hier k\u00f6nnen Leistung und Erkennungsrate in Mitleidenschaft gezogen werden.<\/p>\n Dar\u00fcber hinaus eignet sich ein SIEM-System nicht f\u00fcr eine Detailarbeit mit Bedrohungsdaten-Feeds. Es kann beispielsweise nicht die Qualit\u00e4t und Erkennungsrate von Feeds verschiedener Anbieter vergleichen oder maskierte Kompromittierungsindikatoren aus Feeds in Form von URLs, Hosts oder Domains verarbeiten. Ben\u00f6tigt ein Analyst weiteren Kontext f\u00fcr einen beliebigen Indikator, ist daf\u00fcr ein zus\u00e4tzliches Tool erforderlich (dabei spielt es keine Rolle, dass der ben\u00f6tigte Kontext in den Feeds vorhanden ist \u2013 das SIEM-System wei\u00df m\u00f6glicherweise nicht, wie es darauf zugreifen kann). Auch der wirtschaftliche Faktor sollte ber\u00fccksichtigt werden. Denn die meisten SIEMs bieten eine lastbasierte Lizenzierung: d. h., je mehr Indikatoren verarbeitet werden, desto h\u00f6her sind dementsprechend die anfallenden Kosten.<\/p>\n Im Grunde genommen kann eine Threat-Intelligence-Plattform alle oben genannten Nachteile und Probleme von SIEM-Systemen aus der Welt schaffen. Aber zun\u00e4chst einmal ist sie ein unverzichtbares Tool, mit dem Sie durch eine Vielzahl von Feeds verschiedener Anbieter navigieren k\u00f6nnen. Sie k\u00f6nnen mehrere Feeds (nicht unbedingt im gleichen Format) miteinander verbinden und sie anhand verschiedener Parameter vergleichen. Beispielsweise k\u00f6nnen Sie feststellen, dass sich Indikatoren in verschiedenen Feeds \u00fcberschneiden, was Ihnen dabei hilft, doppelte Datenstr\u00f6me zu identifizieren und m\u00f6glicherweise einige davon abzulehnen. Sie k\u00f6nnen Feeds auch anhand statistischer Erkennungsindizes vergleichen. In Anbetracht der Tatsache, dass einige Anbieter Testperioden f\u00fcr die Verwendung ihrer Feeds anbieten, k\u00f6nnte dies eine gute M\u00f6glichkeit sein, die Wirksamkeit vor dem Kauf zu beurteilen.<\/p>\n Threat-Intelligence-Plattformen bieten SOC-Analysten auch viele zus\u00e4tzliche Funktionen, die in einem SIEM einfach nicht m\u00f6glich sind. Beispielsweise kann eine retrospektive Scanfunktion verwendet werden, die eine doppelte \u00dcberpr\u00fcfung zuvor gespeicherter Verlaufsprotokolle und Daten zu neuen Feeds erm\u00f6glicht. Eine weitere verf\u00fcgbare Funktion ist die Anreicherung von Indikatoren aus verschiedenen Drittanbieterquellen wie VirusTotal. Schlie\u00dflich erm\u00f6glicht eine gute Threat-Intelligence-Plattform auf der Grundlage spezifischer Warnungen das Auffinden und Herunterladen von APT-Berichten, in denen Angreifer-Taktiken, -Techniken und -Verfahren sowie praktische Empfehlungen zur Anwendung von Gegenma\u00dfnahmen aufgef\u00fchrt sind.<\/p>\n Die Threat-Intelligence-Plattform erm\u00f6glicht es Ihnen, Indikatoren zu filtern und herunterzuladen, Ereignisse zu sortieren, alles in einer grafischen Oberfl\u00e4che anzuzeigen, um Analysten die Arbeit zu erleichtern, und vieles mehr. Es h\u00e4ngt von den F\u00e4higkeiten der jeweiligen Plattform ab.<\/p>\n Im Gro\u00dfen und Ganzen \u00fcbernimmt eine im internen Netzwerk einer Organisation installierte Threat-Intelligence-Plattform die Analyse und Korrelation eingehender Daten, wodurch die Belastung des SIEM-Systems erheblich reduziert wird. Sie erm\u00f6glicht es Ihnen, Ihre eigenen Warnungen zu generieren, wenn Bedrohungen erkannt werden. Zudem l\u00e4sst sie sich auch \u00fcber eine API in Ihre bestehenden \u00dcberwachungs- und Reaktionsprozesse integrieren.<\/p>\n Im Wesentlichen generiert eine Threat-Intelligence-Plattform ihren eigenen Erkennungsdaten-Feed basierend auf den Anforderungen Ihres Unternehmens. Dies ist besonders n\u00fctzlich, wenn in Ihrer Infrastruktur mehrere SIEM-Systeme parallel laufen. Ohne eine Threat-Intelligence-Plattform m\u00fcssten Sie die Rohdaten in jedes dieser Systeme einspeisen.<\/p>\n Schauen wir uns einen einfachen Vorfall an, um herauszufinden, wie eine Threat-Intelligence-Plattform Analysten bei der Arbeit unterst\u00fctzen kann. Stellen Sie sich vor, ein Unternehmensbenutzer besucht von seinem Arbeitscomputer aus eine Website, deren URL von Threat-Intelligence-Feeds als b\u00f6sartig aufgef\u00fchrt werden. Die Plattform identifiziert das Ereignis, reichert es mit Kontext aus dem Feed an und sendet diese Erkennung zur Registrierung an das SIEM-System. Im n\u00e4chsten Schritt wird der SOC-Analyst auf das Ereignis aufmerksam und beschlie\u00dft, den Vorfall mithilfe einer Threat Intelligence-Plattform genauer zu untersuchen.<\/p>\n Direkt aus der Erkennungsliste kann er die im TI-Stream verf\u00fcgbaren Kontextinformationen \u00f6ffnen: IP-Adresse, Hashes b\u00f6sartiger Dateien, die mit dieser Adresse verkn\u00fcpft sind, Urteile \u00fcber Sicherheitsl\u00f6sungen, WHOIS-Dienstdaten usw. Zur Verdeutlichung \u00f6ffnet sich eine grafische Oberfl\u00e4che \u2013 die bequemste Art, die Angriffskette zu analysieren.<\/p>\n Bislang gibt es nicht viele Informationen:\u00a0 Die Oberfl\u00e4che zeigt die Erkennung selbst, die erkannte sch\u00e4dliche URL und die interne IP-Adresse des Computers, mit dem jemand auf die URL zugegriffen hat. Klickt man auf das Symbol f\u00fcr sch\u00e4dliche URLs, werden bekannte Indikatoren f\u00fcr diese Adresse abgefragt: IP-Adresse, andere URLs und Hashes sch\u00e4dlicher Dateien, die in der Vergangenheit von der Website heruntergeladen wurden.<\/p>\n Der n\u00e4chste Schritt besteht darin, zu pr\u00fcfen, ob andere Beobachtungen mit denselben Indikatoren bereits in der Unternehmensinfrastruktur registriert worden sind. Der Analyst klickt auf ein beliebiges Objekt (z. B. eine sch\u00e4dliche IP-Adresse) und zeigt zus\u00e4tzliche Erkennungen im Diagramm an. Das hei\u00dft, er kann mit einem Klick herausfinden, welcher Nutzer welche IP-Adresse ge\u00f6ffnet hat (oder auf welchem Rechner eine URL-Anfrage vom DNS-Server die IP-Adresse zur\u00fcckgegeben hat). Ebenso wird \u00fcberpr\u00fcft, welche Benutzer die Datei heruntergeladen haben, deren Hash in den zugeh\u00f6rigen Indikatoren angezeigt wird.<\/p>\n Ein einziger Vorfall kann in Tausenden von Erkennungen resultieren, die ohne die benutzerfreundliche grafische Oberfl\u00e4che der TI-Plattform nur schwer von Hand auszusortieren w\u00e4ren. Der verf\u00fcgbare Kontext aus Cyberbedrohungsdaten-Feeds wird dann im gesamten Diagramm angezeigt und der Analyst kann Objekte gruppieren, ausblenden oder eine automatische Knotengruppierung vornehmen. Sollten zus\u00e4tzliche Informationsquellen zur Verf\u00fcgung stehen, k\u00f6nnen Indikatoren auch manuell hinzugef\u00fcgt und ihre Korrelation unabh\u00e4ngig markiert werden.<\/p>\n Daher kann der Experte eine vollst\u00e4ndige Angriffskette rekonstruieren und nachvollziehen, wie alles begann. Ein Beispiel: Ein Nutzer hat die URL einer sch\u00e4dlichen Website eingegeben, der DNS-Server hat die IP-Adresse zur\u00fcckgegeben, und derselbe Nutzer hat eine Datei mit einem bekannten Hash von der Website heruntergeladen.<\/p>\nSo schafft eine Threat-Intelligence-Plattform Abhilfe<\/h2>\n
So erg\u00e4nzt eine Threat-Intelligence-Plattform die Arbeit von Analysten & SIEM-Systemen<\/h2>\n
Ein Praxisbeispiel<\/h2>\n
Fazit<\/h2>\n