Mit STIX und TAXII werden Bedrohungsdaten nicht nur übertragen, sondern strategisch nutzbar gemacht.
Gorodenkoff – shutterstock.com
Unternehmen, die der Flut von Sicherheitsverletzungen und Angriffen Einhalt gebieten wollen, schaffen sich in der Regel eine Threat Intelligence Platform (TIP) an. Diese kann eine von mehreren Formen annehmen, zum Beispiel die eines verwalteten Cloud-basierten Dienstes oder einer eng gekoppelten Tool-Sammlung. Letztere bietet ein breiteres Risikomanagement-Profil, indem sie
Bedrohungen erkennt,
auf Vorfälle reagiert und
Schwachstellen managet.
Augen auf bei der Plattform-Wahl
Mehr als ein Dutzend Anbieter offerieren TIPs. Der Schlüssel zum erfolgreichen Einsatz dieses Tools liegt darin, zu verstehen, was sie können und was nicht. Zusätzlich müssen sie auf die eigene Umgebung und den Grad der Sicherheit abgestimmt werden.
Außerdem ist es wichtig, dass TIPs in der Lage sind, mit anderen Sicherheitstools und Verteidigungsmaßnahmen vernetzt werden zu können.
Häufige Fehler, die CISOs machen, wenn sie ihre Auswahl treffen, sind unter anderem
auf schlechte Bedrohungsdaten zu vertrauen,
falsche Anforderungen zu sammeln,
ungeeignete Bedrohungsquellen einzusetzen sowie
über keine Strategie bei der Auswahl der richtigen Tools zu verfügen.
Standardisierte Übertragung mit STIX & TAXII
Um solche Fehler zu vermeiden, müssen zunächst die tatsächlichen Bedrohungs-Feeds untersucht werden, die als Quellenmaterial verwendet werden. Zudem gilt es festzustellen, wie viele verschiedene Feeds verarbeitet werden. Das bedeutet, sich nicht auf die Gesamtzahl zu konzentrieren, sondern tiefer in die gesammelten Daten einzutauchen.
Hierbei sollte man verstehen, wie das TIP
die Bedrohungen konsolidiert,
mit Metadaten anreichert und
strukturiert katalogisiert.
Dies wird durch standardisierte Protokolle wie TAXII und STIX erleichtert, die eine detaillierte und effektive Datenübertragung ermöglichen.
Standards für koordinierte Reaktionen
STIX beschreibt dabei den Inhalt einer Bedrohung, während TAXII den Übertragungsweg definiert. Gemeinsam ermöglichen sie es, Bedrohungen detailliert zu charakterisieren sowie automatisiert und koordiniert auf sie zu reagieren. Die beiden Standards werden von der Organization for the Advancement of Structured Information Standards (OASIS) gepflegt.
Teil des Anreicherungsprozesses der Daten in TIPs ist es,
doppelte Bedrohungsdaten zu normalisieren sowie
falsch-positive oder irrelevante Informationen herauszufiltern.
Automatische und KI-basierte Filtermethoden können hierbei helfen.
Komplexität richtig einschätzen
Das ausgefeilteste TIP kann allerdings wirkungslos sein, wenn nur eine kleine Sicherheitsabteilung mit begrenzten Fähigkeiten oder eine relativ einfache Computerumgebung zur Verfügung steht.
Laut Experten von Greynoise müssen die Bedrohungsdaten daher auf die spezifische IT-Umgebung abgestimmt sein. Das gilt insbesondere hinsichtlich der Vielfalt und Komplexität von Bedrohungen, Clouds und Endgeräten. Dazu gehört auch, die Infrastruktur ganzheitlich zu betrachten, sowohl physisch als auch virtuell. Um die Bedrohungslage umfassend zu verstehen, sollten zudem interne und externe Einflussfaktoren berücksichtigt werden, so unter anderem der Experte Stuart Peck.
Integration in bestehende Sicherheitssysteme
Effektive TIPs sollten laut Experten auch in der Lage sein,
automatisierte Reaktionen und Gegenmaßnahmen zu koordinieren,
Bedrohungen zu stoppen und
Schäden zu minimieren.
Ihr Nutzen hängt stark davon ab, wie gut sie in bestehende Sicherheitssysteme wie SOAR, SIEM und XDR integriert sind.
Entscheidend ist, dass Bedrohungsinformationen nicht nur gesammelt, sondern auch priorisiert, in Maßnahmen umgesetzt und zeitnah genutzt werden. Dabei ist besonders wichtig, die Zeit zwischen Erkennung und Reaktion zu verkürzen und aktuelle Bedrohungen in Echtzeit zu erkennen und zu bekämpfen.
Erfolgskriterien für TIPs definieren
Visuelle Analysen machen hier Bedrohungsinformationen greifbar und unterstützen Analysten dabei, effizient Muster und Zusammenhänge zu erkennen. Dynamische Dashboards spielen ebenfalls eine zentrale Rolle, indem sie Echtzeittrends und Anomalien aufzeigen, damit gezielt auf Bedrohungen reagiert werden kann.
Entscheidend ist zudem, klare Erfolgskriterien für ein TIP festzulegen, etwa in Bezug auf die Erkennungsrate und die Verringerung von Folgevorfällen.
All diese Elemente sind wichtig, um Bedrohungsdaten in Sicherheitsabläufe einzubinden. Der Experte Esteban Borges schrieb 2024, dass diese Daten in eine von drei grundlegenden Kategorien eingeteilt werden können:
Strategisch: Eine Vogelperspektive auf die gesamte Cybersecurity-Landschaft, um generelle Bedrohungslagen und Trends zu erkennen.
Taktisch: Detaillierte Informationen zu Angriffstaktiken und –mechanismen, um effektive Verteidigungsstrategien zu formulieren.
Operativ: Analysen in Echtzeit oder nahezu in Echtzeit, um unmittelbare Angriffe zu erkennen und zu vereiteln, bevor sie starten.
Ganzheitlichkeit und Kontext
Zudem ist es notwendig, alle relevanten Sicherheitsaspekte nicht isoliert, sondern ganzheitlich zu betrachten. Ein zentrales Problem hierbei kann die mangelnde Koordination zwischen Teams sein – etwa, wenn Bedrohungsmeldungen nicht weiterverfolgt werden.
Effektive Reaktionen erfordern sowohl Nachverfolgung durch das Threat-Team als auch aktives Handeln durch die mit der Lösung des Problems betrauten Gruppen. TIPs können dabei helfen, Bedrohungen in den richtigen Kontext zu setzen. Hierbei können sie zum Beispiel Muster aufzeigen, die aus scheinbar einzelnen Vorfällen auf gezielte, großflächige Angriffe hinweisen.
KI-unterstützte Tools richtig verstehen
Obwohl KI-gestützte Automatisierung in TIPs zwar weit verbreitet ist, muss sie kritisch betrachtet werden, da KI-Tools nicht immer zuverlässig aus Bedrohungsdaten lernen. Analysten sollten deren Ergebnisse stets kritisch hinterfragen und mit realen Quellen abgleichen, um kritisches Denken zu bewahren und Fehlentscheidungen zu vermeiden.
No Responses