Was ist Threat Intelligence und wie benutze ich diese?

Viele verstehen unter Threat Intelligence (TI) eine Ansammlung von sogenannten “Indicators of Compromise” (IOC), welche für die Erkennung von Angriffen verwendet werden können. Das ist grundsätzlich nicht falsch, beleuchtet aber nur einen kleinen Teil. In diesem Beitrag möchte ich die verschiedenen Arten von Threat Intelligence beleuchten und beschreiben, wie diese von Security Teams verwendet werden.

Technische Threat Intelligence ist genau das, was ich eingangs beschrieben habe. Sie beschreibt technische Details zu den Ressourcen, welche ein Angreifer verwendet. Beispiele dafür sind IP-Adressen, Domains, Hash-Werte von Files und viele mehr. Technische Threat Intelligence kann über Feeds in standardisierten Formaten (z.B. STIX oder TAXII) bezogen und in vielen Security-Produkten automatisiert eingebunden werden. Die meisten Security-Hersteller liefern standardmässig technische Threat Intelligence mit.

Technische Threat Intelligence hat in der Regel keine lange Lebensdauer, da die Angreifer ihre Infrastruktur leicht verändern können. Diese Form von Threat Intelligence wird oftmals auch als Open-Source Varianten kostenfrei angeboten. Die Qualität erreicht aber nicht die der kommerziellen Feeds und ist daher oftmals auch mit False-Positives verbunden.

Strategische Threat Intelligence beinhaltet High-Level Informationen über Cyber Security und Angreifer. Dazu gehören z.B. Trends, Statistiken und Kosten über verschiedene Angriffs-Typen. Die Information, dass in den letzten Jahren vermehrt Ransomware Angriffe ausgeführt wurden, wäre ein Beispiel dafür. Der Empfänger für diese Art von Threat Intelligence ist eher das Management. Die Informationen werden dazu verwendet, strategische Entscheidungen zu treffen. Im Beispiel der Ransomware wird sich das Management fragen, wie gut ihre Umgebung dagegen geschützt ist und gegebenenfalls entsprechendes Budget sprechen, um die Situation zu verbessern.

Strategische Threat Intelligence ist eher langlebig und wird meist in Form von Reports konsumiert.

Taktische Threat Intelligence liefert Informationen über “Tactics, Techniques and Procedures” (TTPs), welche von Angreifern verwendet werden. Diese beschreiben also das technische Vorgehen von Angreifern und beinhalten meist keine IOCs. Daher ist die taktische Threat Intelligence auch langlebiger als die technische. Eine Taktik oder Technik zu verändern ist für einen Angreifer mit deutlich mehr Aufwand verbunden als seine Infrastruktur anzupassen.

Die taktische Threat Intelligence wird von Security Teams konsumiert und dazu verwendet, die defensiven Massnahmen zu prüfen und zu bewerten. Aufgrund dieser werden auch neue technische oder administrative Massnahmen eingeführt, um allfällige Blindflecken zu schliessen. Dieser Prozess sollte entsprechend kontinuierlich durchgeführt werden. Zudem können die Informationen auch für Threat-Hunting verwendet werden.

Sobald mehrere Quellen (Feeds) angezogen werden, lohnt es sich meist, die Daten zentral zu konsolidieren. Die Daten werden dann an die Umsysteme verteilt. So können allfällige False-Positives oder eigene IOC’s zentral verwaltet werden. Viele Unternehmen verwenden dazu die MISP-Platform, welche Open-Source und frei verfügbar ist. MISP ermöglich auch das Teilen von Informationen mit anderen Instanzen. So können beispielsweise mehrere Unternehmen im gleichen Industrie-Sektor ihre Intelligence automatisiert teilen.

Der Betrieb einer eigenen MISP-Platform ist leider nicht ganz einfach. Für kleinere Unternehmen ist dies vermutlich also keine vernünftige Alternative. Hier bietet sich ein guter kommerzieller Feed an oder ein Managed Threat Intelligence Service.

Threat Intelligence ist heute alltäglich und wir alle kennen und benutzen diese. Oftmals konsumieren wir diese aber unbewusst.  Die richtige Handhabung von guter Threat Intelligence hilft Security-Teams bei der Prävention oder Detektion von Angriffen. Leider ist gute Threat Intelligence meist nicht günstig oder frei verfügbar. Während strategische Information meist noch kostenlos verfügbar sind, sind Open-Source Feeds bei der technischen Threat Intelligence meist eher mittelmässig und führen zu False-Positives in der Detektierung von Angriffen. Kommerzielle Anbieter bieten hier deutlich mehr Qualität und auch eine breitere Abdeckung. Gut aufgestellte Security-Teams sollten dies also auf jeden Fall in Betracht ziehen. Eine Kombination von beiden Ansätzen ist aus meiner Sicht eine gute Wahl.