Embed Size (px)
Citation preview
Was ist Cyber Threat Intelligence und wofür kann man es nutzen?
ISACA Fokus Event Meet & Explore, 28.06.2018, Bonn
Dr. Svilen Ivanov
2. Neuausrichtung und gestiegene Operationalisierung des
Informationssicherheitsmanagements
Einleitung
2
Neue Anforderungen
Die Bedrohungslage sowohl auf strategischer als auch auf operativer Ebene besser zu kennen.
Auf Grundlage von (tages)aktuellen Bedrohungsinformationen Entscheidungen treffen.
Der Begriff „Cyber Threat Intelligence“ wird in
verschiedenen Kontexten genutzt.
Was ist „Cyber Threat Intelligence“ und wie kann sie dabei helfen? Auf Prävention
fokussierten Ansatz
Kombination aus
Prävention, Detektion und
Reaktion
Beobachtete Tendenzen
Inhalte
Cyber Threat Intelligence
Definition
Grundlagen & gute Praxis
Anwendungsszenarien
Einsatz von KI
Fazit
3
Es ist geplant, die Inhalte des Vortrags in ausführlicher Form als Artikel in der IT Governance , Heft 28, September 2018 zu
veröffentlichen.
Mitwirkende & Ausgewählte Referenzen
Dr. Svilen Ivanov Berater für Informationssicherheit
T-Systems, Telekom Security
Dr. Christian Gorecki Verantwortlich für interne und externe Threat Intelligence Services
T-Systems, Telekom Security
Dr. Alexander Hullmann Experte im Bereich KI, Big Data und Cybersecurity
Deutsche Telekom AG
4
Studie zu Information and Threat Intelligence
BMBF Förderprojekt VAMOS Effiziente Verhaltensanalyse von moderner Schadsoftware
Threat Intelligence Services für Deutsche Großunternehmen & Plattformbetreiber
Cyber Threat Intelligence Definition
5
Cyber Threat Intelligence (CTI) sind Informationen über feindselige Bedrohungen für die Informationssicherheit, die in einem
spezifischen Kontext gesetzt sind und Menschen im Rahmen einer Analyse unterstützen, zukünftige Situationen vorherzusagen oder Entscheidungen zu treffen.
Informationen über feindselige Bedrohungen für die Informationssicherheit
Nutzung durch Menschen in einer Analyse
Unterstützung von Entscheidungsfindung
Referenzen 1. Center for Internet Security, Inc. Beitrag zum Thema “What is Cyber Threat Intelligence?” 2. ISF Bericht „Threat Intelligence, React and Prepare” 3. S. Roberts & R. Brown, “Intelligence Driven Incident Response – Outwitting the Adversary”, O’Reilly 4. SecuPedia, “Definition von Cyber Threat Intelligence“ 5. U. S. Department of Defense, “Joint Publication 2-0: Joint Intelligence”
1010
Cyber Threat Intelligence Zyklus
6
1. Anforderungen
definieren
5. Analyse:
Intelligence produzieren
3. Daten sammeln 7. Entscheidung
treffen
2. Quellen
auswählen
4. Informationen
extrahieren & verarbeiten
6. Intelligence
kommunizieren
8. Aktion
ausführen
9. Prüfen &
verbessern
In Anlehnung an: ISF Bericht „Threat Intelligence, React and Prepare”, 2017
Informationen Intelligence
Cyber Threat Intelligence Zyklus Beispiel: Security strategie Einer Organisation
7
1. Die Strategie soll an die aktuelle Bedrohungslage ausgerichtet werden.
2. Informationen über stattgefundene Cyberangriffe in anderen Organisationen sammeln (z. B. über Mitgliedschaft in einer Community) & aufbereiten.
3. Informationen analysieren und ggf. feststellen dass die eigene Organisation gegen solche Angriffe nicht ausreichend geschützt ist. Die Umsetzung eines Cyber-Security-Programms empfehlen.
4. Programm-Umsetzung beschließen und initiieren, bspw. a. Incident Mgmt. Prozess b. Stärkere Kontrolle der
administrativen Zugriffe c. Stärkerer Schutz der
„Crown Jewels“ d. Bereitschaft für
forensische Untersuchungen und Widerherstellung von Systemen
Cyber Threat Intelligence Zyklus Beispiel: Anwendung im Incident-Response
8
1. Die Aktivitäten im Bereich IT-Forensik durch Einsatz von Intelligence effizienter machen.
2. Über festgestellte Muster für Schadcode X (IOC) Hinweise auf mögliche Angreifer und deren typische Motivation und Angriffsverhalten erfahren (TTP Tactics, Techniques and Procedures).
3. Informationen analysieren und Rückschlüsse über mögliche nächste Ziele des Angreifers ziehen. Anhand der Informationen Suchmuster ableiten und Empfehlung über die nächste Schritte geben.
4. Entscheiden dass System Y als nächstes mit Priorität 1 forensisch untersucht werden soll. U.a. gezielt nach „Spuren“ der Angreifer über festgestellte Muster (TTP) suchen.
Cyber Threat Intelligence Variationen
9
Beispiel: BSI-
Pressemitteilung über gestiegene Cyber-Angriffe auf deutsche Energieversorger (06.18)
Beispiel: Hacker-Gruppe
verabredet sich auf Twitter zu einem DDoS-Angriff
Beispiel: Wikileaks
veröffentlicht Hacking-Werkzeuge der CIA
Beispiel: „Indicators of
Compromise“durch Forensik festgestellt; Input als Regeln zu AV-Lösungen oder IDS
In Anlehnung an: CERT-UK, Whitepaper, „Threat Intelligence: Collecting, Analysing, Evaluating”, 2015
Informationen über Änderung
von Risiken
Angreifer- Methoden und Werkzeuge
Details über bevorstehende
oder laufende Angriffe
Indikatoren für spezifische Schadcode
Low Level High Level
Lang
fris
tige
Nut
zung
Ku
rzfr
istig
e N
utzu
ng
Gute Praxis (NIST Framework) Improving Critical Infrastructure Cybersecurity
Etabliert als gute Praxis für Cybersecurity, adoptiert bei EZB
In der neuen Version 1.1 ist CTI deutlich mehr hervorgehoben.
Schlägt mehrere Implementierungsstufen vor u. a. in Bezug auf CTI
Von „keine Kollaboration und Austausch von CTI“
Bis hin zu „empfangen, bewerten und generieren von priorisierten Informationen, welche die kontinuierliche Risikoanalyse bei einer sich
veränderten Bedrohungslage unterstützt“.
Anwenderorganisationen sind aufgefordert, eine Entscheidung darüber zu treffen, welche Implementierungsstufe für die eigene Organisation angemessen ist.
ISACA Audit/Assurance Programm auf Grundlage von NIST deckt das Thema CTI ab.
10
Quelle: NIST Framework for Improving Critical Infrastructure Cybersecurity
Gute Praxis (EZB TIBER-EU) Threat Intelligence-based Ethical Red Teaming
Der Prozess definiert Tests der Fähigkeit einer Organisation zur Erkennung und Abwehr von Cyberangriffen
Forderungen:
Entwicklung von organisationsspezifischen Bedrohungsszenarien mithilfe von CTI
Durchführung von technischen Tests
Umsetzung von Verbesserungen aufgrund der Testergebnisse
11
Quelle: European Central Bank, TIBER-EU Framework
Austausch
Anwendungsfälle CTI – Übersicht
12
Governance & Strategie
1. Bewertung und Berichten über die Cybersicherheitslage
Betriebliche Prozesse & Technologie
2. Unterstützung des Risikomanagements
3. Erstellung von Cyber-Sicherheitsstrategien
4. Automatische Erkennung und Prävention von technischen Cyberangriffen
5. Anreicherung von Kontextinformationen bei der Incident-Behandlung und IT-Forensik
6. Anreicherung von Kontextinformationen beim Schwachstellen-Management
7. Recherche nach risikorelevanten Informationen
Informationen aufnehmen
Informationen weitergeben
Beispiel Für Austausch CSSA: Cyber Security Sharing & Analytics
13
Verein europäischer Unternehmen
Kernaktivitäten:
Analyse von Sicherheitsvorfällen
Gemeinsamer Aufbau von Threat Intelligence
Austausch über Gespräche, Plattform und monatlicher Lagebericht
Beispiel für Austausch BSI: Bundesamt für Sicherheit in der Informationstechnik
14
Das BSI teilt Threat Intelligence in
den folgenden Kreisen
Gesetzlich verpflichtete Betreiber Kritischer Infrastrukturen
Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen
staatlichen Stellen
Initiative zum Stärken des Know-how zum Schutz gegen Cyber-Angriffen
deutscher Unternehmen
Möglich im Rahmen individueller Realisierung
Noch nicht möglich
Möglich über Produkte und IT-Dienstleistungen
Technische Lösungen zum Schadcodeschutz auf Basis von
Verhaltensanalyse und Heuristik
Detektion bisher unbekannten Angriffsmethoden über Anomalie-Erkennung (z. B. auffällige Web-Clients)
Automatische Erkennung von verdächtigten Domainnamen (z. B. für Früherkennung von Phishing-Angriffen)
Automatische sprachliche Übersetzung
Einsatz von KI: Verfahren zur Automatisierung intelligenten Verhaltens Z. B. Maschinelles Lernen
15
Vorverarbeitung unstrukturierter Daten (z. B. Berichte,
E-Mails, Webseiten, Inhalte in soziale Netze) in einem strukturierten Format
KI kann derzeit Sicherheitsexperten nicht ersetzen aber großen Datenmengen aufbereiten, strukturieren, priorisieren und
den Experten präsentieren, damit sie effektiver und effizienter arbeiten können.
Beantwortung beliebiger Fragen
Vorhersage auf Grundlage unstrukturierter Daten
Fazit: Cyber Threat Intelligence (CTI) ist ein wichtiges Zusatzmittel für Schutz gegen Cyberangriffe. Austausch von Bedrohungsinformationen zwischen Organisationen ist zunehmend wichtig.
Bedrohungsinformationen können auch als standardisierte IT-Dienstleistung bezogen werden.
Die Nutzung dieser Informationen als CTI ist organisationsspezifisch und im Einzelfall zu definieren und implementieren (s. Zyklus).
CTI wird zunehmend in Standards und Frameworks im Bereich Cyber Security explizit gefordert.
16
Vielen Dank für Ihre Aufmerksamkeit!
