Ein intelligenterer Ansatz der Threat Intelligence

In der heutigen sich ständig verändernden Cyber-Umgebung ist ein Verständnis der gegnerischen Aktivitäten durch Cyber Threat Intelligence (CTI) für die effektive Abwehr von entscheidender Bedeutung. Das Management von CTI-Feeds bleibt jedoch eine Herausforderung, da es schwierig ist, die Qualität der Feeds zu bewerten und ein hoher manueller Aufwand erforderlich ist, um relevante Quellen zu finden, zu kombinieren und zu pflegen.

Unser CTO Dr. Markus Happe, unsere Senior Cyber Security Engineers Rebecca Klauser und Pavlos Lamprakis, sowie Bernhard Tellenbach, Co-Autor und Leiter Cyber Security bei armasuisse S+T, Ariane Trammell, Leiterin der Forschungsgruppe Informationssicherheit an der ZHAW Zürcher Hochschule für Angewandte Wissenschaften und auch eine geschätzte Kooperationspartnerin der Innosuisse, Onur Veyisoglu, Senior Security Researcher an der ZHAW, und Andreas Rüedlinger von der Deimos AG haben sich zusammengeschlossen, um eine Forschungsarbeit über eine Plattform zur automatisierten Sammlung, Normalisierung, Aggregation, Metadatenanreicherung und Auswertung von verschiedenen Open Source Intelligence (OSINT) Feeds zu verfassen.

Darf ich vorstellen: FeedMeter—eine Plattform, die diesen Prozess vereinfacht. FeedMeter sammelt, normalisiert und aggregiert Bedrohungsinformationen und bewertet sie kontinuierlich anhand von acht deskriptiven Metriken, um die Qualität der Feeds einzuschätzen. Dieser Ansatz reduziert den manuellen Aufwand und ermöglicht es den Sicherheitsteams, sich auf umsetzbare Erkenntnisse zu konzentrieren.

FeedMeter wurde über einen Zeitraum von vier Jahren mit mehr als 150 OSINT-Quellen getestet und hat seinen Wert unter Beweis gestellt. Die Metriken der Plattform sind vielversprechende Indikatoren für die Qualität der Feeds. Ein Vergleich mit einem führenden kommerziellen Feed unterstreicht zudem die Fähigkeit der Plattform, die Effektivität von CTI für die Cybersicherheitsgemeinschaft zu verbessern.

CTI-Feeds liefern wichtige Informationen über Cyber-Bedrohungen, einschliesslich Schwachstellen, Malware und Angreiferprofile. Die manuelle Verwaltung mehrerer CTI-Feeds ist jedoch arbeitsintensiv, und die Bewertung ihrer Qualität stellt eine Herausforderung dar. FeedMeter adressiert diese Probleme mit mehreren wichtigen Funktionen:

1. Sammlung und Normalisierung: FeedMeter sammelt Bedrohungsinformationen aus verschiedenen Quellen, standardisiert die Daten und integriert sie in ein einheitliches System, um die Analyse zu erleichtern.
2. Aggregation: FeedMeter konsolidiert mehrere CTI-Feeds, reduziert Redundanzen und bietet eine genauere und umfassendere Sicht auf aktuelle Bedrohungen.
3. Qualitätsüberwachung: Die Plattform bewertet kontinuierlich die Feed-Qualität anhand von acht Metriken wie Genauigkeit, Aktualität und Relevanz und liefert Sicherheitsteams zuverlässige Datenbewertungen.
4. Reduzierung des manuellen Aufwands: FeedMeter spart den Sicherheitsexperten Zeit und Ressourcen, indem es Aufgaben wie die Überwachung und Pflege von Datenfeeds automatisiert.

FeedMeter reduziert die Arbeitsbelastung für Sicherheitsteams erheblich und liefert wertvolle Einblicke in die Qualität von Bedrohungsdaten. Es hat sich als wertvolles Werkzeug zur Verbesserung der Effizienz und Effektivität von CTI-Feeds erwiesen und übertrifft in einigen Bereichen sogar kommerzielle Lösungen, insbesondere bei der Reduzierung des manuellen Aufwands.

Der oben erwähnte Vergleich zwischen FeedMeter und einem gängigen kommerziellen CTI-Feed bestätigte die Nützlichkeit und Effizienz von FeedMeter, da es in Bezug auf die Qualität des Feeds mit der kommerziellen Lösung mithalten konnte und diese in einigen Bereichen, insbesondere bei der Reduzierung des manuellen Arbeitsaufwands, sogar übertraf. FeedMeter unterstützt Sicherheitsteams entscheidend dabei, den Wert der verfügbaren Bedrohungsdaten zu maximieren und die Effizienz ihrer Cyber-Abwehrstrategien zu verbessern.

Die Autoren von Exeon Analytics sind dankbar für diese erfolgreiche Forschungsarbeit und ihre Ergebnisse und laden Sie ein, die vollständige Veröffentlichung hier zu lesen.