Start Empfohlen Nutzen Sie MISP und TheHive, wenn Sie Ihre Cyber ​​Threat Intelligence-Praxis erstellen

Nutzen Sie MISP und TheHive, wenn Sie Ihre Cyber ​​Threat Intelligence-Praxis erstellen

9
0


DevSecOps

Viele CISOs, mit denen ich in ganz Europa spreche, sagen mir, dass ihre Cybersicherheitsteams im Rahmen ihrer Sicherheitsoperationen (SecOps) auf zwei primäre Open-Source-Plattformen angewiesen sind. Das erste ist Plattform zum Austausch von Malware-Informationen (MISP), die das Speichern und Teilen von Indikatoren für Kompromisse (IoCs) mit anderen MISP-Benutzern ermöglicht. Das zweite ist Der Bienenstock, entwickelt für die Reaktion auf Sicherheitsvorfälle (IR). Die beiden Lösungen sind eng integriert, sodass SOCs, CERTs und alle Sicherheitsexperten bei Vorfällen schneller reagieren können.

Für Unternehmen mit begrenzten Ressourcen oder die gerade erst mit dem Aufbau einer SecOps-Praxis beginnen, sind MISP und TheHive benutzerfreundliche Tools, mit denen Ihre Teams auf bösartige Bedrohungen reagieren können. Der nächste Schritt zur proaktiven Risikominderung aus der gesamten Bandbreite der Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, besteht darin, MISP und TheHive zu nutzen, um eine Cyber ​​Threat Intelligence (CTI)-Praxis zu entwickeln. Um dies zu erreichen, müssen Sie eine dritte Plattform in Betracht ziehen, die sich in diese beiden Lösungen integrieren lässt und fünf wesentliche Funktionen für eine CTI-Praxis bietet, damit Ihre Teams Bedrohungen vorbeugen können.

1. Sammeln Sie alle benötigten Daten. Um ein umfassendes Verständnis der Bedrohungen zu erlangen, denen Sie ausgesetzt sind, müssen Sie interne Daten aus dem gesamten Ökosystem sammeln – die Telemetrie, Inhalte und Daten, die von jeder Schicht in Ihrer Sicherheitsarchitektur, lokal und in der Cloud, erstellt werden. Mit den richtigen internen Bedrohungs- und Ereignisdaten, die auf einer Plattform zusammengefasst sind, die als zentrales Repository dient, müssen Sie diese dann mit externen Bedrohungsdaten aus den verschiedenen Quellen, die Sie abonniert haben, ergänzen und anreichern – Open Source (MISP und andere), kommerzielle, Regierung, Industrie, bestehende Sicherheitsanbieter – sowie Frameworks wie MITRE ATT&CK. Out-of-the-Box-Anschlüsse machen dies einfach. Sie benötigen jedoch auch benutzerdefinierte Konnektoren, die innerhalb von Stunden geschrieben und bereitgestellt werden können, um Daten aus neuen Bedrohungsdatenquellen aufzunehmen, wenn neue Krisen und Ausbrüche auftreten, beispielsweise die SolarWinds Orion-Sicherheitsverletzung. Mit der Fähigkeit, Beziehungen über die gesamte Schmerzpyramide hinweg zu organisieren und zu strukturieren – angefangen bei den grundlegenden Indikatoren bis hin zu Malware-Familien und -Kampagnen, Gegnern sowie Taktiken, Techniken und Verfahren (TTPs) – ist der Wert Sicherheit Teams können aus Bedrohungsinformationen ableiten, um zu verstehen, dass der Gegner dramatisch zunimmt.

2. Machen Sie Bedrohungsdaten für Analysen und Maßnahmen nutzbar. Da sich alle Ihre Bedrohungsdaten an einem überschaubaren Ort befinden, müssen Sie jetzt wissen, worauf Sie Ihre Ressourcen konzentrieren müssen, um Risiken zu mindern. Zu Beginn muss die Plattform in der Lage sein, die Daten automatisch zu deduplizieren und zu normalisieren, damit sie für Analyse und Aktion in einem einheitlichen Format vorliegen. Da diese Bedrohungsfeeds unweigerlich einige Daten enthalten, die für Ihr Unternehmen nicht relevant sind, benötigen Sie auch die Möglichkeit, Bedrohungsdaten basierend auf Ihrer Prioritätsdefinition zu bewerten und zu priorisieren, um Störgeräusche automatisch herauszufiltern. Ablaufstrategien, die berücksichtigen, dass verschiedene Informationen unterschiedliche Lebenszyklen haben, stellen sicher, dass Bedrohungsinformationen immer noch genau und aktuell sind. Auf diese Weise können Sie sich auf das konzentrieren, was für Ihr Unternehmen wichtig ist, und relevante Bedrohungsinformationen direkt an Ihr Sensor-Grid (Firewalls, IPS/IDS, Router, Endpunkte sowie Web- und E-Mail-Sicherheit) senden, um die Sicherheitskontrollen für eine bessere Abwehrhaltung zu stärken.

3. Bauen Sie ein organisatorisches Gedächtnis auf. Dieses zentrale Repository ist wirklich eine strukturierte Bibliothek, die auch als organisatorisches Gedächtnis zum Lernen und Verbessern dient. Wenn der Bibliothek neue Daten und Erkenntnisse aus der MISP-Community, TheHive, Ihren internen Tools, Ihren Analysten und anderen vertrauenswürdigen Quellen hinzugefügt werden, werden die Informationen automatisch neu bewertet und neu priorisiert. Das CTI-Programm wird durch die Pflege zuverlässiger und aktueller Informationen weiter verbessert und die Bibliothek hilft, Maßnahmen zu beschleunigen. Beispielsweise kann ein Analyst, dem eine bestimmte Bedrohung oder Kampagne neu ist, von diesem gemeinsamen Wissen und bewährten früheren Techniken profitieren, um seine Analyse, Entscheidungsfindung und Maßnahmen zu beschleunigen.

4. Unterstützen Sie zusätzliche Anwendungsfälle. Da Threat Intelligence das Lebenselixier von Sicherheitsoperationen ist, können Sie mit einem CTI-Programm über den offensichtlichen Anwendungsfall des Threat-Intelligence-Managements hinaus andere Top-Anwendungsfälle adressieren. Durch die Integration mit TheHive können Sie die Reaktion auf Vorfälle unterstützen, aber Sie können sich auch in ein Ökosystem von Tools integrieren, um andere Anwendungsfälle zu unterstützen, einschließlich Spear-Phishing, Threat Hunting, Alert Triage und Vulnerability Management. In jedem dieser Anwendungsfälle ist der Kontext entscheidend, um das Wer, Was, Wo, Wann, Warum und Wie eines Angriffs zu verstehen. Mit der Fähigkeit, Bedrohungsinformationen aus mehreren Quellen zu analysieren und Relevanz und Priorität zu bestimmen, können Sie die richtigen Maßnahmen bestimmen und diese schneller durchführen.

5. Verbesserte Berichterstattung. Innerhalb der Plattform bieten Echtzeit-Dashboards die Daten, Metriken und Statusaktualisierungen, die für jeden einzelnen Stakeholder wichtig sind, um sie zu überwachen. Sie können der Geschäftsleitung regelmäßige Berichte mit für sie wichtigen KPIs zur Verfügung stellen. Sie haben auch sofortigen Zugriff auf relevante Informationen, die an einem Ort organisiert sind, um Ad-hoc-Berichte über die neueste Bedrohung zu erstellen. Wenn es zu einem Angriff kommt, können Sie Informationen darüber erhalten, wer Sie angreift, was Sie wissen und welche Schritte Sie unternehmen, um den Schaden zu mindern.

MISP ist eine großartige Quelle für den Informationsaustausch. Und die Verbindung mit TheHive beschleunigt die Reaktion auf Vorfälle, die für viele Unternehmen Priorität hat. Die Nutzung der beiden Lösungen zur Erstellung eines CTI-Programms bringt Ihre SecOps auf die nächste Stufe. Mit einer Plattform, die mit beiden funktioniert und speziell für bedrohungsorientierte Sicherheitsvorgänge entwickelt wurde, reagieren Ihre Sicherheitsteams nicht nur auf Bedrohungen, sondern mindern auch proaktiv Risiken und antizipieren und verhindern sogar Angriffe.

Bildnachweis: mikkolem/Depositphotos.com

Anthony Perridge ist VP International bei Bedrohungsquote



Vorheriger ArtikelDas Update KB5001330 von Windows 10 verursacht Probleme mit freigegebenen Ordnern und der DNS-Auflösung
Nächster ArtikelGoogle Play Pass ist das Netflix der Android-Apps und -Spiele

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein