Was ist Cyber Threat Intelligence und wofür kann man es nutzen? ISACA Fokus Event Meet & Explore, , Bonn Dr.

Transkript

1 Was ist Cyber Threat Intelligence und wofür kann man es nutzen? ISACA Fokus Event Meet & Explore, , Bonn Dr. Svilen Ivanov

2 Einleitung Beobachtete Tendenzen 2. Neuausrichtung und gestiegene Operationalisierung des Informationssicherheitsmanagements Neue Anforderungen Die Bedrohungslage sowohl auf strategischer als auch auf operativer Ebene besser zu kennen. Auf Grundlage von (tages)aktuellen Bedrohungsinformationen Entscheidungen treffen. Der Begriff Cyber Threat Intelligence wird in verschiedenen Kontexten genutzt. Auf Prävention fokussierten Ansatz Kombination aus Prävention, Detektion und Reaktion Was ist Cyber Threat Intelligence und wie kann sie dabei helfen? 2

3 Inhalte Cyber Threat Intelligence Definition Grundlagen & gute Praxis Anwendungsszenarien Einsatz von KI Fazit Es ist geplant, die Inhalte des Vortrags in ausführlicher Form als Artikel in der IT Governance, Heft 28, September 2018 zu veröffentlichen. 3

4 Mitwirkende & Ausgewählte Referenzen Dr. Svilen Ivanov Berater für Informationssicherheit T-Systems, Telekom Security Dr. Christian Gorecki Verantwortlich für interne und externe Threat Intelligence Services T-Systems, Telekom Security Dr. Alexander Hullmann Experte im Bereich KI, Big Data und Cybersecurity Deutsche Telekom AG Studie zu Information and Threat Intelligence Threat Intelligence Services für Deutsche Großunternehmen & Plattformbetreiber BMBF Förderprojekt VAMOS Effiziente Verhaltensanalyse von moderner Schadsoftware 4

5 Cyber Threat Intelligence Definition Cyber Threat Intelligence (CTI) sind Informationen über feindselige Bedrohungen für die Informationssicherheit, die in einem spezifischen Kontext gesetzt sind und Menschen im Rahmen einer Analyse unterstützen, zukünftige Situationen vorherzusagen oder Entscheidungen zu treffen Informationen über feindselige Bedrohungen für die Informationssicherheit Nutzung durch Menschen in einer Analyse Unterstützung von Entscheidungsfindung Referenzen 1. Center for Internet Security, Inc. Beitrag zum Thema What is Cyber Threat Intelligence? 2. ISF Bericht Threat Intelligence, React and Prepare 3. S. Roberts & R. Brown, Intelligence Driven Incident Response Outwitting the Adversary, O Reilly 4. SecuPedia, Definition von Cyber Threat Intelligence 5. U. S. Department of Defense, Joint Publication 2-0: Joint Intelligence 5

6 Cyber Threat Intelligence Zyklus 8. Aktion ausführen 1. Anforderungen definieren 2. Quellen auswählen 7. Entscheidung treffen 9. Prüfen & verbessern 3. Daten sammeln 6. Intelligence kommunizieren 5. Analyse: Intelligence produzieren Intelligence 4. Informationen extrahieren & verarbeiten Informationen In Anlehnung an: ISF Bericht Threat Intelligence, React and Prepare,

7 Cyber Threat Intelligence Zyklus Beispiel: Security strategie Einer Organisation 4. Programm-Umsetzung beschließen und initiieren, bspw. a. Incident Mgmt. Prozess b. Stärkere Kontrolle der administrativen Zugriffe c. Stärkerer Schutz der Crown Jewels d. Bereitschaft für forensische Untersuchungen und Widerherstellung von Systemen 1. Die Strategie soll an die aktuelle Bedrohungslage ausgerichtet werden. 3. Informationen analysieren und ggf. feststellen dass die eigene Organisation gegen solche Angriffe nicht ausreichend geschützt ist. Die Umsetzung eines Cyber-Security-Programms empfehlen. 2. Informationen über stattgefundene Cyberangriffe in anderen Organisationen sammeln (z. B. über Mitgliedschaft in einer Community) & aufbereiten. 7

8 Cyber Threat Intelligence Zyklus Beispiel: Anwendung im Incident-Response 1. Die Aktivitäten im Bereich IT-Forensik durch Einsatz von Intelligence effizienter machen. 4. Entscheiden dass System Y als nächstes mit Priorität 1 forensisch untersucht werden soll. U.a. gezielt nach Spuren der Angreifer über festgestellte Muster (TTP) suchen. 2. Über festgestellte Muster für Schadcode X (IOC) Hinweise auf mögliche Angreifer und deren typische Motivation und Angriffsverhalten erfahren (TTP Tactics, Techniques and Procedures). 3. Informationen analysieren und Rückschlüsse über mögliche nächste Ziele des Angreifers ziehen. Anhand der Informationen Suchmuster ableiten und Empfehlung über die nächste Schritte geben. 8

9 Kurzfristige Nutzung Langfristige Nutzung Cyber Threat Intelligence Variationen Beispiel: BSI- Pressemitteilung über gestiegene Cyber- Angriffe auf deutsche Energieversorger (06.18) Informationen über Änderung von Risiken Angreifer- Methoden und Werkzeuge Beispiel: Wikileaks veröffentlicht Hacking- Werkzeuge der CIA Beispiel: Hacker-Gruppe verabredet sich auf Twitter zu einem DDoS- Angriff Details über bevorstehende oder laufende Angriffe Indikatoren für spezifische Schadcode Beispiel: Indicators of Compromise durch Forensik festgestellt; Input als Regeln zu AV- Lösungen oder IDS High Level Low Level In Anlehnung an: CERT-UK, Whitepaper, Threat Intelligence: Collecting, Analysing, Evaluating,

10 Gute Praxis (NIST Framework) Improving Critical Infrastructure Cybersecurity Etabliert als gute Praxis für Cybersecurity, adoptiert bei EZB In der neuen Version 1.1 ist CTI deutlich mehr hervorgehoben. Schlägt mehrere Implementierungsstufen vor u. a. in Bezug auf CTI Von keine Kollaboration und Austausch von CTI Bis hin zu empfangen, bewerten und generieren von priorisierten Informationen, welche die kontinuierliche Risikoanalyse bei einer sich veränderten Bedrohungslage unterstützt. Anwenderorganisationen sind aufgefordert, eine Entscheidung darüber zu treffen, welche Implementierungsstufe für die eigene Organisation angemessen ist. ISACA Audit/Assurance Programm auf Grundlage von NIST deckt das Thema CTI ab. Quelle: NIST Framework for Improving Critical Infrastructure Cybersecurity 10

11 Gute Praxis (EZB TIBER-EU) Threat Intelligence-based Ethical Red Teaming Der Prozess definiert Tests der Fähigkeit einer Organisation zur Erkennung und Abwehr von Cyberangriffen Forderungen: Entwicklung von organisationsspezifischen Bedrohungsszenarien mithilfe von CTI Durchführung von technischen Tests Umsetzung von Verbesserungen aufgrund der Testergebnisse Quelle: European Central Bank, TIBER-EU Framework 11

12 Anwendungsfälle CTI Übersicht Governance & Strategie 1. Bewertung und Berichten über die Cybersicherheitslage 2. Unterstützung des Risikomanagements 3. Erstellung von Cyber- Sicherheitsstrategien Informationen aufnehmen Austausch Informationen weitergeben 4. Automatische Erkennung und Prävention von technischen Cyberangriffen 7. Recherche nach risikorelevanten Informationen 5. Anreicherung von Kontextinformationen bei der Incident-Behandlung und IT-Forensik 6. Anreicherung von Kontextinformationen beim Schwachstellen-Management Betriebliche Prozesse & Technologie 12

13 Beispiel Für Austausch CSSA: Cyber Security Sharing & Analytics Verein europäischer Unternehmen Kernaktivitäten: Analyse von Sicherheitsvorfällen Gemeinsamer Aufbau von Threat Intelligence Austausch über Gespräche, Plattform und monatlicher Lagebericht 13

14 Beispiel für Austausch BSI: Bundesamt für Sicherheit in der Informationstechnik Das BSI teilt Threat Intelligence in den folgenden Kreisen Gesetzlich verpflichtete Betreiber Kritischer Infrastrukturen Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen Initiative zum Stärken des Know-how zum Schutz gegen Cyber-Angriffen deutscher Unternehmen 14

15 Einsatz von KI: Verfahren zur Automatisierung intelligenten Verhaltens Z. B. Maschinelles Lernen Möglich über Produkte und IT-Dienstleistungen Technische Lösungen zum Schadcodeschutz auf Basis von Verhaltensanalyse und Heuristik Detektion bisher unbekannten Angriffsmethoden über Anomalie-Erkennung (z. B. auffällige Web-Clients) Automatische Erkennung von verdächtigten Domainnamen (z. B. für Früherkennung von Phishing-Angriffen) Automatische sprachliche Übersetzung Möglich im Rahmen individueller Realisierung Vorverarbeitung unstrukturierter Daten (z. B. Berichte, s, Webseiten, Inhalte in soziale Netze) in einem strukturierten Format Noch nicht möglich Beantwortung beliebiger Fragen Vorhersage auf Grundlage unstrukturierter Daten KI kann derzeit Sicherheitsexperten nicht ersetzen aber großen Datenmengen aufbereiten, strukturieren, priorisieren und den Experten präsentieren, damit sie effektiver und effizienter arbeiten können. 15

16 Fazit: Cyber Threat Intelligence (CTI) ist ein wichtiges Zusatzmittel für Schutz gegen Cyberangriffe. Austausch von Bedrohungsinformationen zwischen Organisationen ist zunehmend wichtig. Bedrohungsinformationen können auch als standardisierte IT-Dienstleistung bezogen werden. Die Nutzung dieser Informationen als CTI ist organisationsspezifisch und im Einzelfall zu definieren und implementieren (s. Zyklus). CTI wird zunehmend in Standards und Frameworks im Bereich Cyber Security explizit gefordert. Vielen Dank für Ihre Aufmerksamkeit! 16