Threat Intelligence. Welche Informationen sind wirklich relevant und wie kann man diese anwenden? Thomas Hemker, CISSP, CISM, CISA

Transkript

1 ISD 2016 Threat Intelligence Welche Informationen sind wirklich relevant und wie kann man diese anwenden? Thomas Hemker, CISSP, CISM, CISA Security Strategist, CTO Office

2 Drivers Thomas Hemker, CISSP, CISM, CISA 21 Jahre IT Sicherheit PGP #THeSecurity kulturjournal/wenn-computerviren-zu- Waffen-werden,kulturjournal4774.html CTO Office CISO Kontakt Sprecher, Autor ISF, TeleTrust, Bitkom ISACA, (ISC)2, HDG

3 Hintergrund Threat Intelligence (nicht nur) zur Angriffserkennung Welche Informa<on sind relevant? Wie verarbeitet man diese? Eigene Szenarien/ Fragestellungen Diskussion starten Baustein Umsetzung Programm

4 ISD 2016 Threat Intelligence hgps://

5 Threat Intelligence

6 Ponemon Ins<tute Research 03/15: The Importance of Cyber Threat Intelligence

7 Threat Intelligence Externe Quellen Portal, Feeds, APIs Reputation IP, URL, Domain Vulnerabilities, Malware, Reports - SO

8

9

10 Mögliche Probleme - Schlechtes TI Programm und nicht-definierte Prozesse - Fehlende Standards und schlechte Qualität der Information - Daten nicht nutzbar für die Geschäftsführung - Fehlender Kontext in den Quellen - Fokus nur auf das Blocken bekannter Angriffe hgp://

11 ISD 2016 Anwendung

12 Drivers Inhibitors Wie baue ich das in mein Security Programm? Regulierung Schwachstellen Compliance Angriffe Risiko Bedrohungslage Assets Erkennung Geschä^ Korella<on

13 Risiko Analyse Periodisch Angriffe Immer Security Strategie Periodisch Grundlagen Immer Direk:ve Quartal Aufsicht Alle 6 Monate

14 SOC, CDC,? Monitoring Incident Iden<fica<on Incident Classifica<on Real Time Device Monitor Vulnerability Assessment Penetra<on Test Security & Compliance Audit Cyber Security Intelligence Performance Monitoring Fault Monitoring Policy Compliance Hun<ng Honeypodng Business Impact Analysis Risk Assessment Threat Assessment Technology Watch Advisoring Incident No<fica<on Aler<ng & Warning Trending Technical Repor<ng Security Hotline Execu<ve Repor<ng Security Consul<ng Awareness Countermeasures Selec<on Managing Incident Response Incident Recovery Forensics Evidence Collec<on Malware Analysis Forensics Analysis Tracking & Tracing Post Mortem Analysis Secure Device Configura<on Secure Device Maintenance Policy Management Policy Enforcement Patch Management Events Data Reten<on Endpoint Management Hardening Business Con<nuity Asset Inventory Policy Planning Risk Management Educa<on/Training Cer<fica<on

15 Plattform, Integration (Bsp.: Symantec GSO intern)

16 Austausch von Informationen - Threat Sharing Platform - Indikatoren (IP, Domain, URL, Hashes, Mail, IDS Regeln, Registry Keys etc.) - Reports - Integrationsaufwand - Standards - Community - Entwicklung - STIX, TAXII, - CyBOX - SO

17 Operationalisierung der Daten 1 - Datenanalyse (Baselining, Anpassung) - Korrelationsregeln (Anwendbar, IoC, Klassen, Verhalten, Kritikalität Assets) - Rückmeldungen und Anpassungen (Teams, Lieferanten) - SO

18 Operationalisierung der Daten 2 - Alarme und Metriken (Monitor, Feeds) - Korrelationsmetriken (SOC Analyst- Tickets) - SO

19 Monitoring - Kontext/Zeit - IDS - HotIP

20 Monitoring - Quellen für die Korrelation (Firewall, DNS, OS, IDS, LB, Web, Extern)

21 Blocking - IPS Blocking - IP Blocking - Endpoint Blocking - DNS Sinkhole - Advanced Threat Protection - Wie mutig ist man?

22 Weitere Anwendungsbeispiele - Konfigurationsermittlung vs. Schwachstellenermittlung auch passiv - CVE Abgleich mit Exploits - Ausnutzbarkeit -> Wahrscheinlichkeit - Zuweisung zu Assets Priorität - Lebenszyklus von Schwachstellen und Angriffen beobachten - Forensische Maßnahmen

23 ISD 2016 Threat Intelligence ist wichtig Erkennung und Reaktion Risikoberechnung Abwehr Aufbau Schritt für Schritt Austausch