Wie kann man die Belastung von SIEM-Systemen minimieren und Threat-Intelligence-Feeds sinnvoll nutzen?

So hilft eine Threat-Intelligence-Plattform SOC-Analysten bei der Arbeit.

Ursprünglich wurden SIEM-Systeme als Tool entwickelt, um Informationen über Sicherheitsereignisse innerhalb einer Infrastruktur zu sammeln und sie anhand externer Daten über bekannte Cyberbedrohungen zu analysieren. Lange Zeit erfüllten sie ihre Aufgabe sogar recht gut. Da sich aber sowohl die Bedrohungslandschaft als auch die Informationssicherheitsbranche weiterentwickeln, kommen immer mehr Threat-Intelligence-Feeds mit veränderten Strukturen auf den Markt. Vielen Experten ist klar geworden, dass SIEM-Systeme ein neues Tool benötigen, das die Navigation in den Bedrohungsdatenströmen ermöglicht, damit sie effektiv arbeiten können.

Warum benötigen SIEM-Systeme Unterstützung?

Auf den ersten Blick mag es so aussehen, als ob ein SIEM-System seine Aufgabe umso effektiver erfüllt, je mehr externe Cyberbedrohungsdaten ihm zugeführt werden. Das ist nicht der Fall.

Erstens: Je mehr Indikatoren ein System verarbeitet, desto mehr Warnungen erzeugt es. Selbst wenn wir davon ausgehen, dass es eine minimale Anzahl von Fehlalarmen (False Positive) gibt (gegen die niemand immun ist), wird ein Analyst nicht in der Lage sein, schnell durch Millionen von Doppel-Meldungen zu navigieren und die wichtigsten zu priorisieren.

Zweitens sind bestehende SIEM-Systeme einfach nicht dafür ausgelegt, eine unendliche Anzahl von Indikatoren zu verarbeiten. Werden sie mit mehreren Feeds verbunden, steigt die Arbeitsbelastung des Systems erheblich, was sich negativ auf die Erkennungsrate von Vorfällen auswirken kann. Das Gleiche kann passieren, wenn Sie versuchen, ein Szenario mit häufigen TI-Feed-Updates zu implementieren. Das ist zwar nicht völlig unmöglich, aber auch hier können Leistung und Erkennungsrate in Mitleidenschaft gezogen werden.

Darüber hinaus eignet sich ein SIEM-System nicht für eine Detailarbeit mit Bedrohungsdaten-Feeds. Es kann beispielsweise nicht die Qualität und Erkennungsrate von Feeds verschiedener Anbieter vergleichen oder maskierte Kompromittierungsindikatoren aus Feeds in Form von URLs, Hosts oder Domains verarbeiten. Benötigt ein Analyst weiteren Kontext für einen beliebigen Indikator, ist dafür ein zusätzliches Tool erforderlich (dabei spielt es keine Rolle, dass der benötigte Kontext in den Feeds vorhanden ist – das SIEM-System weiß möglicherweise nicht, wie es darauf zugreifen kann). Auch der wirtschaftliche Faktor sollte berücksichtigt werden. Denn die meisten SIEMs bieten eine lastbasierte Lizenzierung: d. h., je mehr Indikatoren verarbeitet werden, desto höher sind dementsprechend die anfallenden Kosten.

So schafft eine Threat-Intelligence-Plattform Abhilfe

Im Grunde genommen kann eine Threat-Intelligence-Plattform alle oben genannten Nachteile und Probleme von SIEM-Systemen aus der Welt schaffen. Aber zunächst einmal ist sie ein unverzichtbares Tool, mit dem Sie durch eine Vielzahl von Feeds verschiedener Anbieter navigieren können. Sie können mehrere Feeds (nicht unbedingt im gleichen Format) miteinander verbinden und sie anhand verschiedener Parameter vergleichen. Beispielsweise können Sie feststellen, dass sich Indikatoren in verschiedenen Feeds überschneiden, was Ihnen dabei hilft, doppelte Datenströme zu identifizieren und möglicherweise einige davon abzulehnen. Sie können Feeds auch anhand statistischer Erkennungsindizes vergleichen. In Anbetracht der Tatsache, dass einige Anbieter Testperioden für die Verwendung ihrer Feeds anbieten, könnte dies eine gute Möglichkeit sein, die Wirksamkeit vor dem Kauf zu beurteilen.

Threat-Intelligence-Plattformen bieten SOC-Analysten auch viele zusätzliche Funktionen, die in einem SIEM einfach nicht möglich sind. Beispielsweise kann eine retrospektive Scanfunktion verwendet werden, die eine doppelte Überprüfung zuvor gespeicherter Verlaufsprotokolle und Daten zu neuen Feeds ermöglicht. Eine weitere verfügbare Funktion ist die Anreicherung von Indikatoren aus verschiedenen Drittanbieterquellen wie VirusTotal. Schließlich ermöglicht eine gute Threat-Intelligence-Plattform auf der Grundlage spezifischer Warnungen das Auffinden und Herunterladen von APT-Berichten, in denen Angreifer-Taktiken, -Techniken und -Verfahren sowie praktische Empfehlungen zur Anwendung von Gegenmaßnahmen aufgeführt sind.

Die Threat-Intelligence-Plattform ermöglicht es Ihnen, Indikatoren zu filtern und herunterzuladen, Ereignisse zu sortieren, alles in einer grafischen Oberfläche anzuzeigen, um Analysten die Arbeit zu erleichtern, und vieles mehr. Es hängt von den Fähigkeiten der jeweiligen Plattform ab.

So ergänzt eine Threat-Intelligence-Plattform die Arbeit von Analysten & SIEM-Systemen

Im Großen und Ganzen übernimmt eine im internen Netzwerk einer Organisation installierte Threat-Intelligence-Plattform die Analyse und Korrelation eingehender Daten, wodurch die Belastung des SIEM-Systems erheblich reduziert wird. Sie ermöglicht es Ihnen, Ihre eigenen Warnungen zu generieren, wenn Bedrohungen erkannt werden. Zudem lässt sie sich auch über eine API in Ihre bestehenden Überwachungs- und Reaktionsprozesse integrieren.

Im Wesentlichen generiert eine Threat-Intelligence-Plattform ihren eigenen Erkennungsdaten-Feed basierend auf den Anforderungen Ihres Unternehmens. Dies ist besonders nützlich, wenn in Ihrer Infrastruktur mehrere SIEM-Systeme parallel laufen. Ohne eine Threat-Intelligence-Plattform müssten Sie die Rohdaten in jedes dieser Systeme einspeisen.

Ein Praxisbeispiel

Schauen wir uns einen einfachen Vorfall an, um herauszufinden, wie eine Threat-Intelligence-Plattform Analysten bei der Arbeit unterstützen kann. Stellen Sie sich vor, ein Unternehmensbenutzer besucht von seinem Arbeitscomputer aus eine Website, deren URL von Threat-Intelligence-Feeds als bösartig aufgeführt werden. Die Plattform identifiziert das Ereignis, reichert es mit Kontext aus dem Feed an und sendet diese Erkennung zur Registrierung an das SIEM-System. Im nächsten Schritt wird der SOC-Analyst auf das Ereignis aufmerksam und beschließt, den Vorfall mithilfe einer Threat Intelligence-Plattform genauer zu untersuchen.

Direkt aus der Erkennungsliste kann er die im TI-Stream verfügbaren Kontextinformationen öffnen: IP-Adresse, Hashes bösartiger Dateien, die mit dieser Adresse verknüpft sind, Urteile über Sicherheitslösungen, WHOIS-Dienstdaten usw. Zur Verdeutlichung öffnet sich eine grafische Oberfläche – die bequemste Art, die Angriffskette zu analysieren.

Bislang gibt es nicht viele Informationen:  Die Oberfläche zeigt die Erkennung selbst, die erkannte schädliche URL und die interne IP-Adresse des Computers, mit dem jemand auf die URL zugegriffen hat. Klickt man auf das Symbol für schädliche URLs, werden bekannte Indikatoren für diese Adresse abgefragt: IP-Adresse, andere URLs und Hashes schädlicher Dateien, die in der Vergangenheit von der Website heruntergeladen wurden.

Der nächste Schritt besteht darin, zu prüfen, ob andere Beobachtungen mit denselben Indikatoren bereits in der Unternehmensinfrastruktur registriert worden sind. Der Analyst klickt auf ein beliebiges Objekt (z. B. eine schädliche IP-Adresse) und zeigt zusätzliche Erkennungen im Diagramm an. Das heißt, er kann mit einem Klick herausfinden, welcher Nutzer welche IP-Adresse geöffnet hat (oder auf welchem Rechner eine URL-Anfrage vom DNS-Server die IP-Adresse zurückgegeben hat). Ebenso wird überprüft, welche Benutzer die Datei heruntergeladen haben, deren Hash in den zugehörigen Indikatoren angezeigt wird.

Ein einziger Vorfall kann in Tausenden von Erkennungen resultieren, die ohne die benutzerfreundliche grafische Oberfläche der TI-Plattform nur schwer von Hand auszusortieren wären. Der verfügbare Kontext aus Cyberbedrohungsdaten-Feeds wird dann im gesamten Diagramm angezeigt und der Analyst kann Objekte gruppieren, ausblenden oder eine automatische Knotengruppierung vornehmen. Sollten zusätzliche Informationsquellen zur Verfügung stehen, können Indikatoren auch manuell hinzugefügt und ihre Korrelation unabhängig markiert werden.

Daher kann der Experte eine vollständige Angriffskette rekonstruieren und nachvollziehen, wie alles begann. Ein Beispiel: Ein Nutzer hat die URL einer schädlichen Website eingegeben, der DNS-Server hat die IP-Adresse zurückgegeben, und derselbe Nutzer hat eine Datei mit einem bekannten Hash von der Website heruntergeladen.

Fazit

Eine qualitativ hochwertige Threat-Intelligence-Plattform dient als eine Art Zwischenglied, das einerseits die Belastung des SIEM-Systems deutlich reduzieren kann, ohne die Qualität der Erkennung zu beeinträchtigen, und andererseits allen Analysten das Leben einfacher macht.

Tipps