Weiterentwicklung der Angreifer erfordert Umdenken der Verteidiger

Die IT-Landschaft sieht sich einer täglich zunehmenden Anzahl von Bedrohungen und Angriffe unterschiedlichster Aktuare ausgesetzt und allzu oft kennen wir nur WAS passiert ist. Gezielte Angriffe auf Unternehmensnetzwerke werden immer komplexer. Mit der „Threat Intelligence“ (TI) setzen Sie auf einen wirkungsvollen und langfristigen Service, der Sie dabei unterstützt, sich selbst zu schützen.

  • null
    Threat Intelligence beginnt mit der systematischen Erfassung, von Bedrohungsinformationen aus relevanten offenen, kommerziellen und geschlossenen Quellen.
  • null
    Unsere Analyst*innen reichern die erfassten Informationen an, setzen sie in einen sinnvollen Kontext und bewerten sie. Die so gewonnen Erkenntnisse strukturieren wir in taktische, operationelle und strategische Threat Intelligence, die wir unseren Kunden zur Verfügung stellen.
  • null
    Die Ergebnisse dieser Arbeit bieten Antworten auf das WARUM und WIESO und unterstützen so Experten und Expertinnen Gefahren, Angriffe und deren Vorgehensweise besser zu verstehen und sich aktiv gegen diese zu schützen.

Was uns ausmacht

Unser Team aus Analysten und Analystinnen erforscht und analysiert aktuelle und aufkommende Bedrohungen und Risiken.

Hierzu setzen wir nicht nur auf unser eigenes Wissen und unsere eigene Sensorik, sondern auch auf den ständigen Austausch mit unseren Kunden, mit den Sicherheitsbehörden, mit CERTs und Interessensgruppierungen sowie auf die Zusammenarbeit mit vertrauenswürdigen Partnern aus Forschung und Lehre.

Wir verstehen Threat Intelligence nicht nur als Ansammlung von Hashwerten, IP-Adressen und Domänen-Namen. Vielmehr zeichnen wird das Bild von der Geopolitik über ihre Auswirkungen im Cyber-Raum bis hinunter zum technischen Indikator. Dadurch können unsere Kunden besser Entscheidungen treffen, sich effektiv vor akuten Angreifergruppen schützen und auch nachhaltige Maßnahmen zur Abwehr relevanter Bedrohungen treffen.

IoC Feeds

Unsere Threat Intelligence Engine (TIE) aggregiert, normalisiert und kontextualisiert Indictors of Compromise (IoC) aus von uns ausgewählten Quellen und stellt diese Indikatoren über eine moderne API bereit.

Die Quellen suchen wir nach strengen Kriterien aus – die Informationen müssen wertvoll, verwendbar und aktuell sein sowie eine niedrige False Positive Rate aufweisen.  Um die False Positive Rate weiter zu reduzieren, fügen wir eigene Filterlisten hinzu. Die TIE liefert IoCs aus freien Quellen, aus kommerziellen Quellen, aus Partner-Informationen sowie aus unseren eigenen Analysen. Auf diese Weise lassen sich qualitativ hochwertige IoCs schnell und einfach in vorhandene Systeme integrieren.

Die API ermöglicht auf jeden Anwendungsfall persönlich zugeschnittene Feeds zu erstellen. So passt sich die TIE den Bedürfnissen jedes IoC-Konsumenten an, egal ob dies ein Web-Proxy, ein SIEM, ein Netzwerk-Analyse-System oder ein Analyst ist. Threat Intelligence wird dann so richtig wertvoll und nutzstiftend, wenn sie von Analysten zusammengestellt, analysiert und bewertet wird um dann zielgruppengerecht aufbereitet und dargereicht zu werden.

Diese menschlichen Fähigkeiten der Analyse und Aufbereitung können bislang durch kein automatisiertes System ersetzt werden. Auch maschinelles Lernen und künstliche Intelligenz scheitern noch an der Erstellung von sinnvollen, zielgruppengerechten Berichten.

TI Reporting

Unser TI Reporting erstellt drei verschiedene Arten von Berichten:

Ad-Hoc Berichte greifen jeweils einen akuten Vorgang auf, der dringlich und wichtig ist und keinen Aufschub bedarf. Dies können z.B. kritische 0-Day Exploits sein oder Incidents, die in der allgemeinen Tagespresse aufgegriffen werden und die für das Management eingeordnet werden müssen.

Weekly TI Reports greifen die jeweils drei bis fünf wichtigsten Themen einer Woche auf und stellen dazu in einem strukturierten Format Fakten inklusive Quellen, Analyse, Bewertung und unsere Handlungsempfehlungen dar. Die Darstellungen sind umfassend und ermöglichen dem Rezipienten eine eigene, fundierte Bewertung vorzunehmen.

Sollten zu einem dargestellten Vorgang zusätzlich technische Indikatoren vorhanden sein, werden diese mittels eines MISP Events begleitend mitgeliefert. Damit stehen die Indikatoren direkt zur Verwendung zur Verfügung. Strategic Reports fassen umfangreiche Forschungsarbeiten zu einem einzelnen Thema in einem längeren Bericht zusammen. Die Themenauswahl wird durch die Interessen der Kunden bestimmt und erstreckt sich von der Analyse der Angreifergruppen eines Landes oder einer Region bis zur Analyse typischer Vorgehensweisen, einzelner Gruppen oder Schadsoftwarefamilien. 

TI Sharing

Der kontinuierliche, zeitnahe und voll-automatisierte Austausch von IoCs ist die Grundlage unseres TI Sharings. Dieser Austausch, der auf einer geschlossenen MISP-Gruppe aufsetzt, ermöglicht eine gemeinsame Verteidigung, die weit mehr ist, als die Summe der Einzelteile.

Darüber hinaus werden in einer wöchentlichen Telefonkonferenz wesentliche Erkenntnisse und Vorkommnisse miteinander geteilt und besprochen – vertrauensvoll und diskret werden Incidents miteinander geteilt sowie Detektions- und Abwehrmaßnahmen besprochen.

Deutsche Cyber-Sicherheitsorganisation GmbH

EUREF-Campus 22, 10829 Berlin, Germany

Nehmen Sie Kontakt zu einem Experten unseres
TI-Service auf. Wir beantworten Ihnen Ihre Fragen und beraten Sie, konkret auf Ihre Bedürfnisse zugeschnitten.

+49 (30) 726219-0

info@dcso.de