Verbessern des Datenverständnisses
Rocco Gagliardi
Starten Sie Ihr Cyber Threat Intelligence basierend auf Datenbreaches
Doch wie können wir die Prioritäten festlegen? Angreifer im virtuellen Raum tendieren eher zurück zu schauen als in die Zukunft. Deshalb ist es auch für uns von Vorteil zu diskutieren, was zuvor passiert ist und wie wir zukünftig damit umgehen können. Klingt soweit ganz einfach, doch was ist denn nun eigentlich bisher passiert?
Wir alle kennen die sogenannten Cyber Threat Intelligence (CTI) Reports. Diese oft alljährlich erscheinenden Dokumente voller Statistiken, Grafiken, Trends und Kommentaren. Und wir alle wissen eigentlich nicht genau, auf welchen oftmals proprietären Daten diese Resultate eigentlich basieren. Doch wenn wir die Berichte ein bisschen genauer anschauen, dann fallen uns ein paar Dinge auf:
Bisher haben generische CTI Reports dabei geholfen, die wichtigsten Aspekte zu identifizieren. Jetzt geht es jedoch darum, einen Schritt weiter zu gehen und Details zu Akteuren, Opfern und Vektoren zu diskutieren. Das Verwalten von Listen zu Incidents und Statistiken ist grundsätzlich nützlich. Damit aber mit diesen Daten wirklich gearbeitet werden kann, müssen sie in Bezug auf technische, industrielle und soziale Aspekte normalisiert werden. Viele Listen und Datenbanken halten zwar Daten zu Akteuren, Opfern und betroffenen Assets bereit. Dabei wird oftmals aber nur eine sehr minimalistische Zusammenfassung der Ereignisse bereitgestellt.
Für einzelne Punkte eines Risk Management Prozesses ist es wichtig, dass verlässliche Daten und nicht nur ein Bauchgefühl vorhanden ist. Ein guter Datensatz sollte detaillierte Fragen beantworten, wie zum Beispiel, welche Rolle Flash-Drives bei einem Incidents gespielt haben. Und welche Incidents mit Flash-Drives für mich relevant sind, weil sie Organisationen ähnlicher Strukturen betroffen haben.
Um einen eigenen Report ausarbeiten zu können, müssen Rohdaten in hoher Qualität herangezogen werden können. Wir können diese dann aus unserer Sicht untersuchen und die relevanten Fakten extrahieren. Dabei ist es nicht genug, sich auf einzelne Aspekte wie Finanz oder Malware zu fokussieren. Wir müssen möglichst exakt herausfinden, welche Akteure involviert waren, wer die Opfer waren und was angegriffen wurde.
Die VERIS Database bietet die am besten strukturierten und komplettesten Daten zu Incidents an. Incidents werden analysiert und die Daten – sofern vorhanden – normalisiert und verifiziert. Dadurch kann ein hohes Mass an Konsistenz gewährleistet werden. Jeder Incident wird dabei in vier Elemente aufgegliedert:
Das Opfer wird einem Industriesektor zugewiesen, wobei man sich auf den NAICS Standard beruft (die Umwandlung nach SIC/ISIC oder anderen ist möglich). Dies ist von elementarer Wichtigkeit, um die Incidents den entsprechenden Firmen eines Sektors zuweisen zu können.
Zum Beispiel wir im Bereich Herstellung (Manufacturing) zwischen Erdöl- und Kohleförderung (Petroleum and Coal Products Manufacturing) und Chemische Herstellung (Chemical Manufacturing) unterschieden. Obwohl die Verfahren sehr ähnlich sind, können sich grosse Unterschiede – gerade bei der Nutzung von IT-Standards – auftun. Auf den ersten Blick können Eigenheiten und Unterschiede von Angriffen identifiziert werden, wodurch die eigene Risikomatrix angepasst werden kann:
Ausgehend von der Perspektive Sektor:
Sector | Asset Variety | Action Variety | Actor |
---|---|---|---|
3240 – Petroleum and Coal Products Manufacturing | S – Database | Misconfiguration | Internal |
3250 – Chemical Manufacturing | U – Laptop | Theft | External |
3250 – Chemical Manufacturing | M – Payment card | Possession abuse | Internal |
Ausgehend von der Perspektive Asset:
Asset Variety | Actor | Action Variety | C-I-A Impact |
---|---|---|---|
S – Database | External | Knowledge abuse | CIA |
S – Database | Internal | Misconfiguration | -IA |
S – Database | Internal | Abuse of functionality | -IA |
Dies sind schlussendlich die Fakten. Basieren also nicht nur auf subjektiver Wahrnehmung, sondern gewähren eine verlässliche Ausgangslage für die Weiterverarbeitung im Rahmen eines Risk Management Frameworks.
Die VERIS Database ist als JSON-Datei verfügbar, wodurch sie einfach mittels R, Phyton/Panda/Jupiter und anderen Tools geparst werden kann. Im Rahmen unserer Risikoanalysen tendiern wir dazu, JSON als CSV zu nutzen und die für uns relevanten Parameter innerhalb von Worksheets weiterzuverwenden.
VERIS Database ist nicht die einzige Datenquelle dieser Art, die sich im Internet findet. Dies sind einige weitere Datenbanken, die Incidents dokumentieren:
Desweiteren einige CTI-Quellen:
Bei Betrachtungen dieser Art ist es wichtig, dass das genutzte Modell verschiedene Variablen mitberücksichtigen kann. Intuition ist zwar eine gute Sache, doch schlussendlich sollen harte Fakten massgebend für eine Entscheidung sein. Im Cyber-Bereich ist dies keine einfache Aufgabe, da trotz ständigem Bekanntwerden neuer Incidents die öffentlich verfügbaren Details zu diesen oftmals ausbleiben. Verschiedene Initiativen haben in den vergangenen Jahren versucht derlei Daten zugänglich zu machen. Es liegt jedoch noch ein weiter Weg vor uns, bis wir alle wirklich davon profitieren können.
Unsere Spezialisten kontaktieren Sie gern!
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Unsere Spezialisten kontaktieren Sie gern!