Es ist keine Frage mehr ob, sondern wann: Laut einer Bitkom-Studie von 2022 werden 9 von 10 Unternehmen zum Ziel von Cyberkriminalität. Den Schaden für die deutsche Wirtschaft beziffert der Branchenverband auf über 200 Milliarden Euro jährlich. Auch Unternehmen, die bis jetzt von Cyberattacken verschont geblieben sind, werden sich in naher Zukunft mit dem Thema konfrontiert sehen. Mithilfe von Cyber Threat Intelligence können Sicherheitsverantwortliche mögliche Bedrohungen frühzeitig erkennen und entsprechende Gegenmaßnahmen treffen.

Threat Intelligence im richtigen Zusammenhang

Mit Cyber Threat Intelligence (CTI) werden mit klar definiertem Ziel Daten gesammelt, ausgewertet und aktualisiert. Standardisierte Feeds wie TAXII und STIX bieten zusätzlichen Sicherheitsgewinn durch schnellen Austausch über aktuelle Bedrohungen und Abwehrstrategien auf vielen Ebenen und Plattformen. Wie das funktioniert, erfahren Sie in diesem Artikel.

Die Grundvoraussetzung für eine erfolgreiche Unternehmenstätigkeit ist heute ein effektives Sicherheitssystem gegen Cyberangriffe. CTI setzt dabei auf eine dem Militär entlehnte Taktik, neue Informationen über Bedrohungen kontinuierlich zu sammeln, zu konsolidieren, auszuwerten und so schnell wie möglich in geeignete Abwehrstrategien umzusetzen. Wer sich mit dem Cyber Threat Intelligence Cycle auseinandergesetzt hat, erkennt sehr schnell: Kontext ist King und die Schlagkraft des gesamten Systems steht und fällt damit, die gesammelten Informationen auf die individuelle Sicherheitslage der jeweiligen Organisation zu übertragen. Standards wie STIX und TAXII unterstützen dabei ein gemeinsames und koordiniertes Handeln verschiedener Stakeholder, Tools, Plattformen und Abteilungen.

STIX: Gemeinsame Sprache beim Austausch von Bedrohungsinformationen

STIX (Structured Threat Information eXpression) ist eine strukturierte Sprache, um Cyber-Bedrohungen zu beschreiben. Die Entwicklung von STIX und auch TAXII wurde zunächst von der MITRE Corporation koordiniert und liegt jetzt bei der Non-Profit-Organisation OASIS (Organization for the Advancement of Structured Information Standards).

STIX wurde entwickelt, um durch den Austausch relevanter Bedrohungsdaten zwischen Organisationen und Communitys ein ganzheitliches Bild der aktuellen Bedrohungslandschaft zu ermöglichen. Detaillierte Daten über verschiedene Aspekte von Angriffen – z. B. Angriffsmuster, Akteure und ihre Ziele, verwendete Methoden und dazu passende Abwehrstrategien – können in einem verständlichen und konsistenten Format geteilt werden.  Davon profitiert jeder einzelne Teilnehmer: Konfrontiert mit Anzeichen eines Angriffs, kann er gezielt nach Informationen suchen, die dazu in Beziehung stehen, um mehr über die Bedrohung zu erfahren.

STIX (in Version 2.1) kennt 20 verschiedene Objekte (Kategorien von Bedrohungsinformationen mit Attributen), 18 Bereichsobjekte (STIX Domain Objects, SDO) und zwei Beziehungsobjekte (STIX Relationship Objects, SRO). Einige SDOs seien hier beispielhaft genannt:

1. Indicator: spezifische, beobachtbare Anzeichen einer möglichen Bedrohung, wie verdächtige IP-Adressen, URLs, Malware-Hashes oder ungewöhnliches Netzwerkverhalten. Auch „Indicator of Compromise“ (IoC).
2. Attack Pattern: ein Typ von TTP (Taktics, Techniques and Procedures); beschreibt Verhaltensmuster und Methoden, die von Bedrohungsakteuren typischerweise verwendet werden. Dazu gehören Methoden des Eindringens in Netzwerke, die Verbreitung von Malware oder ein bekannter Modus Operandi, der sich mit automatisierten Verfahren identifizieren lässt.
3. Malware: ein Typ von TTP; beschreibt Schadcode.
4. Infrastructure: ein Typ von TTP; beschreibt Systeme, Services oder Geräte, die bei Bedrohungen eine Rolle spielen (auf Angreifer- oder Opferseite).
5. Tool: (legitime) Software, die von Bedrohungsakteuren verwendet wird.
6. Campaign: koordinierte Angriffsmuster oder -aktivitäten. Eine Kampagne (manchmal  auch Welle) gruppiert Angriffe, die alle in einem bestimmten Zeitraum ablaufen oder sich gegen bestimmte Arten von Zielen richten. Die Erkennung oder idealerweise sogar Vorhersage auf Basis gerade laufender Kampagnen (etwa in der gleichen Branche) kann Angriffe möglicherweise bereits im Keim ersticken.
7. Threat Actor: bekannte Individuen, Gruppen, Organisationen oder Staaten, die hinter Cyberangriffen stehen. Informationen über deren Motivation, Absichten, Fähigkeiten und typisches Verhalten können erfasst und ausgewertet werden.
8. Vulnerability: Informationen über bekannte Sicherheitslücken in Software und Systemen, die von Angreifern ausgenutzt werden können oder bereits wurden.
9. Observed Data: Daten zu sicherheitsrelevanten Entitäten (wie Netzwerken, Systemen, Dateien) die auf potenzielle Sicherheitsvorfälle hinweisen können.
10. Course of Action: Empfehlungen zu Reaktionen auf einmal identifizierte Bedrohungen, wie etwa Patches, Konfigurationsänderungen oder spezifische Abwehrmaßnahmen.
11. Report: Sammlungen von Bedrohungsinformationen zu bestimmten Themen, etwa einem Bedrohungsakteur oder einer Malware, mit Details und Kontext versehen.

Gespeichert und übertragen werden STIX-Daten im JSON-Format.

TAXII: Protokoll für den sicheren Datenaustausch

Ein standardisierter, automatisierbarer Austausch von Bedrohungsinformationen erleichtert die Kommunikation zwischen verschiedenen Organisationen und Sicherheitssystemen. Damit der Datenaustausch zuverlässig funktioniert und nicht selbst zur potenziellen Bedrohung wird, gibt es den Verteilstandard Trusted Automated Exchange of Intelligence Information (TAXII).

Die wichtigsten Eigenschaften von TAXII (Version 2.1):

• Das TAXII-Protokoll definiert die Transportmechanismen für als STIX repräsentierte Bedrohungsdaten: eine REST-API und Anforderungen an TAXII-Server und -Clients. Es wurde für STIX konzipiert, lässt sich aber auch mit anderen Daten verwenden)
• Daten können auf dem Server als „Collection“ vorliegen und vom Client abgerufen oder als „Channel“ publiziert und abonniert werden. Die Unterstützung verschiedener Kommunikationsmodelle wie Push- und Pull-Kommunikation schafft Flexibilität im Informationsfluss.
• TAXII ermöglicht den Echtzeit-Austausch, was für die zeitnahe Erkennung und Reaktion auf Bedrohungen entscheidend ist. Durch die automatisierte Kommunikation können Prozesse beschleunigt und Fehler reduziert werden.
• Verschlüsselung (HTTPS) schützt den Informationsfluss.
• TAXII ist gut skalierbar und kann an die Größe und Bedürfnisse verschiedener Organisationen angepasst werden.

Durch die Bereitstellung eines gemeinsamen Frameworks erleichtert TAXII die Zusammenarbeit zwischen verschiedenen Organisationen wie Unternehmen, Regierungsbehörden und Sicherheitsgemeinschaften.

Anwendungen für STIX und TAXII

Ursprünglich waren STIX und TAXII als Tools für Security-Spezialisten gedacht. Sie kommen etwa in ISACs (Information Sharing and Analysis Centers) und ISAOs (Information Sharing and Analysis Centers) zum Einsatz, verschiedenen Zusammenschlüssen von Organisationen mit erhöhtem Interesse an Cybersecurity (z. B. FS-ISAC für die globale Finanzindustrie).

Aber angesichts einer immer komplexer werdenden Bedrohungslage können CTI-Daten für jedes Unternehmen von Vorteil sein. Denn ein wesentlicher Vorteil von STIX ist die Möglichkeit, Daten sowohl für Maschinen als auch für Menschen in einem verständlichen Format aufzubereiten. So können auch interne Sicherheitssysteme wie Security Information and Event Management (SIEM) und Extended Detection and Response (XDR) mit STIX-Daten versorgt werden, die bei der Analyse von Vorfällen helfen. Inzwischen gibt es diverse CTI-Anbieter, bei denen Bedrohungsinformationen abgerufen werden können. Der Threat Compass von Outpost24 bietet Echtzeit-Zugriff auf Millionen von IoCs, Plugins für SIEM und andere Systeme und umfangreiche Analysefunktionen.

Übrigens: Auch die umfangreichen TTP-Matrizen von MITRE ATT@CK  können im STIX-Format bezogen und für die softwaregestützte Kontextualisierung von CTI-Daten genutzt werden.

Fazit

Die Bedrohungen aus der Cyberwelt wachsen und sie werden immer komplexer. CTI-Austauschstandards wie STIX und TAXII helfen beim Schulterschluss gegen den gemeinsamen Feind. Von der Sammlung, Analyse und Echtzeit-Übermittlung von Bedrohungsdaten profitieren alle, von internationalen Konzernen und nationalen Behörden bis hin zu mittelständischen Unternehmen. Gerne beraten wir Sie dazu, wie eine Cyber Threat Intelligence-Lösung in Ihren Cybersecurity Tool-Stack eingebunden werden kann.