Anreicherung der Threat Feeds mit MISP Daten

AI Quick Summary

Das USZ hat ein SoC gemeinsam mit dem MSSP terreActive aufgebaut. Ab ca. Q1 2023 möchte das USZ das SoC verbessern in dem es die Threat-Feeds verbessert. Dazu möchten wir eine MISP Plattform Integrieren. Es soll evaluiert werden, welche Feeds das USZ verwenden kann und wie diese integriert werden (MSSP oder USZ). Des weitern wird darauf eingegangen, was Vor- / Nachteile sind bei Closed community Feeds und welche Möglichkeiten man bei diesen hat die Integration durchzuführen. Die Fähigkeiten eines SOC schnell auf Security Incidents mit den nötigen Informationen reagieren zu können ist entscheidend. Aus diesem Grund wird Cyber Threat Intelligence (CTI) verwendet, welche weitere Informationen liefern zur Bewältigung von Incidents. Es wird eine Strategie benötigt wie mit den verschiedenen, Quellen von Cyber Threat Intelligence umgegangen wird und welche Informationen für die eigene Unternehmung und den Betrieb des SOC am meisten Mehrwert leisten. Das USZ möchte das SOC in diesem Bereich Optimieren um mit geringem Finanziellem mehraufwand das Security Monitoring (Detektion) des SOCs zu stärken. Dazu soll ein Konzept erarbeitet werden wie die Threat Intelligence der am USZ eingesetzten Systeme Sinnvoll im SIEM verwendet werden kann. FragestellungEs soll eine Aufstellung erarbeitet werden, welche Protection Systeme am USZ eingesetzt werden. Basierend auf dieser Aufstellung wird eine Auswertung erstellt wie die von diesen Systemen generierten Daten sinnvoll im SIEM für die Detection von Threats verwendet werden kann. Zudem soll ausgewertet werden ob die Generierten Daten in andere Protection Systeme gefeedet werden können um das Blocking von Threats möglichst nahe am Attack Vector durchzuführen. Ziele der Arbeit- Übersicht der Protektion Systeme erstellen und diese auf die verschiedenen Attack Vektoren Mappen.- Übersicht der generierten Daten von diesen Systemen und wie diese aktuell verwendet werden.- Aufarbeitung wie könnten die Daten welche generiert werden genutzt werden.- Es soll ein Plan erarbeitet werden wie die geplanten Veränderungen mit unserem MSSP umgesetzt werden.- Um einen Blick auf die wirtschaftlichen Aspekte der Arbeit zu kriegen soll eine Kostenabschätzung gemacht werden über die Einsparungen der Automatisation gegenüber der manuellen Abwicklung.- Neben der Verwendung der Daten für USZ Systeme ist ein Konzept auszuarbeiten wie die gewonnenen Daten auch den Communities verfügbar gemacht werden. Da wir als Spital auch mit besonders schützenswerten Daten Arbeiten ist hier auszuarbeiten was kann Automatisiert geteilt werden und wo benötigt es Manuelle Reviews vor der Weitergabe. Dabei ist auch die rechtliche Lage abzuschätzen, wie bzw. welche Daten aus kommerziellen Tools an die Community weitergegeben werden darf. VorgehensweiseMethode: Recherchenarbeit – Diverse Literatur Bücher, InternetquellenEin systematisches Vorgehen ist erwünscht. Entscheide und Lösungsvorschläge sind mit entsprechenden Informationen und Quellen zu belegen, Nachvollziehbarkeit sollte gewährleistet sein. Als Basisraster kann z.B. auf den folgenden bestehenden Arbeiten aufgebaut werden: «Threat Intelligence: Collecting, Analysing, Evaluating» (CERT-UK) https://www.foo.be/docs/informations-sharing/Threat-Intelligence-Whitepaper.pdf

Project Idea Metadata

• Project Idea Name: Anreicherung der Threat Feeds mit MISP Daten
• Date: 11/26/2021 2:14:33 PM
• Administrators:

Project Idea Description

Die Fähigkeiten eines SOC schnell auf Security Incidents mit den nötigen Informationen reagieren zu können ist entscheidend.

Aus diesem Grund wird Cyber Threat Intelligence (CTI) verwendet, welche weitere Informationen liefern zur Bewältigung von Incidents.

Es wird eine Strategie benötigt wie mit den verschiedenen, Quellen von Cyber Threat Intelligence umgegangen wird und welche Informationen für die eigene Unternehmung und den Betrieb des SOC am meisten Mehrwert leisten.

Das USZ möchte das SOC in diesem Bereich Optimieren um mit geringem Finanziellem mehraufwand das Security Monitoring (Detektion) des SOCs zu stärken. Dazu soll ein Konzept erarbeitet werden wie die Threat Intelligence der am USZ eingesetzten Systeme Sinnvoll im SIEM verwendet werden kann.

Fragestellung

Es soll eine Aufstellung erarbeitet werden, welche Protection Systeme am USZ eingesetzt werden. Basierend auf dieser Aufstellung wird eine Auswertung erstellt wie die von diesen Systemen generierten Daten sinnvoll im SIEM für die Detection von Threats verwendet werden kann. Zudem soll ausgewertet werden ob die Generierten Daten in andere Protection Systeme gefeedet werden können um das Blocking von Threats möglichst nahe am Attack Vector durchzuführen.

Ziele der Arbeit

- Übersicht der Protektion Systeme erstellen und diese auf die verschiedenen Attack Vektoren Mappen.

- Übersicht der generierten Daten von diesen Systemen und wie diese aktuell verwendet werden.

- Aufarbeitung wie könnten die Daten welche generiert werden genutzt werden.

- Es soll ein Plan erarbeitet werden wie die geplanten Veränderungen mit unserem MSSP umgesetzt werden.

- Um einen Blick auf die wirtschaftlichen Aspekte der Arbeit zu kriegen soll eine Kostenabschätzung gemacht werden über die Einsparungen der Automatisation gegenüber der manuellen Abwicklung.

- Neben der Verwendung der Daten für USZ Systeme ist ein Konzept auszuarbeiten wie die gewonnenen Daten auch den Communities verfügbar gemacht werden. Da wir als Spital auch mit besonders schützenswerten Daten Arbeiten ist hier auszuarbeiten was kann Automatisiert geteilt werden und wo benötigt es Manuelle Reviews vor der Weitergabe. Dabei ist auch die rechtliche Lage abzuschätzen, wie bzw. welche Daten aus kommerziellen Tools an die Community weitergegeben werden darf.

Vorgehensweise

Methode: Recherchenarbeit – Diverse Literatur Bücher, Internetquellen

Ein systematisches Vorgehen ist erwünscht. Entscheide und Lösungsvorschläge sind mit entsprechenden Informationen und Quellen zu belegen, Nachvollziehbarkeit sollte gewährleistet sein.

Als Basisraster kann z.B. auf den folgenden bestehenden Arbeiten aufgebaut werden: «Threat Intelligence: Collecting, Analysing, Evaluating» (CERT-UK) https://www.foo.be/docs/informations-sharing/Threat-Intelligence-Whitepaper.pdf

Das USZ hat ein SoC gemeinsam mit dem MSSP terreActive aufgebaut. Ab ca. Q1 2023 möchte das USZ das SoC verbessern in dem es die Threat-Feeds verbessert. Dazu möchten wir eine MISP Plattform Integrieren. Es soll evaluiert werden, welche Feeds das USZ verwenden kann und wie diese integriert werden (MSSP oder USZ). Des weitern wird darauf eingegangen, was Vor- / Nachteile sind bei Closed community Feeds und welche Möglichkeiten man bei diesen hat die Integration durchzuführen.