Cyber Range CTI Evaluation und Integration

AI Quick Summary

Die im Aufbau befindliche Cyber Range der HSLU I, in welcher Studierende Aufgaben aus dem SOC lernen und trainieren, soll mit Cyber Threat Intelligence (CTI) Funktionalitäten erweitert werden. Die in einer Masterarbeit entwickelte Basis Umgebung soll ergänzt werden mit externen CTI Quellen welche die Studierenden beim Training in der Cyber Range unterstützen. Die HSLU I möchte im Rahmen der Cyber Security Ausbildung eine Cyber Range aufbauen, in der die Studierenden Aufgaben aus dem SOC erlernen und trainieren können. Dabei wird der Schwerpunkt aufs "Blue Team" gelegt, also Erkennen und Abwehr von Bedrohungen in allen möglichen Phasen einer Attacke.In einer Masterarbeit wurde die grundlegende Infrastruktur bereits entwickelt. Dabei wurde einerseits eine möglichst realistische Umgebung spezifiziert und andererseits grosses Gewicht auf die Automatisierung der Installation und des Setups/Konfiguration dieser Umgebung gelegt.Einige Attack-Szenarien wurden bereits entwickelt bzw. werden in kommenden Bachelorarbeiten entwickelt und in die Cyber Range integriert.Zur Unterstützung des "Blue Teams" sollen nun weitere Informations-Quellen integriert werden.Hintergrund:Die Fähigkeiten eines SOC, schnell auf Security Incidents reagieren zu können mit allen nötigen Informationen, ist entscheidend. Es wird also eine Strategie benötigt, wie mit verschiedenen, externen CTI Quellen umgegangen werden soll und welche Informationen überhaupt dem SOC bzw. der Unternehmung einen Mehrwert bieten.Die Cyber Range soll in diesem Bereich verstärkt werden indem man basierend auf Open Source Cyber Threat Intelligence (OSCTI) Feeds das Security Monitoring (Detektion) des SOCs unterstützt.Fragestellung:In der Recherchearbeit sollen die wichtigsten OSCTI-Quellen auf dem Markt für den operativen, technischen Betrieb im SOC identifiziert und bewertet werden. Dabei werden die OSCTI Quellen untersucht. Welche OSCTI Quellen bieten einen Mehrwert in der Qualität, Aktualität der Informationen, um die Effizienz der Erkennung von Angriffen im SOC mit OSCTI zu stärken und Angriffe früher zu detektieren?Ziele:Übersicht im Bereich der OSCTI verschaffen und mögliche Anwendungsbereiche der Intelligence (Log Korrelation, Incident Response, etc.) in der Cyber Range aufzeigen.Ein Methodik zur Bewertung von OSCTI-Quellen zu erstellen, welche als Bewertungsraster für die Auswahl von potentiellen OSCTI-Quellen zur Verfügung stehen soll. Die wichtigsten auf dem Markt verfügbaren OS-CTI Feeds im operativen, technischen Bereich recherchieren und entsprechend Informationsgehalt, Austauschfomate, deren Qualität, Aktualität, Integrationskomplexität bewerten und gegenüberstellen.Die recherchierten CTI Quellen sind anhand festgelegter Kriterien zu erfassen (z.B. in einem Excel Sheet wie unter: https://www.soc-cmm.com/downloads/latest/ zu finden) und gegenüber zu stellen damit einerseits die Auswahl/Beurteilung erleichtert wird und andererseits neue CTI Quellen schnell verglichen und beurteilt werden können.Es sind konkrete Vorschläge auszuarbeiten, wie die empfohlenen Quellen in die Cyber Range integriert werden können. Beispielsweise kann mit Tools wie MineMeld (https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld) exemplarisch in einem PoC belegt werden, wie CTI Quellen in die Cyber Range integriert werden können.

Project Idea Metadata

• Project Idea Name: Cyber Range CTI Evaluation und Integration
• Date: 6/19/2022 8:33:26 PM
• Administrators:
  • Peter Infanger

Project Idea Description

Die HSLU I möchte im Rahmen der Cyber Security Ausbildung eine Cyber Range aufbauen, in der die Studierenden Aufgaben aus dem SOC erlernen und trainieren können. Dabei wird der Schwerpunkt aufs "Blue Team" gelegt, also Erkennen und Abwehr von Bedrohungen in allen möglichen Phasen einer Attacke.

In einer Masterarbeit wurde die grundlegende Infrastruktur bereits entwickelt. Dabei wurde einerseits eine möglichst realistische Umgebung spezifiziert und andererseits grosses Gewicht auf die Automatisierung der Installation und des Setups/Konfiguration dieser Umgebung gelegt.

Einige Attack-Szenarien wurden bereits entwickelt bzw. werden in kommenden Bachelorarbeiten entwickelt und in die Cyber Range integriert.

Zur Unterstützung des "Blue Teams" sollen nun weitere Informations-Quellen integriert werden.

Hintergrund:

Die Fähigkeiten eines SOC, schnell auf Security Incidents reagieren zu können mit allen nötigen Informationen, ist entscheidend.

Es wird also eine Strategie benötigt, wie mit verschiedenen, externen CTI Quellen umgegangen werden soll und welche Informationen überhaupt dem SOC bzw. der Unternehmung einen Mehrwert bieten.

Die Cyber Range soll in diesem Bereich verstärkt werden indem man basierend auf Open Source Cyber Threat Intelligence (OSCTI) Feeds das Security Monitoring (Detektion) des SOCs unterstützt.

Fragestellung:

In der Recherchearbeit sollen die wichtigsten OSCTI-Quellen auf dem Markt für den operativen, technischen Betrieb im SOC identifiziert und bewertet werden. Dabei werden die OSCTI Quellen untersucht. Welche OSCTI Quellen bieten einen Mehrwert in der Qualität, Aktualität der Informationen, um die Effizienz der Erkennung von Angriffen im SOC mit OSCTI zu stärken und Angriffe früher zu detektieren?

Ziele:

• Übersicht im Bereich der OSCTI verschaffen und mögliche Anwendungsbereiche der Intelligence (Log Korrelation, Incident Response, etc.) in der Cyber Range aufzeigen.
• Ein Methodik zur Bewertung von OSCTI-Quellen zu erstellen, welche als Bewertungsraster für die Auswahl von potentiellen OSCTI-Quellen zur Verfügung stehen soll.
• Die wichtigsten auf dem Markt verfügbaren OS-CTI Feeds im operativen, technischen Bereich recherchieren und entsprechend Informationsgehalt, Austauschfomate, deren Qualität, Aktualität, Integrationskomplexität bewerten und gegenüberstellen.
• Die recherchierten CTI Quellen sind anhand festgelegter Kriterien zu erfassen (z.B. in einem Excel Sheet wie unter: https://www.soc-cmm.com/downloads/latest/ zu finden) und gegenüber zu stellen damit einerseits die Auswahl/Beurteilung erleichtert wird und andererseits neue CTI Quellen schnell verglichen und beurteilt werden können.
• Es sind konkrete Vorschläge auszuarbeiten, wie die empfohlenen Quellen in die Cyber Range integriert werden können. Beispielsweise kann mit Tools wie MineMeld (https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld) exemplarisch in einem PoC belegt werden, wie CTI Quellen in die Cyber Range integriert werden können.

Die im Aufbau befindliche Cyber Range der HSLU I, in welcher Studierende Aufgaben aus dem SOC lernen und trainieren, soll mit Cyber Threat Intelligence (CTI) Funktionalitäten erweitert werden.

Die in einer Masterarbeit entwickelte Basis Umgebung soll ergänzt werden mit externen CTI Quellen welche die Studierenden beim Training in der Cyber Range unterstützen.