CYBER THREAT INTELLIGENCE

rsCyInt versetzt Analysten in die Lage, Cyberangriffe zu klassifizieren und anhand starker Indikatoren mögliche Auswirkungen zu beschreiben. Ziel ist es, die „Natur“ der Attacke anhand seiner DNA zu verstehen, den Angriffsvektor zu bestimmen und Gegenmaßnahmen vorzuschlagen. Hierfür stehen den Experten umfangreiche Datenquellen über Schnittstellen zur Verfügung. Zudem ermöglicht die Lösung einen vertraulichen Informationsaustausch mit Dritten. 

rsCyInt unterstützt Entscheidungsträger, präventive Maßnahmen für identifizierte Threats zu evaluieren und angemessene Gegenmaßnahmen festzulegen. Operative Mitarbeiter implementieren in der Folge diese Maßnahmen, um das Auftreten spezifischer Cyber Threats zu verhindern – ob durch Prophylaxe oder gezielte Aktionen aufgrund belastbarer Interpretation.

Ob manuelle oder automatisierte Mechanismen – rsCyInt bietet dem Experten eine enorme Bandbreite an Werkzeugen zur Überwachung. Keine noch so intelligent ausgeführte Attacke darf unentdeckt bleiben. Als Paradigma gilt: Brandmauern allein bieten keinen 100 prozentigen Schutz. Analysesoftware in Kombination mit lernenden Systemen und erfahrenen Experten verkürzt den zeitlichen Vorsprung eines Cyber-Angriffs. Digitale Stolperfallen auf Basis historischer Muster erkennen Zusammenhänge treffsicher.

Ist ein Cyberangriff entdeckt, gilt es schnell und umsichtig zu agieren. rsCyInt führt IT-Experten routiniert durch jeden „Vorfall“. Die Software sucht nach Mustern aktueller und historischer Angriffe und analysiert diese automatisch im Hinblick auf die Gefahrenabschätzung.

Durch die Kombination von Analysemethoden aus der realen Welten, beispielsweise bei der Suche nach Fahrzeugen, Personen, Adressen, Telefonnummern oder Bewegungsmustern, mit den Datenmodellen aus dem Cyberraum wie IP-Adressen, Code-Mustern, Hackergruppen ergibt sich ein erweitertes Lagebild für die Verfolgung von Tätern. Dieser Datenmodell-Mix für die umfassende Analyse wird durch die Integration von STIX- (Structured Threat Information eXpression) und MAEC- (Malware Attribute Enumeration and Characterization) Datenmodellen in rsCyInt möglich.

rsCyInt enthält standardmäßig das Interface-Framework aus dem rsFrame-Kern. Damit können mehrere Ströme aus der Cyber- und Echtwelt in rsCyInt fließen. Auf die Cyber-Analysefähigkeit bezogen bedeutet dies, dass zusätzlich zu unseren übrigen Interface-Fähigkeiten das STIX-Modell unterstützt wird. Es erlaubt, kommerzielle Informationen wie CTI-Feeds aus anderen Quellen und Plattformen aufzunehmen. Das Interface-Framework kann auch verwendet werden, um Informationen aus rsCyInt mit externen Systemen zu teilen und so beispielsweise bei Fahndungen ein Netzwerk aus Experten und Organisationen zu bauen.

Noch immer werden viele Informationen, die für eine Untersuchung oder Analyse relevant sein könnten, in unstrukturierten Daten erfasst und geteilt. Daher wurde rsExtract kreiert, das als voll integriertes Modul in rsCyInt verwendet werden kann. So können unstrukturierte Daten vollautomatisch indiziert und Objekte erkannt werden, wie beispielsweise Personen, Firmennamen, IP-Adressen.

Ein professionelles Auftragsmanagement ist unabdingbar, um Workflows zwischen mehreren Expertenteams zu ermöglichen oder auch Aktivitäten zu erzwingen. Im Fall eines akuten, weltweiten Angriffs kann es erforderlich werden, eine klassifizierte IP-Adresse sofort in den Log-Files der eigenen Organisation zu suchen: Bereits angegriffen oder nicht? Das rsCyInt-Modul verfügt über die Flexibilität, Aufgaben zu verteilen und Verantwortlichkeiten festzulegen.