Cyber-Bedrohungsintelligenz-Architektur auf AWS

Die folgende Abbildung zeigt eine generalisierte Architektur für die Verwendung eines Threat Feeds zur Integration von Cyber Threat Intelligence (CTI) in Ihre Umgebung. AWS Die CTI wird von Ihrer Threat Intelligence-Plattform in der AWS Cloud, der ausgewählten Cyber-Behörde und anderen Mitgliedern der Trust-Community gemeinsam genutzt.

Es zeigt den folgenden Arbeitsablauf:

1. Die Threat Intelligence-Plattform erhält umsetzbare CTI von der Cyber-Behörde oder von anderen Mitgliedern der Trust Community.

2. Die Threat Intelligence-Plattform beauftragt AWS Sicherheitsdienste, Ereignisse zu erkennen und zu verhindern.

3. Die Threat Intelligence-Plattform erhält Bedrohungsinformationen von AWS-Services.

4. Wenn ein Ereignis eintritt, kuratiert die Threat Intelligence-Plattform neue CTI.

5. Die Threat-Intelligence-Plattform teilt die neue CTI mit der Cyber-Behörde. Sie kann die CTI auch mit anderen Mitgliedern der Trust Community teilen.

Es gibt viele Cyber-Behörden, die CTI-Feeds anbieten. Beispiele hierfür sind das Australian Cyber Security Centre (ACSC), das Connect Inform Share Protect (CISP) -Programm, das vom britischen National Cyber Security Centre angeboten wird, und das vom Neuseeland Government Communications Security Bureau angebotene Programm Malware Free Networks (MFN). Viele AWS Partner bieten auch CTI-Sharing-Feeds an.

Um mit CTI Sharing zu beginnen, empfehlen wir Ihnen, wie folgt vorzugehen:

1. Bereitstellung einer Threat-Intelligence-Plattform — Stellen Sie eine Plattform bereit, die Bedrohungsdaten aus mehreren Quellen und in unterschiedlichen Formaten erfasst, aggregiert und organisiert.

2. Erfassung von Informationen über Cyberbedrohungen — Integrieren Sie Ihre Threat-Intelligence-Plattform mit einem oder mehreren Threat-Feed-Anbietern. Wenn Sie einen Bedrohungsfeed erhalten, verwenden Sie Ihre Threat-Intelligence-Plattform, um die neue CTI zu verarbeiten und die verwertbaren Informationen zu identifizieren, die für die Sicherheitsoperationen in Ihrer Umgebung relevant sind. Automatisieren Sie so viel wie möglich, aber es gibt Situationen, in denen eine Entscheidung erforderlich ist human-in-the-loop.

3. Automatisierung präventiver und detektiver Sicherheitskontrollen — Setzen Sie CTI für Sicherheitsdienste in Ihrer Architektur ein, die präventive und detektive Kontrollen bieten. Diese Dienste werden allgemein als Intrusion Prevention Systems (IPS) bezeichnet. Bei On AWS konfigurieren Sie mithilfe des Dienstes APIs Sperrlisten, die den Zugriff über die in den Bedrohungs-Feeds angegebenen IP-Adressen und Domainnamen verweigern.

4. Bessere Transparenz durch Beobachtungsmechanismen — Während Sicherheitsoperationen in Ihrer Umgebung stattfinden, sammeln Sie neue CTI. Sie könnten beispielsweise eine Bedrohung beobachten, die im Bedrohungsfeed enthalten war, oder Sie könnten Anzeichen für eine Gefährdung im Zusammenhang mit einem Eindringen beobachten (z. B. ein Zero-Day-Exploit). Die Zentralisierung von Bedrohungsinformationen sorgt für ein besseres Situationsbewusstsein in Ihrer gesamten Umgebung, sodass Sie bestehende CTI und neu entdeckte CTI in einem System überprüfen können.

5. Teilen von CTI mit Ihrer Vertrauensgemeinschaft — Um den Lebenszyklus der gemeinsamen Nutzung von CTI abzuschließen, generieren Sie Ihre eigene CTI und geben Sie sie wieder an Ihre Vertrauensgemeinschaft weiter.

Im folgenden Video, Skalierung des Austauschs von Informationen über Cyberbedrohungen mit dem AUS Cyber Security Center, werden diese Schritte ausführlicher beschrieben. In diesem Video werden zwar die Funktionen des Australian Cyber Security Centre zur gemeinsamen Nutzung von CTI erörtert, die Schritte sind jedoch dieselben, unabhängig davon, welchen Bedrohungsfeed Sie wählen oder wo Sie sich befinden.