Enhancing Open-Source SOC Maturity: Implementation and Evaluation of Threat Intelligence Integration, Abdelhak Atasi Kalo

Abdelhak Atasi Kalo

Kurzfassung

Das zunehmende Tempo der Digitalisierung und die wachsende Abhängigkeit von IT-Systemen in unserer modernen Welt haben dazu geführt, dass immer mehr raffinierte, mehrstufige, fundierte und äußerst schwer fassbare Cyberangriffe durchgeführt werden, die die Angriffsfläche vergrößern und Unternehmen anfällig für anhaltende Bedrohungen machen. Die Cyberkriminalität hat sich über einzelne böswillige Akteure hinaus zu hoch organisierten und staatlich geförderten Gruppen entwickelt. Trotz der großen Aufmerksamkeit und der zunehmenden Investitionen hochrangiger Organisationen, die sich mit den Entwicklungen in dieser Branche befassen, haben kleine und mittlere Unternehmen (KMU) nach wie vor Schwierigkeiten, mit diesen Herausforderungen fertig zu werden. Die Analysten der Security Operations Center (SOC), die als erste Verteidigungslinie fungieren sollen, sehen sich mit einer überwältigenden Anzahl von Warnmeldungen konfrontiert, von denen sich viele als harmlos oder falsch-positiv herausstellen, was sich negativ auf die Effizienz der Erkennungs- und Reaktionsmaßnahmen auswirkt. Das aussichtsreiche Feld der Cyber Threat Intelligence (CTI) hat seit dem Aufkommen von angreiferzentrierten Datenmodellen, die darauf abzielen, Wissen aus der Beobachtung des Verhaltens von Bedrohungsakteuren in der realen Welt einzubeziehen, erheblich an Zugkraft gewonnen. Solche öffentlich zugänglichen Cyber-Bedrohungsdaten können in SOC-Prozesse integriert werden, um mehr sicherheitsrelevanten Kontext hinzuzufügen und ein Situationsbewusstsein zu schaffen, wodurch der Bedarf an manuellem Sicherheitsfachwissen, das sich KMUs in der Regel nur schwer leisten können, verringert wird. Trotz der zunehmenden Verbreitung ist der Einsatz von CTI in kleinen und mittleren Unternehmen immer noch mit einer gewissen Unsicherheit behaftet, da nur wenige Forschungsergebnisse vorliegen, die den Reifegrad erschwinglicher Open-Source-Lösungen überprüfen, die sich ständig weiterentwickeln und schneller als die Forschung veröffentlicht werden. In dieser Arbeit wird die Implementierung einer CTI-integrierten, mehrschichtigen Verteidigungslösung vorgestellt, die ausschließlich Open-Source- und freie Software verwendet. Durch die Automatisierung großer Teile des Prozesses der Kontextanreicherung liefert die Lösung aussagekräftige Warnungen, die zur Optimierung des SOC-Prozesses und des investigativen Ablaufs beitragen. Die Lösung wurde auf ihre Reife hin geprüft, indem Tests mit gegnerischen Emulationsszenarien durchgeführt wurden, um die durch eine solche Integration erzielten Kontextverbesserungen zu untersuchen, sowie auf ihre Durchführbarkeit für die Anwendung in einer KMU-Umgebung geprüft.

Abstract

The rapid pace of digitalization and growing reliance on IT systems in our modern world have been faced with an ever-increasing prevalence of sophisticated, multi-phased, well-funded, and highly elusive cyber attacks, expanding the attack surface and leaving organizations vulnerable to persistent threats. The cybercrime landscape has evolved beyond individual malicious actors to highly organized and state-sponsored groups. Despite the ample attention and the increasing investments by high-profile organizations to address the developments in this landscape, small and medium-sized enterprises (SMEs) continue to struggle to cope with these challenges. Security operations center (SOC) analysts, that are tasked to be the main line of defense, are being faced with overwhelming volumes of alerts, a lot of which ending up being benign or false-positives, negatively impacting the efficiency of detection and response measures. The promising field of Cyber Threat Intelligence (CTI) has been gaining significant traction ever since the emergence of adversary-centric data models, that strive to incorporate knowledge gained from observing threat actor behaviors in the real world. Such publicly shared cyber threat data can be integrated with SOC processes to add more security relevant context and create situation awareness, thus cutting down on the need for manual security expertise, which SMEs typically struggle to afford. Despite its increasingly widespread adoption, leveraging CTI in SME organizations still comes with some uncertainty owing to the limited research available reviewing the maturity of affordable open-source solutions, which are constantly evolving and outpacing the rate at which research gets published. This thesis presents the implementation of a CTI-integrated multi-layered defensive solution using exclusively open-source and free software. By automating large parts of the context enrichment process, the solution renders actionable alerts that help streamline the SOC process and optimize the investigative workflow. The solution was assessed for its maturity by conducting tests using adversary emulation scenarios to examinethe contextual enhancements achieved by such integration, as well as evaluated for ist feasibility for its application in an SME environment.