Aufbau einer Cyber-Incident-Datenbank

Master Studiengang Information Security

Florian Schier, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Die immens steigenden Ransomware-Angriffe des letzten Jahrzehnts haben eines klar verdeutlicht. Unternehmen sind infolge des rasanten technologischen Fortschritts vermehrt Ziel von Cyber-Angriffen. Vorhandene Sicherheitsmaßnahmen reichen oftmals nicht aus, um sich gegen Angreiferinnen und Angreifer zu verteidigen.

Dies wurde durch NotPetya untermauert. Der geschätzte Schaden belief sich auf 10 Milliarden Dollar und NotPetya war und ist einer der bekanntesten und destruktivsten Cyberangriffe der letzten Jahre. Cyberangriffe stellen eine zunehmende Bedrohung für alle Unternehmen in jeder Größenordnung, Branche sowie auch für Regierungen dar.

Ziel

Ziel dieser Arbeit ist es, einen Überblick darüber zu geben, welche frei verfügbaren Incident-Datenbanken publik sind. Zusätzlich wurden diese anhand von Cyberbedrohungen klassifiziert und kritisch analysiert. Weiters sollen die verfügbaren Technologien evaluiert werden, die für die Erstellung einer Incident-Datenbank notwendig sind. Daher wurden Cyber-Threat-Taxonomien dahingehend untersucht, wie diese angewendet werden können, um eine eigene Datenbank zu erstellen.

Ergebnis

In der Arbeit konnte verdeutlicht werden, dass diverse Quellen vorhanden sind, die Security Incidents sammeln und aufarbeiten. Jedoch bestehen im Großen und Ganzen keine Datenbanken, die verwendet werden können, um eine Cyber-Incident-Datenbank zu entwickeln. Datenbanken bieten entweder einen sehr schwachen Detailgrad oder werden nicht mehr bzw. zu wenig gewartet.

Daher wurden Cyber-Threat-Taxonomien evaluiert, um zu entscheiden, wie der Einsatz und die Entwicklung einer Incident-Datenbank aussehen könnte. Dabei hat sich herausgestellt, dass mit STIX bzw. MISP zwei Möglichkeiten und Ansätze existieren, eine Cyber-Incident-Datenbank zu erstellen und zu betreiben. Dazu wurde eine eigene Taxonomie entwickelt, um Events einheitlich zu klassifizieren und zu strukturieren. Ein Vorteil der ausgearbeiteten Lösung ist das die Taxonomie ebenso einfach und schnell in MISP importiert werden kann und zur Verwendung verfügbar ist.