Die Lebensdauer von IOCs in der Cybersicherheit bestimmen
Lern, wie man die Lebensdauer von Kompromittierungsindikatoren effektiv managt.
― 7 min Lesedauer
Inhaltsverzeichnis
- Was sind Indikatoren für Kompromisse?
- Die Herausforderung bei der Überwachung von IOCs
- Wie IOCs erstellt und überwacht werden
- Die Bedeutung von Alterungsmodellen
- Daten und Methodik
- Erkenntnisse zu Überwachungskosten
- Verständnis des Datensatzes
- Klassifizierung der Indikatoren
- Die Rolle der Ausreisser
- Überwachungskosten und Versäumenskosten
- Die Bedeutung effizienter Überwachung
- Zukünftige Richtungen
- Fazit
- Originalquelle
- Referenz Links
Im Bereich Cybersicherheit haben wir oft mit Indikatoren für Kompromisse (IOCs) zu tun. Diese Indikatoren, wie IP-Adressen, Dateihashes und Domainnamen, helfen, bösartige Aktivitäten in einem Netzwerk zu erkennen. Sie fungieren als Signaturen potenzieller Bedrohungen und sind wichtig für die Überwachung von Systemen. Aber zu entscheiden, wie lange man diese Indikatoren aufbewahren sollte, kann knifflig sein. Dieses Dokument präsentiert Erkenntnisse darüber, wie man die angemessene Lebensdauer von IOCs bestimmen kann, mit dem Fokus auf deren Überwachung und die Kosten, die aus verpassten Alarmen entstehen.
Was sind Indikatoren für Kompromisse?
IOCs sind zentrale Komponenten in der Bedrohungsintelligenz. Sie helfen dabei, Risiken zu erkennen, und indem Daten aus einem Netzwerk mit bekannten IOCs verglichen werden, können Sicherheitssysteme Alarme auslösen. Je mehr IOCs überwacht werden, desto besser der Schutz vor bekannten Cyberangriffen. Allerdings kann die Überwachung vieler IOCs zu hohen Kosten führen, und wenn sie nicht richtig verwaltet werden, könnten wichtige Indikatoren übersehen werden. Es ist wichtig, die Anzahl der überwachten IOCs auszubalancieren, um verpasste Bedrohungen zu vermeiden, ohne das System zu überlasten.
Die Herausforderung bei der Überwachung von IOCs
Die Sicherheit eines Netzwerks kann gefährdet sein, wenn die Anzahl der überwachten IOCs zu niedrig ist. Das könnte erhebliche Risiken mit sich bringen, da wichtige Indikatoren unbemerkt bleiben könnten. Andererseits kann es bei zu vielen IOCs zu überwältigenden Überwachungsaufgaben und damit verbundenen Kosten kommen, da Sicherheitsteams zahlreiche potenzielle Alarme untersuchen müssten, ohne zu wissen, welche wirklich gefährlich sind.
Um diese Herausforderungen anzugehen, ist es wichtig zu verstehen, wie IOCs erstellt werden und wie oft sie bemerkt werden. Die Aufmerksamkeit auf den Lebenszyklus dieser Indikatoren kann zu besseren Strategien für die Überwachung und Reaktion auf Bedrohungen führen.
Wie IOCs erstellt und überwacht werden
Typischerweise wird ein IOC von Anbietern oder Bedrohungsintelligenzquellen entdeckt. Sie könnten in kontrollierten Laborumgebungen oder durch Honeypots gefunden werden. Nach der Entdeckung wird der IOC veröffentlicht und über Plattformen geteilt, die einen breiteren Zugang zu Bedrohungsdaten ermöglichen, wie die Malware Information Sharing Platform (MISP). Sicherheitsteams nutzen Systeme für Sicherheitsinformationen und Ereignismanagement (SIEM), um diese IOCs zu verfolgen und ihre Sichtungen zu melden.
Im Laufe der Zeit können IOCs an Bedeutung verlieren. Die fortgesetzte Überwachung veralteter Indikatoren führt zu vielen Fehlalarmen, die die Sicherheitsteams von realen Bedrohungen ablenken können. Das führt auch zu unnötigen Ausgaben basierend auf den aktuellen Preisen für das Überwachungssystem, die je nach Dienstanbieter variieren.
Die Bedeutung von Alterungsmodellen
Um den Lebenszyklus von IOCs zu verwalten, haben Plattformen für Bedrohungsintelligenz Alterungsmodelle entwickelt, um zu bestimmen, wann die Überwachung bestimmter Indikatoren eingestellt werden sollte. Diese Modelle kommen jedoch mit mehreren Parametern, die sorgfältig zugewiesen werden müssen. Für unsere Arbeit haben wir uns auf ein einfaches Modell mit zwei Hauptfaktoren konzentriert: die Kosten, die durch das Verpassen einer Sichtung entstehen, und die Kosten, die mit der Überwachung verbunden sind.
Wir wollten zwei zentrale Fragen beantworten:
- Wie lange sollte ein bestimmter Indikator überwacht werden?
- Wie lassen sich die Parameter für die Überwachung so festlegen, dass sie zu einer bestimmten Umgebung passen?
Daten und Methodik
Für unsere Studie haben wir ein Jahr echte Daten aus einer Unternehmensumgebung analysiert, wobei wir den Verkehr und die Sichtungen von IOCs gemessen haben. Die Daten umfassten Zeitstempel für das Eintreffen der Sichtungen, die Art des IOC und das Datum seiner Erstellung. Diese Informationen halfen, zu bewerten, wie sich die Anzahl der Sichtungen im Laufe der Zeit änderte und wie verschiedene Parameter des Alterungsmodells die Abdeckung und die damit verbundenen Kosten beeinflussten.
Erkenntnisse zu Überwachungskosten
Bei der Betrachtung der Beziehung zwischen Überwachungsaufwand und den Kosten für verpasste Alarme zeigten unsere Ergebnisse spezifische Schwellenwerte. Wenn die Kosten für das Verpassen einer Sichtung deutlich niedriger sind als die täglichen Überwachungskosten, könnte es sich nicht lohnen, diese IOCs überhaupt zu überwachen. Umgekehrt, wenn die Kosten für das Verpassen extrem hoch sind, wird es notwendig, alle IOCs kontinuierlich zu überwachen.
Für Zwischenwerte zwischen diesen Extremen hat unsere Forschung die Vorteile hervorgehoben, IOCs nur für eine bestimmte Zeit zu überwachen. Zum Beispiel hat die Festlegung einer Überwachungszeit von etwa 248 Tagen die kombinierten Kosten für Versäumnisse und Überwachung minimiert.
Verständnis des Datensatzes
Die Daten, die wir verwendet haben, stammen von einem grossen Unternehmen mit mehr als 300.000 Mitarbeitern und Niederlassungen in über 12 Ländern. Unser Datensatz umfasste 5.789 IOCs, von denen jeder mindestens eine dokumentierte Sichtung hatte. Der erste IOC wurde im September 2018 erstellt, die letzte Sichtung fand Anfang September 2020 statt.
Interessante Muster traten in den Daten auf. Ein bemerkenswerter Anteil von 66 % der Sichtungen trat innerhalb der ersten drei Monate der Überwachung auf. Bei einigen IOCs wurden sogar Sichtungen protokolliert, bevor sie offiziell erstellt wurden, da frühere Protokolle sie manchmal rückblickend identifizierten.
Klassifizierung der Indikatoren
In unserer Analyse wurden die IOCs in elf Typen kategorisiert, darunter verschiedene Dateitypen und Netzwerkadressen. Die Mehrheit der Sichtungen war mit Domainnamen verbunden, während IP-Adressen und Hashes ebenfalls stark vertreten waren. Unsere Ergebnisse zeigten, dass bestimmte Arten von Indikatoren, wie Hashes, in der Regel länger bestehen bleiben als IP-Adressen, die oft transienter sind.
Diese Kategorien beeinflussten direkt die empfohlene Überwachungszeit für jeden Typ. Durch das Gruppieren ähnlicher Indikatoren konnten wir Einblicke gewinnen, wie lange verschiedene IOCs effektiv überwacht werden sollten.
Die Rolle der Ausreisser
Jede Analyse, die Kosten betrifft, muss auch die Präsenz von Ausreissern berücksichtigen, die Ergebnisse verzerren können. Wenn zum Beispiel ein oder zwei IOCs signifikant längere Zeiten zwischen den Sichtungen hatten, könnte dies die empfohlene Überwachungszeit für alle Indikatoren beeinflussen. Um damit umzugehen, haben wir verschiedene statistische Ansätze untersucht, um zeitgerechte Parameter für jede Indikatorart zu bestimmen.
Überwachungskosten und Versäumenskosten
Monitoring- und Versäumenskosten können stark variieren, je nach dem gewählten System und den spezifischen zugewiesenen Parametern. Wenn zum Beispiel die Kosten für das Verpassen eines Alarms relativ niedrig sind, kann die Überwachung minimiert werden. Andererseits, wenn die Kosten für das Verpassen einer Sichtung ziemlich hoch sind, könnte es notwendig sein, alle IOCs kontinuierlich zu überwachen.
Um effektiv zu bestimmen, welche IOCs überwacht werden sollten und wie lange, ist es entscheidend, das Verhältnis dieser Kosten zu untersuchen. Dieses Verhältnis hilft, den optimalen Punkt zu identifizieren, an dem die Überwachungsmassnahmen das beste Verhältnis zwischen Aufwand und Nutzen bieten, unter Berücksichtigung potenzieller Bedrohungen und benötigter Ressourcen.
Die Bedeutung effizienter Überwachung
Ein effizientes Überwachungssystem ermöglicht es Organisationen, ihre Ressourcen effektiv zu konzentrieren. Durch die Analyse der Daten, die sich darauf beziehen, wie IOCs erstellt werden und wie oft sie überwacht werden, können Sicherheitsteams ihre Bemühungen priorisieren, basierend auf der Wahrscheinlichkeit, auf bedeutende Bedrohungen zu stossen.
Die Überwachung sollte sich nicht nur an den Kosten orientieren, sondern auch an der spezifischen Natur der Indikatoren, die im Spiel sind. Zum Beispiel könnten Bedrohungen, die mit fortlaufenden Bedrohungen (APT) verbunden sind, einen anderen Ansatz erfordern als gängigere, generische Indikatoren.
Zukünftige Richtungen
Diese Arbeit wirft weitere Fragen zu den Alterungsmodellen für IOCs auf und wie sie verfeinert werden können. Während diese Forschung ein grundlegendes Verständnis optimaler Überwachungsstrategien lieferte, könnten detailliertere analytische Methoden die Genauigkeit des Modells verbessern.
Die Untersuchung, wie verschiedene Umgebungen die Effektivität von Überwachungsstrategien beeinflussen können, ist ein Bereich, der weitere Untersuchungen verdient. Zukünftige Studien könnten das in dieser Forschung etablierte Framework erweitern, um umfassendere Einblicke und Werkzeuge für Sicherheitsteams bereitzustellen.
Fazit
Zusammenfassend sind IOCs in der Cybersicherheit von entscheidender Bedeutung. Eine ordnungsgemässe Verwaltung ihrer Lebensdauer ist wesentlich, um die Überwachungskosten auszubalancieren und verpasste Bedrohungen zu minimieren. Durch sorgfältige Analyse realer Daten und das Verständnis der Dynamik von IOCs können Organisationen effektive Überwachungsstrategien festlegen, die ihre Sicherheitsanstrengungen maximieren. Die Erkenntnisse dieser Forschung bilden eine Grundlage für zukünftige Arbeiten zur Verbesserung der Bedrohungsintelligenz und der Überwachungspraktiken, was letztendlich zu einer sichereren Cyberumgebung führt.
Titel: Learning When to Say Goodbye: What Should be the Shelf Life of an Indicator of Compromise?
Zusammenfassung: Indicators of Compromise (IOCs), such as IP addresses, file hashes, and domain names associated with known malware or attacks, are cornerstones of cybersecurity, serving to identify malicious activity on a network. In this work, we leverage real data to compare different parameterizations of IOC aging models. Our dataset comprises traffic at a real environment for more than 1 year. Among our trace-driven findings, we determine thresholds for the ratio between miss over monitoring costs such that the system benefits from storing IOCs for a finite time-to-live (TTL) before eviction. To the best of our knowledge, this is the first real world evaluation of thresholds related to IOC aging, paving the way towards realistic IOC decaying models.
Autoren: Breno Tostes, Leonardo Ventura, Enrico Lovat, Matheus Martins, Daniel Sadoc Menasché
Letzte Aktualisierung: 2023-07-31 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2307.16852
Quell-PDF: https://arxiv.org/pdf/2307.16852
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.
Referenz Links
- https://www.overleaf.com/5516466239rpqztkytrmrh
- https://www.computer.org/csdl/magazine/sp/write-for-us/14680?title=Author%20Information&periodical=IEEE%20Security%20%26%20Privacy
- https://www.computer.org/csdl/magazine/sp/write-for-us/14680
- https://www.ieee.org/authortools/trans_jour.tex
- https://www.overleaf.com/blog/278-how-to-use-overleaf-with-ieee-collabratec-your-quick-guide-to-getting-started
- https://apps.na.collabserv.com/wikis/home?lang=en-us#!/wiki/W18e544042a85_4b63_915a_1d1ed2cf8338/page/Publication
- https://mc.manuscriptcentral.com/cs-ieee
- https://www.ieee.org/publications_standards/publications/graphical_abstract.pdf
- https://www.ieee.org/authortools
- https://www.ibm.com/support/