Simple Science

Hochmoderne Wissenschaft einfach erklärt

# Computerwissenschaften# Digitale Bibliotheken# Kryptographie und Sicherheit

Die Rolle von öffentlichen Daten in CSIRT-Operationen

Untersuchen, wie nationale CSIRTs öffentliche Informationen und kostenlose Tools für die Incident Response nutzen.

― 6 min Lesedauer

CSIRTs und öffentlicheCSIRTs und öffentlicheDatenTools für Cybersecurity nutzen.Wie Nationalmannschaften kostenlose
Inhaltsverzeichnis

Nationale Computer-Sicherheitsvorfall-Reaktions-Teams, oder CSIRTs, sind Gruppen, die gebildet wurden, um Computer-Sicherheitsprobleme zu behandeln und darauf zu reagieren. Sie arbeiten sowohl auf nationaler als auch auf organisatorischer Ebene und kümmern sich um Vorfälle wie Hacking und Datenpannen. Viele dieser Teams nutzen öffentlich verfügbare Informationen und kostenlose Tools, um ihre Aufgaben zu unterstützen, aber es gibt nicht genug detaillierte Kenntnisse darüber, wie sie diese Ressourcen nutzen. Dieser Artikel zielt darauf ab, ein klareres Bild davon zu vermitteln, wie nationale CSIRTs Öffentliche Daten und kostenlose Tools in ihren Operationen integrieren.

Bedeutung von CSIRTs

Da Cybervorfälle weltweit zunehmen, wird die Notwendigkeit für effektive Reaktionen immer kritischer. Cyberkriminelle sind geschickter geworden und zielen auf Organisationen aus verschiedenen Sektoren ab. Die Covid-19-Pandemie hat diese Bedrohungen verstärkt, da mehr Menschen online arbeiten, was neue Risiken mit sich bringt. Daher ist es wichtig, ein robustes Vorfall-Reaktionsteam mit dem richtigen Wissen und den richtigen Werkzeugen zu haben, um Organisationen zu schützen.

Ein Vorfall-Reaktionsteam hilft, den Schaden durch Cybervorfälle zu begrenzen. Sie reagieren nicht nur auf Angriffe, sondern untersuchen auch die Ursachen und verhindern zukünftige Vorfälle. Diese Teams werden unter verschiedenen Namen bezeichnet, darunter Computer-Notfall-Reaktionsteams (CERTs) oder Cyber-Vorfall-Reaktionsteams (CIRTs). All diese Begriffe meinen oft dasselbe Team, aber aus Gründen der Konsistenz konzentrieren wir uns auf CSIRTs.

Rolle der nationalen CSIRTs

Nationale CSIRTs unterstützen ihr Land, indem sie die Reaktionen auf Cybervorfälle koordinieren. Sie sammeln und analysieren Daten aus verschiedenen Quellen und arbeiten manchmal mit anderen Ländern und Organisationen zusammen, um Informationen und Best Practices auszutauschen. Diese Teams sorgen dafür, dass Organisationen in ihrem Land auf Sicherheitsbedrohungen vorbereitet sind.

Daten und Tools, die von CSIRTs verwendet werden

CSIRTs sind auf verschiedene Arten von Daten für ihre Operationen angewiesen. Sie verwenden oft sowohl Closed-Source- als auch öffentliche Daten. Closed-Source-Daten umfassen Informationen, die eingeschränkt sind, wie interne Berichte oder Geheimdienstinformationen, die zwischen vertrauenswürdigen Partnern geteilt werden. Öffentliche Daten sind hingegen Informationen, die online offen verfügbar sind und von jedem kostenlos abgerufen werden können.

Kostenlose Tools kommen in vielen Formen, von Softwareprogrammen, die zur Untersuchung von Vorfällen entwickelt wurden, bis hin zu Anwendungen, die bei der Datenanalyse helfen. Diese Tools können besonders nützlich für die Vorfallreaktion sein und den Teams helfen, Informationen schnell zu sammeln und zu analysieren. Einige CSIRTs haben eigene Tools entwickelt, während viele andere auf Tools der Open-Source-Community oder anderer Organisationen zurückgreifen.

Systematische Literaturübersicht

Um die Praktiken von CSIRTs zu öffentlichen Daten und kostenlosen Tools besser zu verstehen, wurde eine systematische Literaturübersicht durchgeführt. Diese umfasste die Untersuchung vorhandener Forschungsarbeiten und Veröffentlichungen über nationale CSIRTs. Die Überprüfung wurde in drei Phasen durchgeführt:

  1. Identifizierung relevanter Veröffentlichungen: Der erste Schritt bestand darin, die Websites nationaler CSIRTs und relevanter Organisationen nach nützlichen Informationen zu durchsuchen.

  2. Analyse der Forschungsliteratur: In der zweiten Phase lag der Fokus auf der Betrachtung wissenschaftlicher Forschungsarbeiten, um nützliche Erkenntnisse über die Operationen von CSIRTs zu gewinnen.

  3. Synthese der Erkenntnisse: Der dritte Schritt kombinierte Daten und Erkenntnisse aus den ersten beiden Phasen, um einen umfassenden Überblick darüber zu geben, wie nationale CSIRTs öffentliche Daten und kostenlose Tools nutzen.

Ergebnisse der Überprüfung

Aktuelle Praktiken

Die Überprüfung ergab, dass nationale CSIRTs oft öffentliche Daten und kostenlose Tools diskutieren, aber viele dieser Diskussionen unvollständig sind oder an Tiefe fehlen. Es gibt auch eine merkliche Abwesenheit von Forschungen darüber, wie CSIRT-Mitarbeiter die Nützlichkeit dieser Daten und Tools sehen. Dieser Mangel an detaillierten Informationen kann Hindernisse dafür schaffen, das Beste aus dem Verfügbaren zu machen.

Öffentliche Datenquellen

Nationale CSIRTs nutzen eine Vielzahl öffentlicher Datenquellen für ihre Vorfallreaktionsoperationen. Einige Beispiele für öffentliche Daten sind:

  • Schwachstelleninformationen: Ressourcen, die Details über bekannte Softwareanfälligkeiten bereitstellen, wie die Datenbank der Common Vulnerabilities and Exposures (CVE).

  • Bedrohungsintelligenz-Feeds: Daten, die helfen, potenzielle Bedrohungen wie Malware oder Phishing-Kampagnen zu identifizieren.

  • Domain-Registrierungsinformationen: Daten aus WHOIS-Datenbanken, die Einblicke in den Besitz und die Registrierung von Domains geben können.

  • Allgemeine öffentliche Informationen: Daten, die aus staatlichen Open-Data-Portalen und öffentlichen Websites verfügbar sind und relevante Informationen für Vorfallreaktionen enthalten können.

Kostenlose Tools

Die Studie hob eine erhebliche Anzahl kostenloser Tools hervor, die in der Literatur erwähnt werden. Diese Tools decken verschiedene Funktionen ab, darunter:

  • Protokollanalyse: Tools, die helfen, Computerprotokolle zu analysieren, um verdächtige Aktivitäten zu identifizieren.
  • Vorfallmanagement: Anwendungen, die bei der Verfolgung und Verwaltung von Vorfällen helfen.
  • Netzwerküberwachung: Tools zur Überwachung von Netzwerkaktivitäten und zur Erkennung potenzieller Verstösse.
  • Forensische Tools: Software, die bei der Untersuchung von Cybervorfällen und der Sammlung von Beweisen unterstützt.

Viele nationale CSIRTs verwenden aktiv kostenlose Tools und einige entwickeln sogar ihre eigenen. Beispiele für Tools, die von CSIRTs entwickelt wurden, sind:

  • IntelMQ: Ein Tool zum Sammeln und Verarbeiten von Bedrohungsintelligenzdaten.
  • MISP (Malware Information Sharing Platform): Ein Tool, das den Austausch von Bedrohungsinformationen zwischen CSIRTs erleichtert.

Diese Tools sind entscheidend für den täglichen Betrieb und können eine bedeutende Rolle bei der Verbesserung der Reaktionszeiten und der gesamten Sicherheitsmassnahmen spielen.

Herausforderungen, denen sich CSIRTs gegenübersehen

Trotz der Vorteile der Nutzung öffentlicher Daten und kostenloser Tools gibt es Herausforderungen, mit denen nationale CSIRTs konfrontiert sind. Zu diesen Herausforderungen gehören:

  • Qualität von Daten und Tools: Öffentliche Daten sind möglicherweise nicht immer zuverlässig. Oft fehlt es an Qualitätskontrollen für kostenlose Tools, was zu Problemen in ihrer Effektivität führen kann.

  • Begrenztes Wissen: Viele CSIRT-Mitarbeiter sind sich möglicherweise nicht vollständig der verfügbaren öffentlichen Daten und kostenlosen Tools bewusst, was ihre Fähigkeit verringert, diese Ressourcen effektiv zu nutzen.

  • Betriebliche Einschränkungen: CSIRTs könnten Schwierigkeiten haben, neue Tools zu implementieren und in ihre bestehenden Prozesse zu integrieren.

Zukünftige Forschungsrichtungen

Die Ergebnisse der Literaturübersicht heben mehrere Bereiche hervor, die weiterer Studien bedürfen:

  1. Verständnis der Wahrnehmungen von CSIRT-Mitarbeitern: Weitere Forschung ist erforderlich, um handfeste Beweise dafür zu sammeln, wie CSIRT-Mitarbeiter die Nützlichkeit öffentlicher Daten und kostenloser Tools wahrnehmen.

  2. Fallstudien erfolgreicher Implementierungen: Eine detaillierte Studie spezifischer nationaler CSIRTs, die öffentliche Daten und kostenlose Tools effektiv eingesetzt haben, könnte nützliche Einblicke für andere Teams bieten.

  3. Evaluierung von Tools: Zukünftige Forschung sollte erkunden, wie die Qualität kostenloser Tools und öffentlicher Daten systematisch bewertet werden kann.

  4. Förderung der Zusammenarbeit: Zu untersuchen, wie CSIRTs besser zusammenarbeiten und Ressourcen teilen können, könnte die Fähigkeiten zur Vorfallreaktion global verbessern.

Fazit

Öffentliche Daten und kostenlose Tools spielen eine entscheidende Rolle dabei, nationalen CSIRTs bei der Reaktion auf Cybervorfälle zu helfen. Es gibt jedoch viel Raum für Verbesserungen in der Nutzung dieser Ressourcen. Durch weitere Forschung zu den Praktiken, Herausforderungen und Wahrnehmungen rund um öffentliche Daten und kostenlose Tools kann die CSIRT-Community ihre Fähigkeiten erweitern und Organisationen besser vor Cyberbedrohungen schützen.

In einer Ära, in der Cyberbedrohungen zunehmend ausgeklügelt sind, wird das Verständnis der Dynamik von Daten und Tools, die den Vorfallreaktionsteams zur Verfügung stehen, entscheidend sein, um sichere Umgebungen für Organisationen weltweit zu gewährleisten.

Originalquelle

Titel: The Use of Public Data and Free Tools in National CSIRTs' Operational Practices: A Systematic Literature Review

Zusammenfassung: Many CSIRTs, including national CSIRTs, routinely use public data, including open-source intelligence (OSINT) and free tools, which include open-source tools in their work. However, we observed a lack of public information and systematic discussions regarding how national CSIRTs use and perceive public data and free tools in their operational practices. Therefore, this paper provides a systematic literature review (SLR) to comprehensively understand how national CSIRTs use and perceive public data and free tools in facilitating incident responses in operations. Our SLR method followed a three-stage approach: 1) a systematic search to identify relevant publications from websites of pertinent CSIRT organisations, 2) a conventional SLR into the research literature, and 3) synthesise data from stages one and two to answer the research questions. In the first stage, we searched the websites of 100 national CSIRTs and 11 cross-CSIRT organisations to identify relevant information about national CSIRTs. In the second stage, we searched a scientific database (Scopus) to identify relevant research papers. Our primary finding from the SLR is that most discussions concerning public data and free tools by national CSIRTs are incomplete, ad hoc, or fragmented. We discovered a lack of discussions on how the staff of national CSIRTs perceive the usefulness of public data and free tools to facilitate incident responses. Such gaps can prevent us from understanding how national CSIRTs can benefit from public data and free tools and how other organisations, individuals and researchers can help by providing such data and tools to improve national CSIRTs' operation. These findings call for more empirical research on how national CSIRTs use and perceive public data and free tools to improve the overall incident responses at national CSIRTs and other incident response organisations.

Autoren: Sharifah Roziah Binti Mohd Kassim, Shujun Li, Budi Arief

Letzte Aktualisierung: 2023-06-09 00:00:00

Sprache: English

Quell-URL: https://arxiv.org/abs/2306.07988

Quell-PDF: https://arxiv.org/pdf/2306.07988

Lizenz: https://creativecommons.org/licenses/by/4.0/

Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.

Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.

Referenz Links
Referenzierte Themen

Mehr von den Autoren

Ähnliche Artikel