Fulltext available Open Access
License: 
Title: Exemplarische Erzeugung von Cyber Threat Intelligence (CTI) aus einer Exploit-Analyse und deren Integration in die Malware Information Sharing Platform (MISP)
Language: German
Authors: Reiber, Fabian 
Keywords: Cyber Threat Intelligence (CTI); Malware Information Sharing Platform (MISP); Exploit Database
Issue Date: 1-Mar-2022
Abstract: 
Das Ziel der Arbeit ist die Vorstellung eines entwickelten Prototyps zur automatisierten Erzeugung von Cyber Threat Intelligence (CTI) durch eine Exploit-Analyse und ihre Integration in die Malware Information Sharing Platform (MISP). Zunächst ist der Begriff CTI detailliert beschrieben und zeigt weitere Kategorien davon auf. Weiterhin ist eine Vorstellung von MISP für den direkten Austausch gewonnener Analyseergebnisse gegeben.
Überdies sind die Zielgruppen von CTI ausführlich beschrieben. Im Kern geht die Arbeit der Frage nach, ob Indikatoren zur Identifizierung von Sicherheitsvorfällen aus der Analyse von Exploits gewonnen werden können. Wenn dies der Falls ist, sind sie als CTI anzusehen, sodass die verschiedenen Zielgruppen davon profitieren können. Außerdem stellt die Vorstellung eines Anwendungsfalls einen praktischen Nutzen einiger gewonnener Ergebnisse vor. Dabei wird gezeigt, ob das Advisory-System des DFN-CERT Inkonsistenzen bzgl. der Bewertung von Schwachstellen und Advisories aufweist. Zur Beantwortung dieser und weiterer Fragen, ist der Entwurf und die Entwicklung eines Prototyps genau aufgeführt. Die Entwicklung des Prototyps hat gezeigt, dass eine Exploit-Analyse möglich ist und verschiedene Indikatoren gewonnen werden konnten. Es wurde deutlich, dass dies ca. 30% aller extrahierten Ergebnisse sind. Durch ihre Einsortierung in die Kategorien Technical und Tactical Threat Intelligence, können alle Zielgruppen davon profitieren. Die Analyse des Anwendungsfalls zeigt zusätzlich, dass das Advisory-System verschiedene Inkonsistenzen in der Bewertung aufweist. Letztlich zeigt sich insgesamt ein steigendes Interesse an der Verwendung von CTI, sodass die Weiterentwicklung und Optimierung dieses Prototyps sinnvoll ist.

The aim of the thesis is to present the development of a prototype for the automated creation of Cyber Threat Intelligence (CTI) through an exploit analysis and its integration into the Malware Information Sharing Platform (MISP). First, the term CTI is described in detail and shows more categories thereof. Furthermore, MISP is presented as a direct exchange tool of analytical results. Moreover, the target groups of CTI are described in detail. In essence, the work addresses the question of wether indicators for identifying security incidents can be obtained from the analyses of exploits. If this is the case, they should be considered as CTI, so that the different target groups have a benefit. Moreover, a use case presents a practical benefit of some results. It shows wether the advisory system of DFN-CERT has inconsistencies in terms of the evaluation of vulnerabilities and advisories. To answer these and other questions, the design and development of a prototype is described in detail. The development of the prototype has shown that the exploit analysis is possible and various indicators could be obtained. It became clear that this is about 30% of all extracted results. By sorting them into the categories Technical and Tactical Threat Intelligence, all target groups profit. The use case analysis also shows that the advisory system has various inconsistencies in the evaluation. Finally, there is a growing interest in the use of CTI, so that a further development and optimization of this prototype is reasonable.
URI: http://hdl.handle.net/20.500.12738/12539
Institute: Fakultät Technik und Informatik 
Department Informatik 
Type: Thesis
Thesis type: Master Thesis
Advisor: Kossakowski, Klaus-Peter  
Referee: Buth, Bettina 
Appears in Collections:Theses

Files in This Item:
File Description SizeFormat
reiber_fabian_ma_thesis.pdf4.28 MBAdobe PDFView/Open
Show full item record

Page view(s)

271
checked on Dec 27, 2024

Download(s)

1,626
checked on Dec 27, 2024

Google ScholarTM

Check

HAW Katalog

Check

Note about this record


Items in REPOSIT are protected by copyright, with all rights reserved, unless otherwise indicated.