Cyber Threat Intelligence Model: An Evaluation of Taxonomies, Sharing Standards, and Ontologies within Cyber Threat Intelligence

Cyber threat intelligence is the provision of evidence-based knowledge about existing or emerging threats. Benefits of threat intelligence include increased situational awareness and efficiency in security operations and improved prevention, detection, and response capabilities. To process, analyze, and correlate vast amounts of threat information and derive highly contextual intelligence that can be shared and consumed in meaningful times requires utilizing machine-understandable knowledge representation formats that embed the industry-required expressivity and are unambiguous. To a large extend, this is achieved by technologies like ontologies, interoperability schemas, and taxonomies. This research evaluates existing cyber-threat-intelligence-relevant ontologies, sharing standards, and taxonomies for the purpose of measuring their high-level conceptual expressivity with regards to the who, what, why, where, when, and how elements of an adversarial attack in addition to courses of action and technical indicators. The results confirmed that little emphasis has been given to developing a comprehensive cyber threat intelligence ontology with existing efforts not being thoroughly designed, non-interoperable and ambiguous, and lacking semantic reasoning capability

Integration of Arctic Node threat intelligence sharing platform with Suricata

Abstract. The Internet has connected the modern world. Nowadays anyone can access anything straight from their home computer. Everything and everyone has a presence in the cyber domain, including those who seek to conduct criminal activities. In response to this, the field of cyber security has been born. Cyber threat intelligence refers to information about cyber threats such as computers with open vulnerabilities and malicious Internet sites. The amount of available information is vast and the only way to handle such a large amount of data is automation. Threat intelligence sharing platforms have been developed for this task. They are used to fetch threat intelligence data from multiple sources, harmonize and analyze the data, and share it further. One part of the automation process is the integration of threat intelligence sharing platforms with other cyber security applications. The goal of this thesis was to integrate a new intrusion detection and prevention system into the Arctic Node threat intelligence sharing platform. Suricata was chosen as the integrated system. A new integration submodule was created for Arctic Node to convert threat intelligence collected by the platform into Suricata rules and send it automatically to Suricata. One of the prominent features of this new module was the capability to deduplicate the output data. The new integration submodule was compared to a similar functionality in another threat intelligence sharing platform, MISP. Testing was conducted in a custom virtual environment using real threat intelligence from seven different feeds. The results of these tests indicated that the new submodule was able to notice a greater number of possible threats, and it generated a more diverse set of different types of Suricata rules from the same input data. Deduplication was found to only have a small impact in reducing the size of the generated rule set as the overlap between different threat intelligence feeds was minimal.Arctic Node -alustan yhdistäminen Suricataohjelmaan. Tiivistelmä. Internet on yhdistänyt nykyajan maailman. Kaikilla on pääsy kaikkialle suoraan kotikoneelta. Myös rikolliset ovat havainneet tämän, ja hakkerointi on noussut modernin maailman suureksi riesaksi. Internetissä tapahtuvan rikollisuuden estämiseksi on syntynyt kyberturvallisuuden ala. Tietoturvatieto käsittää tietoa eri uhkatekijöistä internetissä. Tieto voi koskea esimerkiksi vaarallisia sivustoja tai haavoittuvaisia tietokoneita. Tietoturvatietoa on olemassa valtavasti, eikä kaikkea tätä tietoa voida hallita manuaalisesti, vaan sen hallinta täytyy automatisoida. Tietoturvatiedon hallintaa varten on kehitetty erilaisia tietoturvatiedon hallinta-alustoja, joilla tietoa voidaan kerätä eri lähteistä, rikastaa, analysoida ja jakaa eteenpäin. Yksi tietoturvatiedon hallinta-alustojen toiminnallisuuden osa-alueista on niiden integraatio toisten tietoturvaohjelmien kanssa. Tämän diplomityön tavoitteena oli yhdistää uusi tietoturvaohjelma Arctic Node -alustaan. Yhdistettäväksi ohjelmaksi valittiin Suricata. Diplomityössä tehtiin toiminnallisuus, joka muuttaa Arctic Node -alustan keräämää tietoturvatietoa Suricata-säännöiksi ja joka kykenee jakamaan säännöt automaattisesti Suricata-ohjelmalle. Yksi tämän toiminnallisuuden tavoitteista oli poistaa toisto luoduista Suricata-säännöistä, jotta jokainen sääntö olisi uniikki. Arctic Node -alustan uutta toiminnallisuutta testattiin MISP-alustan samanlaista toiminnallisuutta vastaan. Testin tuloksena oli, että uusi toiminnallisuus tuotti jonkin verran enemmän Suricata-sääntöjä kuin MISP-alusta samoilla tietoturvalähteillä, ja säännöt olivat myös monipuolisempia kuin MISP-alustan luomat säännöt. Testeissä Arctic Node -alustan tuottamat säännöt havaitsivat haitallista liikennettä paremmin kuin MISP-alustan tuottamat säännöt. Testeissä ei havaittu Suricata-sääntöjen toiston poistamisen olevan kovinkaan merkittävää, koska tietoturvalähteiden välillä on melko vähän päällekkäisyyksiä