Cyber Threat Intelligence Exchange

Die Verarbeitung und der Austausch von Cyber Threat Intelligence (CTI) Informationen haben in den Vergangenen Jahren immer stärker an Bedeutung gewonnen. Dies kann auf verschiedene Faktoren zurückgeführt werden. Auf der einen Seite bietet der Informationsaustausch ein großes Potential die Informationsbasis von Unternehmen zu stärken und damit den vorhandenen Schutz zu verbessern. Auf der anderen Seite haben Gesetzgeber verschiedener Ländern dieses Potential ebenfalls erkannt und in gesetzlichen Meldepflichten übersetzt. Gleichzeitig handelt es bei dem Bereich Cyber Threat Intelligence noch um ein sehr junges und Forschungsfeld mit einem nur geringen Literaturkorpus. Entsprechend existieren kaum Vorgaben, einheitliche Standards oder Leitfäden welche einen solchen Austausch definieren oder unterstützen. Mit dieser Dissertation wird diese Problematik durch eine Aufarbeitung der methodischen Grundlagen für den Austausch von Threat Intelligence Informationen mit drei wesentlichen Schwerpunkten adressiert. Hierzu werden zuerst die zugrundeliegende Datenformate und Datenstrukturen analysiert und methodisch aufgearbeitet. Im weiteren Verlauf der Arbeit werden Möglichkeiten zur Integration des Menschen in den Analyseprozess von Sicherheitsvorfällen und damit in die Erzeugung von CTI Informationen untersucht. Im letzten Teil der Arbeit werden auf der einen Seite rechtliche Rahmenbedingungen für einen Austausch und Verfahren zur Schaffung von Anreizen für den Austausch untersucht. Mit der vorliegenden Arbeit werden damit eine fundierte Grundlage sowie ein strukturierter Rahmen für den kooperativen Einsatz von CTI Informationen geschaffen.

The processing and exchange of Cyber Threat Intelligence (CTI) has become an increas- ingly important topic in recent years. This trend can be attributed to various factors. On the one hand, the exchange of information offers great potential to strengthen the knowledge base of companies and thus improve their protection against cyber threats. On the other hand, legislators in various countries have recognized this potential and translated it into legal reporting requirements. However, CTI is still a very young research area with only a small body of literature. Hence, there are hardly any guidelines, uniform standards, or speciﬁcations that deﬁne or support such an exchange. This dissertation addresses the problem by reviewing the methodological foundations for the exchange of threat intelligence in three focal areas. First, the underlying data formats and data structures are analyzed, and the basic methods and models are developed. In the further course of the work, possibilities for integrating humans into the analysis process of security incidents and into the generation of CTI are investigated. The ﬁnal part of the work examines possible obstacles in the exchange of CTI. Both the legal environment and mechanisms to create incentives for an exchange are studied. This work thus creates a solid basis and a structured framework for the cooperative use of CTI.

Country

Germany

Related Organizations

University of Regensburg
Germany

Keywords

ddc:004, 650 Management, ddc:650, 004 Informatik, Cyber Threat Intelligence, CTI, STIX, Intelligence Exchange

Impact byBIP!

	selected citations These citations are derived from selected sources. This is an alternative to the "Influence" indicator, which also reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).	0
	popularity This indicator reflects the "current" impact/attention (the "hype") of an article in the research community at large, based on the underlying citation network.	Average
	influence This indicator reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).	Average
	impulse This indicator reflects the initial momentum of an article directly after its publication, based on the underlying citation network.	Average