Mit der Threat-Intelligence-Plattform ThreatQ will es ThreatQuotient Security-Teams ermöglichen, Bedrohungsinformationen erheblich schneller nutzbar zu machen. Neu ist das Add-on ThreatQ Investigations, ein virtuelles Cybersecurity-Lagezentrum für SOC-Betreiber. Der US-Anbieter hat jüngst eine Niederlassung für die DACH-Region eröffnet.

Der US-amerikanische Threat-Intelligence-Spezialist mit dem für deutsche Ohren komplizierten Namen ThreatQuotient, ansässig in Reston, Virginia (nahe Washington, DC), verfolgt das Ziel, die oft hochgradig manuellen Abläufe im SOC (Security Operations Center) zu automatisieren und so zu beschleunigen: Über 400 Threat Intelligence Feeds (Kanäle für aktuelle Bedrohungsdaten) sollen per Abgleich mit internen Schwachstellendaten helfen, deutlich zügiger auf Angriffe zu reagieren, also die TTD (Time to Detection, Zeitfenster bis zum Aufdecken eines Vorfalls) und TTR (Time to Response, Zeit bis zur Reaktion) zu minimieren.

Laut Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotients im April etablierten Zwei-Mann-Team für die DACH-Region, sind die Abläufe in einem SOC oder einer Security-Abteilung nach wie vor stark von Handarbeit geprägt: Informationen zu Bedrohungen liegen in diversen Formaten vor – unstrukturiert als PDF (etwa der Cyber-Brief des Bundesamts für Verfassungsschutz) oder E-Mail sowie strukturiert via Web-API oder Datenaustausch mittels STIX (Structured Threat Information Expression) und TAXII (Trusted Automated Exchange of Indicator Information). Für die Security-Analysten gelte es beim Eintreffen neuer Informationen, diese in ein intern nutzbares Format zu übertragen – oft per Copy and Paste in Excel-Listen.

Hier will ThreatQuotient durch Automation das Tempo erhöhen: Die hauseigene Plattform ThreatQ aggregiert strukturierte und unstrukturierte Daten. So erlaubt es um Beispiel ein PDF-Parser laut Auer, PDFs per Drag and Drop in die Datenbank zu übernehmen, automatisch auszuwerten und so das System in Sekunden um neue IoCs (Indicators of Compromise) anzureichern.

Die Threat Library (Bedrohungsverzeichnis) von ThreatQ ist dabei – anders als etwa beim Konkurrenten Anomali – kein Cloud-Service für gebündelte Feeds, sondern eine Linux-basierte Datenbank, die das Kundenunternehmen selbst betreibt. ThreatQuotient liefert die Plattform und die Connectoren, der Anwender entscheidet selbst, welche Feeds er integrieren will. Neben den Connectoren zu externen Datenquellen umfasst ThreatQ auch solche zu internen Systemen wie Firewalls, SIEM-Systemen (Security-Information- und Event-Management) oder Threat-Detection-Plattformen. Der Abgleich externer mit internen Daten macht ThreatQ laut Auer zur „Single Source of Truth“ (zentralen Auskunftei) zur Bedrohungslage eines Unternehmens.

Tritt eine neue Bedrohung auf, kann ein Security-Analyst somit laut Auer in Sekundenschnelle ermitteln, wie hoch das Risiko ist. Zur Priorisierung bietet ThreatQ ein Scoring-System: Externe Informationen aus vertrauenswürdigen Quellen werden hoch eingestuft (mit manueller Justierungsoption), je nach Zahl der betroffenen Systeme steigt der Score automatisch an. So kann ein SOC-Team laut Auer zum Beispiel Patch-Prozesse besser planen. Die Priorisierung könne automatisch oder manuell erfolgen.

ThreatQ, aktuell in Version 4.0.2, umfasst mit Workbench ein Werkzeug, um Workflows für die Incident Response (Reaktion auf Vorfälle) aufzusetzen. Es gibt aber auch Schnittstellen zu Ticketing-Systemen wie Remedy sowie seit Kurzem zu IBMs Incident-Response-Plattform Resilient. Ebenfalls neu ist mit dem Add-on ThreatQ Investigations ein Lagezentrum für Security-Teams: Der virtuelle „Situation Room“ bietet eine Collaboration-Plattform für das SOC. Das Add-on stellt laut Auer die Incident-Lage grafisch dar, inklusive Bearbeitungs-Zeitachse, und bietet ein Dashboard für die Aufgabenverteilung und Personal-Einsatzplanung. Dies erleichtere zum Beispiel den Schichtwechsel im 24/7-Betrieb eines SOCs.

Lizenziert wird ThreatQ nach der Zahl der IoCs. Es gibt die Plattform in drei Versionen: bis zwei Millionen IoCs, bis zehn Millionen und unlimitiert. Die Lizenzkosten liegen laut Markus Auer zwischen 80.000 und 260.000 Euro pro Jahr. Was nach einem stolzen Preis aussieht, sei gut angelegtes Geld, so Auer, da ThreatQ teure Informationen von FireEye, IBM und Co. effektiver und schneller verwertbar mache.

ThreatQuotient, gegründet 2013, ist seit 2016 in UK und Frankreich tätig, seit April nun auch in der DACH-Region. Zielgruppe des Anbieters sind Unternehmen mit SOC-Teams und hohem Incident-Response-Reifegrad sowie MSSPs (Managed-Security-Service-Provider). Mandantenfähig ist die Lösung, indem der MSSP mehrere kleine ThreatQ-Datenbanken unterhält.

Weitere Informationen finden sich unter threatq.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.