Evaluation of Threat Information Feeds for a Cyber Defense Center : A Case Study for Company Netcloud AG
Kuusenmäki, Juha (2020)
Kuusenmäki, Juha
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020121528323
https://urn.fi/URN:NBN:fi:amk-2020121528323
Tiivistelmä
Nykypäivänä yritykset ja organisaatiot joutuvat puolustautumaan yhä hienostuneempia, hyvin koordinoituja ja erittäin kyvykkäitä kyber-hyökkäyksiä vastaan. Jotta näitä hyökkäyksiä vastaan voitaisiin puolustautua tehokkaammin, täytyy yritysten ja organisaatioiden parantaa tilannekuvaansa heihin kohdistuvista uusista uhista. Lisääntynyt tarve parantaa tilannekuvaa loi tarpeen tutkia Netcloud AG:n asiakkaille ja kyberpuolustuskeskukselle sopivia uhkadataa tuottavia syötteitä ja niiden mahdollisesti tuomia etuja tilannekuvan parantamiseksi.
Tutkimuksen tarkoituksena oli selvittää mitä uhkadataa tuottavia STIX/TAXII syötteitä on tällä hetkellä olemassa, kartoittaa niiden tuomat edut ja heikkoudet ja selvittää voiko niiden tuottamaan dataa hyödyntää tilannekuvan parantamiseksi. Tutkimus suoritettiin kirjallisuustutkielmalla olemassa olevista STIX/TAXII syötteistä ja todentamalla kirjallisuustutkielman tuloksia käytännössä tapaustutkimuksella.
Kirjallisuustutkimuksen tulosten pohjalta saatiin hyvä yleiskuva olemassa olevista uhkadataa tuottavista STIX/TAXII syötteistä, niiden ominaisuuksista, heikkouksista ja mahdollisista käyttökohteista. Kirjallisuustutkimuksen tulokset todennettiin tapaustutkimuksella. Tutkimustuloksia voidaan hyödyntää Netcloud AG:n kyberturvakeskuksen arvioidessa heidän liiketoimintastrategiaan ja heidän asiakkaille sopivia uhkadataa tarjoavia syötteitä. Companies and organizations nowadays need to be prepared to defend themselves against more sophisticated, well coordinated and capable cyber-attacks. In order to defend against these attacks more efficiently, companies and organizations need to improve their situational awareness about the emerging threats their businesses are facing. The growing need to improve the situational awareness created a need for Netcloud AG to research threat information feeds suitable for their Cyber Defense Center and their customer and to research their possible benefits for improving situational awareness.
The purpose of this study is to find out what STIX/TAXII threat information feeds currently exist and what are their benefits and disadvantages in addition to find out if the data provided by those feeds can be used to improve situational awareness of an organization.
The study was conducted as a literature review about existing STIX/TAXII feeds which produced an overview of the capabilities, weaknesses and possible use cases of each feed. The results of the literature review were validated with a practical case study. The research results can be used to support Netcloud Cyber Defense Center's further evaluations for threat information feeds suitable for their business strategy and their customer cases.
Tutkimuksen tarkoituksena oli selvittää mitä uhkadataa tuottavia STIX/TAXII syötteitä on tällä hetkellä olemassa, kartoittaa niiden tuomat edut ja heikkoudet ja selvittää voiko niiden tuottamaan dataa hyödyntää tilannekuvan parantamiseksi. Tutkimus suoritettiin kirjallisuustutkielmalla olemassa olevista STIX/TAXII syötteistä ja todentamalla kirjallisuustutkielman tuloksia käytännössä tapaustutkimuksella.
Kirjallisuustutkimuksen tulosten pohjalta saatiin hyvä yleiskuva olemassa olevista uhkadataa tuottavista STIX/TAXII syötteistä, niiden ominaisuuksista, heikkouksista ja mahdollisista käyttökohteista. Kirjallisuustutkimuksen tulokset todennettiin tapaustutkimuksella. Tutkimustuloksia voidaan hyödyntää Netcloud AG:n kyberturvakeskuksen arvioidessa heidän liiketoimintastrategiaan ja heidän asiakkaille sopivia uhkadataa tarjoavia syötteitä.
The purpose of this study is to find out what STIX/TAXII threat information feeds currently exist and what are their benefits and disadvantages in addition to find out if the data provided by those feeds can be used to improve situational awareness of an organization.
The study was conducted as a literature review about existing STIX/TAXII feeds which produced an overview of the capabilities, weaknesses and possible use cases of each feed. The results of the literature review were validated with a practical case study. The research results can be used to support Netcloud Cyber Defense Center's further evaluations for threat information feeds suitable for their business strategy and their customer cases.