Integration of Cyber Threat Intelligence into Security Onion and Malcolm for the use case of industrial networks

With the increasing frequency of cyberattacks on Industrial Control Systems (ICS), the subject of cybersecurity is becoming increasingly important. Cyber Threat Intelligence (CTI) provides information about cyber adversaries, including their intentions and attack techniques. This paper analyzes the availability of open-source CTI for ICS, with a particular focus on technical indicators that can aid in detecting cyberattacks. Furthermore, this paper examines the automated integration of CTI data into SIEM systems and introduces CTIExchange as a tool that facilitates this integration by connecting Threat Intelligence Platforms with detection tools.

Durch die steigende Anzahl von Cyberangriffen auf industrielle Steuerungssysteme (ICS) erfährt das Thema Cybersicherheit zunehmende Bedeutung. Cyber Threat Intelligence (CTI) beschreibt Wissen zu Cyber-Angreifern, einschließlich ihrer Absichten und Angriffstechniken. Dieser Beitrag untersucht die Verfügbarkeit von Open-Source-CTI für ICS, mit dem Schwerpunkt auf technischen Indikatoren, die der Angriffserkennung dienen können. Außerdem wird die automatische Integration von CTI-Daten in SIEM-Systeme untersucht. Dabei wird das Tool CTIExchange vorgestellt, welches die Integration von Threat Intelligence-Plattformen mit Angriffserkennungstools ermöglicht.