A Cyber Threat Intelligence Approach for Improving Cybersecurity Defense Strategy

Abstract

The main question of the study: What is the prevalent status of cyber threat intelligence on the domain of cybersecurity defence strategy from detecting and hunting current sophisticated cyberattacks?

Study sub-questions: 1- How effective is using cyber threat intelligence in detecting cyberattacks? 2- How does cyber threat intelligence support situation awareness in response to cyberattacks? 3- Is it helpful monitoring and analyzing the tactics, techniques and procedures of adversaries using MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) Framework? 4- Does the quality of the collected threat data impact the accuracy of the proposed defense architecture? 5- How difficult is integrating threat intelligence into defense tools? 6- Why was implementing cyber threat intelligence with security operation center successful or unsuccessful in the goal of threat hunting?

Main objective: this study is developing and implementing an improved cyber defense strategy by designing cybersecurity architecture based on cyber threat intelligence collected information and deploying the designed architecture into security operation center (SOC) to hunt threats and mitigate it.

Specific objectives: 1- To contribute more researches tackle on cyber threat intelligence and its challenges in general, and especially in threat hunting process. 2- Collect threat intelligence from different sources such as open source and closed community and operationalizing it to detect and mitigate sophisticated cyberattacks. 3- Looking for the recommendations to overcome the unending change of current cyberthreats landscape.

Sample of study: open source threat intelligence feed from MISP Project, MITRE AT&CK Framework, and threat hunting of adversaries’ behavior in the organization’ network system.

Study methodology and tool: In this study, the experimental study approach was applied. The stages of the work were designed by collecting threat intelligence, analyzed and fed to security operation center (SOC) tools to achieve the objectives of the study.

Results and conclusions: 1- Improved the detection capabilities by hunting known IoC’s and tactics, techniques and procedures (TTPs). 2- The results show that the importance of using threat intelligence to mitigate real world sophisticated cyberattacks.

Recommendations: 1- Joining threat intelligence community that share cultures or a region may give likewise organizations valuable threat information about an emerging cyberattack that the community might have in common. 2- Establish information sharing and analysis center (ISAC) like Arab Threat Intelligence Community (ATIC) platform that collects all indicators of incidents happening around Arab countries to give the participants early warnings of cyberattacks in real-time.

التساؤل الرئيسي للدراسة: ما هو الوضع السائد استخبارات التهديدات السيبراني في مجال استراتيجية الدفاع عن الأمن السيبراني من اكتشاف وتصيد الهجمات الإلكترونية المتطورة الحالية؟

ويتفرع من التساؤل الرئيس الأسئلة الفرعية التالية: -1ما مدى فاعلية استخدام استخبارات التهديدات السيبراني في كشف الهجمات الإلكترونية؟ -2كيف يدعم استخبارات التهديدات السيبراني الوعي بالموقف استجابة للهجمات الإلكترونية؟ -3هل من المفيد رصد وتحليل تكتيكات وتقنيات وإجراءات الخصوم باستخدام الإطار (MITRE ATT&CK) التكتيكات والتقنيات والمعرفة العامة؟ -4هل تؤثر جودة بيانات التهديد المجمعة على دقة البنية الدفاعية المقترحة؟ -5ما مدى صعوبة دمج معلومات التهديد في أدوات الدفاع؟ -6لماذا كان تطبيق استخبارات التهديدات السيبراني مع مركز العمليات الأمنية ناجحًا أو غير ناجح في هدف تعقب التهديدات.

الهدف الرئيسي لهذه الدراسة: هي تطوير وتنفيذ استراتيجية دفاعية محسّنة من خلال تصميم بنية أمنية تستند إلى المعلومات التي تم جمعها من المعلومات المتعلقة بالتهديدات السيبرانية ونشر البنية المصممة في مركز عمليات الأمن (SOC) لتعقب التهديدات والتخفيف من حدتها.

أهداف محددة: -1المساهمة في المزيد من الأبحاث التي تتناول استخبارات التهديدات السيبراني وتحدياتها بشكل عام، وخاصة في عملية تعقب التهديدات. -2جمع معلومات التهديد من مصادر مختلفة مثل المصادر المفتوحة والمجتمعات المغلقه وتفعيلها لاكتشاف الهجمات الإلكترونية المعقدة والتخفيف من حدتها. -3البحث عن توصيات للتغلب على التغيير اللامتناهي في مشهد التهديدات السيبرانية الحالي.

عينة من الدراسة: موجز معلومات التهديد مفتوح المصدر من مشروع MISP ، وإطار MITER AT&CK ، ومطاردة سلوك الأعداء في نظام شبكة المؤسسة.

منهج الدراسة وأداتها: تم في هذه الدراسة تطبيق منهج الدراسة التجريبية. تم تصميم مراحل العمل من خلال جمع معلومات التهديد وتحليلها وتزويدها بأدوات مركز العمليات الأمنية (SOC) لتحقيق أهداف الدراسة.

النتائج والاستنتاجات: -1تحسين قدرات الكشف عن طريق البحث عن أساليب وتقنيات وإجراءات IoC's المعروفة. -2تظهر النتائج أهمية استخدام استخبارات التهديدات لتخفيف الهجمات الإلكترونية المعقدة في العالم الحقيقي.

التوصيات: -1الانضمام إلى مجتمع استخبارات التهديدات السيبراني الذي يتشارك في ثقافات أو منطقة قد يمنح المنظمات بالمثل معلومات تهديد قيمة حول هجوم إلكتروني ناشئ قد يكون لدى المجتمع مشترك. -2إنشاء مركز تبادل المعلومات وتحليلها (ISAC) مثل منصة مجتمع استخبارات التهديدات العربي (ATIC) الذي يجمع جميع مؤشرات الحوادث التي تحدث في جميع أنحاء الدول العربية لإعطاء المشاركين إنذارات مبكرة من الهجمات الإلكترونية في الوقت الفعلي.