Wazuh CTI (Cyber Threat Intelligence) ist eine öffentlich zugängliche Plattform, die aktuelle und umfassende Informationen zu Schwachstellen (Vulnerabilities) und Bedrohungen im Bereich der IT-Sicherheit bereitstellt. Ziel ist es, Unternehmen und Sicherheitsexperten dabei zu unterstützen, potenzielle Risiken frühzeitig zu erkennen und geeignete Gegenmaßnahmen einzuleiten.
Hauptfunktionen von Wazuh CTI
- Zentrale Schwachstellendatenbank: Wazuh CTI aggregiert und normalisiert Schwachstelleninformationen (CVEs) aus verschiedenen vertrauenswürdigen Quellen wie Betriebssystemherstellern (z. B. Ubuntu, Red Hat, Microsoft) und internationalen Sicherheitsdatenbanken (z. B. NVD, CISA).
- Aktuelle Bedrohungsinformationen: Die Plattform liefert Echtzeit-Updates zu neuen Schwachstellen, deren Schweregrad (CVSS-Score), Exploitierbarkeit und empfohlene Maßnahmen zur Risikominderung.
- Validierung und Anreicherung: Die Daten werden geprüft, angereichert und in ein einheitliches Format (CVE JSON 5.0) überführt, um eine hohe Qualität und Zuverlässigkeit zu gewährleisten.
- Öffentliche Weboberfläche: Über https://cti.wazuh.com kann jeder ohne Registrierung nach Schwachstellen suchen, filtern und sich detaillierte Informationen anzeigen lassen (z. B. betroffene Systeme, Schweregrad, Referenzen).
- Integration in Wazuh SIEM/XDR: Ab Wazuh 4.12 ist die CTI-Plattform direkt in das Wazuh-Dashboard integriert. So können erkannte Schwachstellen im eigenen Netzwerk mit den Informationen aus der CTI-Datenbank verknüpft und analysiert werden-
Anwendungsbereiche
- Schwachstellenmanagement: Identifikation und Bewertung von Schwachstellen in der eigenen IT-Landschaft.
- Bedrohungsanalyse: Unterstützung bei der Priorisierung von Maßnahmen durch aktuelle Exploit- und Bedrohungsinformationen.
- Forensik und Incident Response: Detaillierte Informationen zu Schwachstellen helfen bei der Analyse und Reaktion auf Sicherheitsvorfälle.
Ausblick
Wazuh plant, die CTI-Plattform künftig um weitere Bedrohungsinformationen wie Indicators of Compromise (IOCs) – z. B. IP-Adressen, Dateihashes und URLs – zu erweitern. Auch die Bereitstellung von Threat-Detection-Regeln direkt aus der CTI-Plattform ist vorgesehen.
Fazit:
Wazuh CTI ist ein leistungsstarkes, frei zugängliches Werkzeug für Schwachstellen- und Bedrohungsinformationen, das sowohl eigenständig als auch integriert in die Wazuh-Sicherheitsplattform genutzt werden kann. Es unterstützt IT-Sicherheitsexperten dabei, Risiken zu minimieren und die Sicherheit ihrer Systeme kontinuierlich zu verbessern.