Spotlight IntelMQ
Hintergrund
Gestartet wurde der Entwicklungsprozess von IntelMQ bei einem Treffen mehrerer CERTs im Jahr 2014 . Die damals verfügbaren Softwarelösungen zur Automatisierung und Verarbeitung von Daten im IT-Securitybereich waren zumeist teuer und/oder schwer zu bedienen. Einige Entwickler des portugiesischen CERT und CERT.at beschlossen daher, selbst ein Tool zu entwickeln, das diese Schwächen nicht aufweist, denn rein manuelle Bearbeitung war und ist aufgrund der Masse an Daten nicht sinnvoll möglich.
Dementsprechend sollte IntelMQ möglichst einfach zu nutzen und zu administrieren sein sowie problemlos weiterentwickelt und angepasst werden können. Um das zu erreichen, waren und sind Kompatibilität mit und Schnittstellen zu anderen Tools unerlässlich.
Diese Designprinzipien – Ease-of-Use und Kompatibilität – sind bis heute unverändert und maßgeblich für den Erfolg des Programms verantwortlich.
Viele CERTs die Alternativen genutzt hatten, sind über die Jahre auf IntelMQ umgestiegen. Mittlerweile verwenden auch viele SOCs (Security Operations Center) und andere Organisationen IntelMQ. Ausgegangen wird von einer weltweit zumindest dreistelligen Anzahl von Instanzen, genaue Daten gibt es dazu aber nicht.
Open Source
Um einerseits die Problematik der hohen Preise, aber auch die Abhängigkeit von einzelnen Personen/Firmen/Institutionen zu lösen, war von Beginn an klar, dass IntelMQ als Open Source Projekt realisiert werden sollte. Es wird daher bis heute im Rahmen des internationalen Incident Handling Automation Projects entwickelt.
Seit mehreren Jahren wird die Weiterentwicklung der Software führend von CERT.at getragen, mit vielen Beitragenen weltweit. Wir übernehmen dabei die Koordination und Planung, sorgen für die Kompatibilität zwischen den Versionen, prüfen Code von externen Beitragen und pflegen diesen ein. Außerdem kümmert sich CERT.at um das Release-Management.
Der Quellcode für IntelMQ ist unter folgender URL zu finden:
https://github.com/certtools/intelmq/
Automatisierung
Die Verarbeitung großer Datenmengen kann mit IntelMQ automatisiert erfolgen. IntelMQ sammelt die eingehenden Datenfeeds und verarbeitet sie nach konfigurierbaren Kriterien. Die Daten werden dabei interpretiert, kategorisiert, angereichert und dedupliziert.
IntelMQ verfügt über eine graphische Oberfläche, die es zusätzlich erleichtert, die einzelnen Komponenten zu konfigurieren und das System zu überwachen. Außerdem ist es darüber möglich, einmalige Aussendungen zu generieren. Auf diesem Weg können CERTs innerhalb von kurzer Zeit eine große Menge an Betroffenen informieren, ohne hunderte E-Mails per Hand zu verfassen zu müssen. IntelMQ findet dabei die korrekten EmpfängerInnen automatisch anhand mehrerer Datenbanken.