Threat Intelligence ist häufig ein abgeschottetes Reporting-Spielfeld: ein Analyst fütterst MISP, irgendwo in einem PDF tauchen IOCs auf, die Mail-Filter bekommen davon nichts mit. SecTepe.Comm geht den umgekehrten Weg: der CTI-Stack ist der zentrale Indikator-Pool, aus dem Mail-Gateway, Sandbox und SIEM in Echtzeit konsumieren – und in den sie zurückspeisen.
Vier Bausteine im Zusammenspiel
- MISP: Indicator-Datenbank für IPs, Domains, Hashes, URLs und komplexe Galaxien (TTPs nach MITRE ATT&CK). MISP ist die „Source of Truth" für statische Indikatoren.
- OpenCTI: Knowledge-Graph für Akteure, Kampagnen, Tools und ihre Beziehungen. 30+ Connectoren ziehen Daten von AbuseIPDB, AlienVault OTX, URLhaus, ThreatFox, MalwareBazaar, MITRE ATT&CK, CISA KEV und vielen weiteren.
- YARA-Service: Regelverwaltung mit Compile-Validierung, signierte Auslieferung an die Sandbox und das Mail-Gateway, Versionierung pro Regel.
- Ransomware-Intel: Eigener Microservice, der Ransomware-Aktoren, deren Leak-Sites und kürzlich genannte Opfer aggregiert – als zusätzliche Frühwarn-Schicht.
Wie der Mail-Gateway den CTI-Stack nutzt
Beim Eingang einer Mail bewertet der Gateway in der gleichen Pipeline:
- IP- und Domain-Reputation gegen MISP-Indikatoren.
- Anhang-Hash gegen MalwareBazaar (über OpenCTI) und ClamAV.
- YARA-Match gegen die zentrale Regelmenge – sowohl auf Anhang-Bytes als auch auf URL-Inhalte.
- Sender-Domain gegen die Ransomware-Leak-Site-Aktoren – ein Hit triggert sofort sandbox-detonation und Verdict „suspicious".
Jeder dieser Schritte läuft asynchron, sodass die SMTP-Latenz unter 200 ms bleibt – die teuren Lookups sind LRU-gecacht.
Der Ransomware-Intel-Service im Detail
Anders als kommerzielle Threat-Feeds, die monatlich 10.000 € kosten, bündelt der Ransomware-Intel-Microservice öffentlich verfügbare Quellen (Ransomware.live, ransomwhe.re, Public-Leak-Site-Mirroring) zu einer normalisierten, queryable API. Format: pro Aktor ein JSON mit „aliases", „active_since", „victims_last_30d", „leak_sites", „mitre_techniques". Die Schnittstelle dient parallel als CAPE-Sandbox-Enrichment und als Dashboard-Quelle in Wazuh.
Wie OpenCTI die Punkte verbindet
Ein Beispiel: ein Anhang triggert einen YARA-Match auf eine Cobalt-Strike-Beacon-Konfiguration. OpenCTI verknüpft den Hash mit dem dahinterliegenden Akteur (z. B. „BlackBasta"), zeigt die zuletzt benutzten C2-Domains und die typischen ATT&CK-Techniken. Der Incident-Response-Analyst hat damit innerhalb von Sekunden den vollen Kontext, ohne durch zwölf Open-Source-Quellen zu wühlen.
YARA-Rules als zentral verwaltete Asset-Klasse
YARA-Regeln verteilen sich in vielen Unternehmen lose auf Endpoints, Sandboxen und IDS – Versionierung gibt es selten. SecTepe.Comm bietet ein UI für CRUD inkl. Compile-Test, Aktivierungs-Toggle und Export der „enabled" Regelmenge. Sandbox und Mail-Gateway pollen die Regelmenge alle 60 Sekunden – eine neu hinzugefügte Detection ist also binnen einer Minute überall aktiv.
Self-hosted CTI: was es kostet, was es spart
Ein vollständiger CTI-Stack in der EU benötigt eine VM mit 32 GB RAM, 8 vCPU, 500 GB SSD – Hosting-Kosten ca. 100 € im Monat. Im Vergleich zu kommerziellen TI-Feeds (5–25 k € pro Jahr für Mid-Tier) zahlt sich die self-hosted Variante in unter sechs Monaten aus, und die Datenhoheit bleibt im eigenen Haus.
Fazit
Threat Intelligence muss in operativen Pipelines ankommen, sonst ist sie ein teures Reporting-Artefakt. Die Integration aus MISP, OpenCTI, YARA und Ransomware-Intel macht aus passiven Indikator-Listen eine aktive Verteidigungsschicht – nutzbar im Mail-Filter, in der Sandbox und im SIEM-Dashboard. Wer 2026 ernsthafte Inbound-Verteidigung will, kommt um diese Integrationsebene kaum herum.