Vectra-Whitepaper zur konsistenten Bedrohungsjagd

Umgebungen sollten einheitlich betrachtet werden, um Eindringlinge zu erkennen

[datensicherheit.de, 24.12.2019] Nach Angaben von Vectra hat das SANS Institute im Auftrag das Whitepaper mit dem Titel „Threat Hunting with Consistency“ veröffentlicht. Dieses stellt demnach einen alternativen Ansatz für die Bedrohungssuche vor: „Dieser Ansatz setzt voraus, die ,MITRE ATT&CK Matrix‘ als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen – wie Privilegieneskalation, Seitwärtsbewegung und Exfiltration – die Absicht von Bedrohungsakteuren zu identifizieren, bevor die Analysten diesen Aktivitäten im Detail nachgehen.“ Hierbei gelte es, die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren verknüpfen.

Unbekanntes: Sicherheitsteams haben nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang

Dadurch werde die Bedrohungssuche im Kontext der Frage ausgeführt, wie ein Angreifer ein bestimmtes Ziel in der jeweiligen Umgebung erreichen kann. Es gehe auch darum, dass ein Sicherheitsteam ein gemeinsames Vokabular findet, um die Bedrohungsjagd konsistent zu machen.
Leider hätten viele Sicherheitsteams nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang mit dem „Unbekannten“. Das Unbekannte beziehe sich auf Ereignisse, welche das Unternehmen noch nicht erlebt hat.
Sicherheitsteams nutzten sowohl die Erfahrung der Analysten als auch das institutionelle Wissen aus früheren Vorfällen. „Wenn ein Unternehmen sein institutionelles Wissen nicht pflegt und dafür sorgt, dass es abrufbar ist, müssen Analysten mit dem beginnen, was sie wissen: Dies ist die erste Hürde, an der die Bedrohungsverfolgung bereits scheitern kann.“

Vectra-Whitepaper soll neuen Ansatz aufzuzeigen mit der Bedrohungssuche umzugehen

Frühere Techniken der Bedrohungssuche hätten sich auf das konzentriert, was ein Analytiker in Bezug auf die Umgebung weiß oder vermutet. Gängige Ansätze für die Bedrohungssuche umfassten das Auffinden von bekannten bösartigen Prozessbeziehungen oder Parametern der Befehlszeilenausführung, die Suche nach Missbrauch oder unerklärlicher Aktivität von privilegierten Konten sowie das Auffinden von Feeds von Drittanbietern, die Indikatoren für die Aktivität von Bedrohungsakteuren lieferten.
Zur richtigen Zeit während eines Angriffs oder einer Malware-Infektion könnten nach Meinung von Vectra einige der genannten Techniken bei der Identifizierung bösartiger Aktivitäten äußerst nützlich sein. Es seien jedoch nur punktuelle Maßnahmen: „Wenn ein Bedrohungsakteur nicht gerade dabei ist, die beschriebenen Aktivitäten durchzuführen, oder wenn das Unternehmen nicht über eine langfristige Datenspeicherung verfügt, wird eine Bedrohung gar nicht oder zu spät erkannt.“
Ziel des Vectra-Whitepapers sei es eben, einen neuen Ansatz aufzuzeigen, wie Unternehmen mit der Bedrohungssuche umgehen. Anstatt über einzelne Teile nachzudenken oder betriebssystemspezifische Begriffe zu verwenden, sollten sie ihre „Umgebung als eine Einheit betrachten, die auf Bedrohungen auf unterschiedliche, aber zusammenhängende Weise reagiert“. Darüber hinaus sollten sie ihre Umgebung in der gleichen Weise betrachten, wie es die Bedrohungsakteure tun würden, um deren Techniken gezielt abzuwehren.

Autoren des Vectra-Whitepapers empfehlen, „ATT&CK Matrix“ von MITRE zu verwenden

Wenn die Herangehensweise neugestaltet wird, sollte auch das Fachvokabular neugestaltet werden. Hierbei empfehlen die Autoren des Whitepapers laut Vectra, die „ATT&CK Matrix“ von MITRE zu verwenden, um ihre Bedrohungsjagdaktivitäten in einen konsistenten Rahmen zu fassen. „Indem sich Sicherheitsanalysten auf die Frage konzentrieren, wie ein Bedrohungsakteur einen bestimmten Teil eines Angriffs ausführen könnte, müssen sie die wichtigsten Teile der Umgebung berücksichtigen und wie diese zusammenwirken.“
Wenn Analysten beispielsweise das Konzept der Exfiltration untersuchen, würden standardmäßig Netzwerk- und Host-basierte Hinweise kombiniert. Beide seien nützlich und sollten gemeinsam genutzt werden, um nach einer Technik und nicht nach einer Idee zu suchen. Wenn „ATT&CK“ als Leitvokabular verwendet wird, beginnen sich laut Vectra die internen Prozesse zu verändern. Das Team werde sich mit der Suche nach Anzeichen von Exfiltration oder Privilegieneskalation vertraut gemacht haben und könne bei Bedarf den Fokus einschränken.
Durch die Verwendung dieser neuen Sprache werde das Team auch „die Umgebung als das sehen, was sie ist“: Ein Konstrukt mit mehreren Teilen, die zusammen funktionierten, mit Aktionen und Reaktionen innerhalb dieser Umgebung. Erst wenn das eigene Unternehmen mit den Augen eines Bedrohungsakteurs betrachtet werde, ließen sich wirklich Hinweise auf bösartige Aktivitäten finden.

Weitere Informationen zum Thema:

VECTRA, Dezember 2019
WHITE PAPERS / SANS: Threat hunting with consistency

datensicherheit.de, 25.02.2019
Vectra: Cyberkriminelle setzen vermehrt auf Formjacking