Aktuelles, Branche, Studien - geschrieben von dp am Dienstag, Dezember 24, 2019 10:10 - noch keine Kommentare
Vectra-Whitepaper zur konsistenten Bedrohungsjagd
Umgebungen sollten einheitlich betrachtet werden, um Eindringlinge zu erkennen
[datensicherheit.de, 24.12.2019] Nach Angaben von Vectra hat das SANS Institute im Auftrag das Whitepaper mit dem Titel „Threat Hunting with Consistency“ veröffentlicht. Dieses stellt demnach einen alternativen Ansatz für die Bedrohungssuche vor: „Dieser Ansatz setzt voraus, die ,MITRE ATT&CK Matrix‘ als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen – wie Privilegieneskalation, Seitwärtsbewegung und Exfiltration – die Absicht von Bedrohungsakteuren zu identifizieren, bevor die Analysten diesen Aktivitäten im Detail nachgehen.“ Hierbei gelte es, die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren verknüpfen.
Unbekanntes: Sicherheitsteams haben nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang
Dadurch werde die Bedrohungssuche im Kontext der Frage ausgeführt, wie ein Angreifer ein bestimmtes Ziel in der jeweiligen Umgebung erreichen kann. Es gehe auch darum, dass ein Sicherheitsteam ein gemeinsames Vokabular findet, um die Bedrohungsjagd konsistent zu machen.
Leider hätten viele Sicherheitsteams nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang mit dem „Unbekannten“. Das Unbekannte beziehe sich auf Ereignisse, welche das Unternehmen noch nicht erlebt hat.
Sicherheitsteams nutzten sowohl die Erfahrung der Analysten als auch das institutionelle Wissen aus früheren Vorfällen. „Wenn ein Unternehmen sein institutionelles Wissen nicht pflegt und dafür sorgt, dass es abrufbar ist, müssen Analysten mit dem beginnen, was sie wissen: Dies ist die erste Hürde, an der die Bedrohungsverfolgung bereits scheitern kann.“
Vectra-Whitepaper soll neuen Ansatz aufzuzeigen mit der Bedrohungssuche umzugehen
Frühere Techniken der Bedrohungssuche hätten sich auf das konzentriert, was ein Analytiker in Bezug auf die Umgebung weiß oder vermutet. Gängige Ansätze für die Bedrohungssuche umfassten das Auffinden von bekannten bösartigen Prozessbeziehungen oder Parametern der Befehlszeilenausführung, die Suche nach Missbrauch oder unerklärlicher Aktivität von privilegierten Konten sowie das Auffinden von Feeds von Drittanbietern, die Indikatoren für die Aktivität von Bedrohungsakteuren lieferten.
Zur richtigen Zeit während eines Angriffs oder einer Malware-Infektion könnten nach Meinung von Vectra einige der genannten Techniken bei der Identifizierung bösartiger Aktivitäten äußerst nützlich sein. Es seien jedoch nur punktuelle Maßnahmen: „Wenn ein Bedrohungsakteur nicht gerade dabei ist, die beschriebenen Aktivitäten durchzuführen, oder wenn das Unternehmen nicht über eine langfristige Datenspeicherung verfügt, wird eine Bedrohung gar nicht oder zu spät erkannt.“
Ziel des Vectra-Whitepapers sei es eben, einen neuen Ansatz aufzuzeigen, wie Unternehmen mit der Bedrohungssuche umgehen. Anstatt über einzelne Teile nachzudenken oder betriebssystemspezifische Begriffe zu verwenden, sollten sie ihre „Umgebung als eine Einheit betrachten, die auf Bedrohungen auf unterschiedliche, aber zusammenhängende Weise reagiert“. Darüber hinaus sollten sie ihre Umgebung in der gleichen Weise betrachten, wie es die Bedrohungsakteure tun würden, um deren Techniken gezielt abzuwehren.
Autoren des Vectra-Whitepapers empfehlen, „ATT&CK Matrix“ von MITRE zu verwenden
Wenn die Herangehensweise neugestaltet wird, sollte auch das Fachvokabular neugestaltet werden. Hierbei empfehlen die Autoren des Whitepapers laut Vectra, die „ATT&CK Matrix“ von MITRE zu verwenden, um ihre Bedrohungsjagdaktivitäten in einen konsistenten Rahmen zu fassen. „Indem sich Sicherheitsanalysten auf die Frage konzentrieren, wie ein Bedrohungsakteur einen bestimmten Teil eines Angriffs ausführen könnte, müssen sie die wichtigsten Teile der Umgebung berücksichtigen und wie diese zusammenwirken.“
Wenn Analysten beispielsweise das Konzept der Exfiltration untersuchen, würden standardmäßig Netzwerk- und Host-basierte Hinweise kombiniert. Beide seien nützlich und sollten gemeinsam genutzt werden, um nach einer Technik und nicht nach einer Idee zu suchen. Wenn „ATT&CK“ als Leitvokabular verwendet wird, beginnen sich laut Vectra die internen Prozesse zu verändern. Das Team werde sich mit der Suche nach Anzeichen von Exfiltration oder Privilegieneskalation vertraut gemacht haben und könne bei Bedarf den Fokus einschränken.
Durch die Verwendung dieser neuen Sprache werde das Team auch „die Umgebung als das sehen, was sie ist“: Ein Konstrukt mit mehreren Teilen, die zusammen funktionierten, mit Aktionen und Reaktionen innerhalb dieser Umgebung. Erst wenn das eigene Unternehmen mit den Augen eines Bedrohungsakteurs betrachtet werde, ließen sich wirklich Hinweise auf bösartige Aktivitäten finden.
Weitere Informationen zum Thema:
VECTRA, Dezember 2019
WHITE PAPERS / SANS: Threat hunting with consistency
datensicherheit.de, 25.02.2019
Vectra: Cyberkriminelle setzen vermehrt auf Formjacking
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren