Whitepaper zu konsistenter Bedrohungsjagd – Umgebungen einheitlich betrachten um Eindringlinge zu erkennen

Das SANS Institute hat im Auftrag von Vectra ein Whitepaper mit dem Titel »Threat Hunting with Consistency« veröffentlicht. Das Whitepaper stellt einen alternativen Ansatz für die Bedrohungssuche vor. Dieser Ansatz setzt voraus, die MITRE ATT&CK Matrix als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen – wie Privilegieneskalation, Seitwärtsbewegung und Exfiltration – die Absicht von Bedrohungsakteuren zu identifizieren, bevor die Analysten diesen Aktivitäten im Detail nachgehen. Hierbei gilt es, die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren verknüpfen.

 

Dadurch wird die Bedrohungssuche im Kontext der Frage ausgeführt, wie ein Angreifer ein bestimmtes Ziel in der jeweiligen Umgebung erreichen kann. Es geht auch darum, dass ein Sicherheitsteam ein gemeinsames Vokabular findet, um die Bedrohungsjagd konsistent zu machen.

Anzeige

 

Leider haben viele Sicherheitsteams nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang mit dem »Unbekannten«. Das Unbekannte bezieht sich auf Ereignisse, die das Unternehmen noch nicht erlebt hat. Sicherheitsteams nutzen sowohl die Erfahrung der Analysten als auch das institutionelle Wissen aus früheren Vorfällen. Wenn ein Unternehmen sein institutionelles Wissen nicht pflegt und dafür sorgt, dass es abrufbar ist, müssen Analysten mit dem beginnen, was sie wissen: Dies ist die erste Hürde, an der die Bedrohungsverfolgung bereits scheitern kann. Frühere Techniken der Bedrohungssuche haben sich auf das konzentriert, was ein Analytiker in Bezug auf die Umgebung weiß oder vermutet. Gängige Ansätze für die Bedrohungssuche umfassten das Auffinden von bekannt bösartigen Prozessbeziehungen oder Parametern der Befehlszeilenausführung, die Suche nach Missbrauch oder unerklärlicher Aktivität von privilegierten Konten sowie das Auffinden von Feeds von Drittanbietern, die Indikatoren für die Aktivität von Bedrohungsakteuren liefern.

 

Zur richtigen Zeit während eines Angriffs oder einer Malware-Infektion können einige der genannten Techniken bei der Identifizierung bösartiger Aktivitäten äußerst nützlich sein. Es sind jedoch nur punktuelle Maßnahmen: Wenn ein Bedrohungsakteur nicht gerade dabei ist, die beschriebenen Aktivitäten durchzuführen, oder wenn das Unternehmen nicht über eine langfristige Datenspeicherung verfügt, wird eine Bedrohung gar nicht oder zu spät erkannt.

Anzeige

 

Ziel dieses Whitepapers von Vectra ist es, einen neuen Ansatz aufzuzeigen, wie Unternehmen mit der Bedrohungssuche umgehen. Anstatt über einzelne Teile nachzudenken oder betriebssystemspezifische Begriffe zu verwenden, sollten sie ihre Umgebung als eine Einheit betrachten, die auf Bedrohungen auf unterschiedliche, aber zusammenhängende Weise reagiert. Darüber hinaus sollten sie ihre Umgebung in der gleichen Weise betrachten, wie es die Bedrohungsakteure tun würden, um deren Techniken gezielt abzuwehren.

 

Wenn die Herangehensweise neugestaltet wird, sollte auch das Fachvokabular neugestaltet werden. Hierbei empfehlen die Autoren des Whitepapers, die ATT&CK Matrix von MITRE zu verwenden, um ihre Bedrohungsjagdaktivitäten in einen konsistenten Rahmen zu fassen. Indem sich Sicherheitsanalysten auf die Frage konzentrieren, wie ein Bedrohungsakteur einen bestimmten Teil eines Angriffs ausführen könnte, müssen sie die wichtigsten Teile der Umgebung berücksichtigen und wie diese zusammenwirken.

 

Wenn Analysten beispielsweise das Konzept der Exfiltration untersuchen, werden standardmäßig Netzwerk- und Host-basierte Hinweise kombiniert. Beide sind nützlich und sollten gemeinsam genutzt werden, um nach einer Technik und nicht nach einer Idee zu suchen. Wenn ATT&CK als Leitvokabular verwendet wird, beginnen sich die internen Prozesse zu verändern. Das Team wird sich mit der Suche nach Anzeichen von Exfiltration oder Privilegieneskalation vertraut gemacht haben und kann bei Bedarf den Fokus einschränken. Durch die Verwendung dieser neuen Sprache wird das Team auch die Umgebung als das sehen, was sie ist: ein Konstrukt mit mehreren Teilen, die zusammen funktionieren, mit Aktionen und Reaktionen innerhalb dieser Umgebung. Erst wenn das eigene Unternehmen mit den Augen eines Bedrohungsakteurs betrachtet wird, lassen sich wirklich Hinweise auf bösartige Aktivitäten finden.

 

Das Whitepaper »Threat Hunting with Consistency« ist nach Registrierung zum Download verfügbar unter: https://www.vectra.ai/download/sans-threat-hunting-with-consistency

 

891 Artikel zu „Bedrohung Suche“

E-Mail-basierte Bedrohungen treffen Organisationen dort, wo es sehr schmerzt – beim Geld

Trotz einer Vielzahl an neuen Kommunikationstechnologien steht die altbewährte E-Mail sowohl bei Unternehmen als auch Privatpersonen immer noch hoch im Kurs. Sei es für einfache Nachrichten, Newsletter oder internen Unternehmensdaten. Schätzungen zufolge wurden im Jahr 2019 täglich rund 293,6 Milliarden E-Mails versendet. Ein Großteil davon ist allerdings Spam. Die Varianten sind zahlreich – vom nigerianischen…

Cyberbedrohungen 2020: Fortgeschrittene KI und intelligente Bedrohungs-Desinformation

Unternehmen die sich proaktiv vor Angriffen schützen wollen, sollten bei ihrer Security-Strategie auf Integration, fortgeschrittene KI und anwendbare Threat Intelligence setzen.   Fortinet hat die Prognosen von FortiGuard Labs zur Bedrohungslandschaft für 2020 veröffentlicht. Die Analysten von Fortinet zeigen darin Methoden, die Cyberkriminelle in der nahen Zukunft voraussichtlich einsetzen werden. Zudem verraten sie wichtige Strategien,…

Diese Cyberbedrohungen kommen in Zukunft auf uns zu

5G, Künstliche Intelligenz, Quantencomputing: So werden Hacker neue Technologien für ihre Ziele missbrauchen.   Deutsche Unternehmen stehen unter digitalem Dauerbeschuss. Egal, ob Großkonzern oder Mittelständler: Qualität und Umfang der Cyberattacken haben in der Vergangenheit ständig zugenommen. Das wird sich auch in Zukunft nicht ändern. Ganz im Gegenteil: Die Hacker werden neue Technologien geschickt zu nutzen…

Kampf gegen Cyberbedrohungen: Darum sind KI, Robotik und menschliches Vorstellungsvermögen unsere Rettung

Cyberangriffe werden immer raffinierter, doch auch der Kampf gegen derartige Bedrohungen aus dem Cyber Space nimmt neue Formen an. Warum Künstliche Intelligenz, Robotik und menschliches Vorstellungsvermögen unsere Rettung sind, dazu hat sich Euan Davis, Leiter des Cognizant Center for the Future of Work in Europa, anlässlich des European Cyber Security Month Gedanken gemacht:   Oktober…

Drei Tipps zum Schutz vor Insider-Bedrohungen

  Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten Jahren konstant geblieben: die stetig wachsende Zahl von Insider-Bedrohungen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten prozentualen Anteil an Vorfällen im Zusammenhang mit der Cybersicherheit ausgemacht haben [1]. Während…

Das Erkennen von IT-Sicherheitsbedrohungen ist Aufgabe des Managements

Die Zunahme und Komplexität an Angriffen erfordern mehr Fachkräfte für IT-Sicherheit. Die IT-Sicherheit in Unternehmen muss Aufgabe des Managements und der Führungsetage werden. Das fordern die IT-Sicherheitsexperten der PSW GROUP: »In Deutschland mangelt es an Fachkräften, während die Angriffe auf sowie die Bedrohungen für die IT-Sicherheit weiter steigen. Die Chef-Etage muss deshalb mit anpacken, denn…

Cybersicherheit: größere Zuversicht trotz gleichbleibend hohem Bedrohungsniveau

98 Prozent der befragten deutschen Unternehmen berichten von Sicherheitsverletzungen, Hauptursache sind Phishing-Angriffe.   Carbon Black, Anbieter von Cloud-nativen Lösungen für den Schutz von Endpoints, gibt die Ergebnisse seines zweiten Threat Reports für Deutschland bekannt. Für den Carbon Black Threat Report wurden weltweit gut 2000 CIOs, CTOs und CISOs befragt, davon 256 aus ganz Deutschland. Die…

Laterales Phishing: Die wachsende Bedrohung

Missbrauch entführter Konten für umfangreiche Phishing-Angriffe.   Der Missbrauch gehackter E-Mail-Konten durch Cyberkriminelle ist nach wie vor eine der größten Bedrohungen für die E-Mail-Sicherheit. Dabei entwickeln Angreifer ihre Taktiken kontinuierlich weiter: In Zusammenarbeit mit Forschern der UC Berkeley und der UC San Diego entdeckten Sicherheitsforscher von Barracuda eine neue und wachsende Art des Kontoübernahme-Angriffs: das…

Cyberbedrohungen im Gesundheitswesen unter der Lupe

Angesichts der vielfältigen Bedrohungsszenarien in Klinikumgebungen ist ein neuer Sicherheitsansatz erforderlich. Die Technologie im Gesundheitswesen ist aktuell gekennzeichnet durch Vernetzung smarter medizinischer Geräte und Digitalisierung von Patientenakten. Der schnelle Ausbau der digitalen Datenumgebung führt gleichzeitig dazu, dass eine enorme Menge an sensiblen Gesundheitsdaten produziert, bewegt und gespeichert wird. Durch die voranschreitende Vernetzung und Digitalisierung wächst…

Stadionbesucher: Zuschauermagnet Bundesliga

Auch wenn in Folge des schwachen Abschneidens deutscher Teams im Europapokal (mit Ausnahme von Eintracht Frankfurt) aktuell vermehrt über die Qualität der Bundesliga diskutiert wird, bleibt die hiesige Fußballliga in Sachen Zuschauerzahl absolute Spitze. Laut einer aktuellen Veröffentlichung des CIES Football Observatory strömten in den Jahren 2013 bis 2018 pro Spiel durchschnittlich 43.302 Zuschauer in…

Digitale Krankheitserreger & Prävention – Impfen Sie sich gegen Cyberbedrohungen

Die digitale Transformation erfasst das Gesundheitswesen und ermöglicht neue Geschäftsmodelle, bessere Prävention vor Krankheiten, schnellere Anamnese sowie effizientere Betreuung von Patienten. Durch den zunehmenden Technologieeinsatz steigt allerdings auch das Risiko Opfer von Datendieben und Saboteuren zu werden. Professionelle Vorsorge und bewusster Umgang mit kritischen Daten und IT-Systemen schützt Sie vor diesen Risiken.   Wir befinden…

Wie die Analyse des Netzwerk-Traffics bei der Bekämpfung fortschrittlicher Bedrohungen hilft

Moderne Hackerangriffe werden immer komplexer und überfordern damit herkömmliche Lösungen für Endpoint- und Netzwerksicherheit. Zwar ist Ransomware die Wahl für Cyberkriminelle die schnellen Bitcoins hinterherjagen, Sicherheitsverantwortliche fürchten heute jedoch viel mehr Advanced Persistent Threats (APTs). Denn diese bleiben im schlimmsten Fall jahrelang unentdeckt und ermöglichen Cyberkriminellen über lange Zeit hinweg umfangreiche Datenmengen zu stehlen und…

Elf Bausteine zur wirksamen Bekämpfung von Insiderbedrohungen

Organisationen behandeln Insiderbedrohungen häufig als Tabuthema. Nur zögerlich werden Mitarbeiter, die zu einer Bedrohung für das Unternehmen geworden sind, als solche wahrgenommen. Auch Meldungen und Maßnahmen gegen diese Personen erfolgen zögerlich. Es scheint beinahe so, als ob Insiderbedrohungen ein blinder Fleck innerhalb von Prozessen im Management seien.   Der Verizon Insider Threat Report zielt darauf,…

Cyberkriminalitäts-Analyse fokussiert sich auf Bedrohungen durch Insider

  Die Data Breach Investigations Report (DBIR)-Serie von Verizon gibt Einblicke in die Welt der Cyberkriminalität. Jetzt wurde die Analyse von Daten und Vorfällen neu ausgerichtet und fokussiert sich auf die Rolle von Insidern. Daraus entstanden ist der Verizon Insider Threat Report [1]. 20 Prozent der im Rahmen des Verizon 2018 DBIR erfassten Cybersicherheitsvorfälle und…

Unternehmen sollten auf veränderte Bedrohungslandschaft reagieren

Deutlicher Anstieg von Phishing, Kryptowährungs-Mining und Business E-Mail Compromise im Jahr 2018.   Bei den Cyberbedrohungen zeigt sich ein deutlicher Anstieg bei den Erkennungen von Kryptowährungs-Mining-Malware, Phishing-Versuchen und Angriffen mittels Business E-Mail Compromise. Ransomware-Angriffe nahmen hingegen drastisch ab. Das sind die Ergebnisse der Auswertung von Bedrohungsdaten von Trend Micro aus dem Jahr 2018 [1].  …

Insider-Bedrohungen – Echte Detektivarbeit für die IT

Eine der häufigsten Bedrohungen für die Unternehmenssicherheit sind Gefahren, die auf interne Mitarbeiter und lokale Dienstleister mit erhöhten Benutzerrechten zurückgehen. Aktuellen Studien zufolge vertrauen Unternehmen ihren Vertragspartnern zu sehr und unterschätzen, welche Gefahren von innen kommen. Wie lösen Unternehmen diesen kniffligen Fall?