Start Empfohlen Bedrohungsjagd mit kleinem Budget – es ist nicht so schwer, wie Sie...

Bedrohungsjagd mit kleinem Budget – es ist nicht so schwer, wie Sie denken…

26
0


Die weltweiten Verluste durch Cyberkriminalität belaufen sich jetzt auf mehr als 1 Billion US-Dollar. aktuelle Zahlen anzeigen, was bedeutet, dass jedes Unternehmen jetzt ein effektives Programm zur Bedrohungssuche implementieren muss, um seine Datensicherheit und die langfristige Zukunft zu schützen. Ein Programm zur Bedrohungssuche von Grund auf aufzubauen, mag entmutigend erscheinen, muss es aber nicht. Wie so vieles im Leben ist der erste Schritt das Schwierigste.

Selbst bei einem knappen Budget können zahlreiche Tools – mit SIEM, Protokollen und Analysen – Sicherheitsexperten dabei helfen, ein robustes Programm zur Bedrohungssuche zu starten. Im Folgenden sind die drei wichtigsten Schritte aufgeführt:

  • Schritt eins: Datensichtbarkeit

Die Datentransparenz ist zusammen mit einigen erforderlichen Fähigkeiten die erste Voraussetzung für die Einrichtung eines Programms zur Bedrohungssuche. Datensichtbarkeit bedeutet in der Regel den Zugriff auf ein Sicherheitsprotokoll (oder eine Reihe von Protokollen), da Sie diese durchsuchen. Jede Protokollquelle einen bestimmten Satz von Ereignistypen oder Benutzerverhalten zur Prüfung durch die ‚Bedrohungsjäger‚.

Die Analyse erfordert einen zentralen Speicherort der Protokolle, die Sie in ein Sicherheitsinformations- und Ereignismanagement (SIEM) oder eine andere Art von Datenbank eingeben. Obwohl Sie die Ereignisprotokolle jedes Endpunkts einzeln manuell abfragen könnten, ist dies aus Sicht des Zeitmanagements einfach nicht praktikabel. Es ist auch besser, einen Datensee zu analysieren, anstatt nur ein paar kleine Teiche.

Schritt drei – Recherche – beinhaltet die Bestimmung der Arten von Ereignissen, die Sie durchsuchen müssen. Wenn der Bedrohungsjäger von jedem Endpunkt in der Umgebung aus Zugriff auf Protokolle hat, erstellen Sie zunächst eine Liste mit Ereignis-IDs, die auf bösartige Aktivitäten hinweisen können.

Immer einen Plan haben

Ein solider Plan vor dem Start spart auf lange Sicht Zeit und Ressourcen, da die Suche durch Millionen unnötiger Ereignisse verhindert wird. Das Sortieren und Filtern kann Jägern auch dabei helfen, verdächtige Ereignisse schnell zu erkennen. Aber denken Sie daran: Die Existenz einer bestimmten Ereignis-ID bedeutet nicht immer, dass auf einem Gerät eine Bedrohung lauert. Die Ermittlung der Grundursache kann zusätzliche Forensik und Abfrage der Daten erfordern.

Filtern Sie nach dem Erstellen einer Baseline des normalen Endbenutzerverhaltens alle Daten heraus, die dieser entsprechen. Dies trägt dazu bei, Ablenkungen und Datenmengen zu minimieren, sodass sich das Team auf die Anomalien konzentrieren kann, die eher auf das Vorhandensein einer tatsächlichen Bedrohung hinweisen.

Reife bringt Effizienz (und Ergebnisse)

Während die oben genannten Schritte dazu beitragen, ein solides Bedrohungsjagdprogramm auf den Weg zu bringen, sind sie in Wirklichkeit nur der Anfang des Prozesses. Je ausgereifter und personell besetzter ein Programm wird, desto besser werden letztendlich die Ergebnisse, das sollte also immer das Ziel sein.

Überlegen Sie sich mit zunehmender Reife des Programms, welche zusätzlichen Tools die beste Rendite erzielen könnten. Das Erfassen von Prozessausführungsereignissen, Netzwerkverbindungen, Dateiverschiebungen und Registrierungsaktivitäten kann beispielsweise alle dazu beitragen, die Bedrohungssuche zu optimieren. An anderer Stelle kann ein EDR-Tool (Endpoint Detection and Response) eine Fülle wertvoller Daten aufdecken. Dies müssen auch keine teuren Investitionen sein – es stehen zahlreiche kostenlose Dienstprogramme zur Verfügung – wie zum Beispiel Sysmon von Microsoft – die wirklich gut sind und die erforderliche Transparenz bieten.

Sobald die Teile des Datenpuzzles an Ort und Stelle sind, überlegen Sie, wie Erkennungssignaturen und Alarme dazu beitragen können, die Reaktionszeiten auf schwerwiegende Bedrohungen zu verkürzen. Diese ermöglichen den Aufbau von Ereignissen mit niedrigerem Schweregrad für Zwecke der Bedrohungssuche. Ereignisse mit niedrigerem Schweregrad können anfangs mehr Fehlalarme erzeugen, aber diese können auch im Laufe der Zeit auf eine bessere Genauigkeit abgestimmt werden.

Beim Aufbau dieser Erkennungen ist es auch sinnvoll, sie an einer etablierten Angriffsmatrix wie dem MITRE ATT&CK-Framework — ein öffentlich zugängliches, regelmäßig aktualisiertes Framework, das auf realen gegnerischen Taktiken und Techniken basiert. Es ist nicht notwendig, sofort Warnungen für jede Technik zu erstellen, aber je mehr Sie im Laufe der Zeit aufbauen, desto effektiver wird das Programm sein.

Es ist eine gute Idee, sich zunächst auf Bereiche zu konzentrieren, die ein Ereignis mit hohem Schweregrad auslösen könnten. Beispielsweise führen Erkennungen für Dinge wie den Mechanismus zur Überwachung von Missbrauch, die Ausnutzung von Remote-Diensten und das Maskieren zu Ereignissen, auf die leitende Analysten schnell reagieren können. Als nächstes hilft ihnen die Entwicklung von Signaturen für das Threat-Hunting-Team, wie z.

Denken Sie daran, die Vergangenheit kann genauso wichtig sein wie die Gegenwart

Bei der Jagd nach Angriffsaktivitäten kann das vergangene Benutzerverhalten genauso wichtig sein wie das gegenwärtige. Kostenlose Tools wie Sysmon sind zwar großartig, bieten jedoch nur eine Ansicht der aktuellen Benutzeraktivität. Sobald ein Team mit den Erkennungen von Endpunktprotokollen vertraut ist, ist es daher ratsam, die Engagements um proaktivere Techniken auszuweiten, mit denen vorhandene Daten von Unternehmensgeräten gesammelt werden, z. B. bestimmte Registrierungsschlüssel. Teams können sogar gezielte Scans mit kostenlosen Dienstprogrammen wie YARA für eine historische Ansicht durchführen. Dadurch erhalten Sie einen besseren Einblick in Angriffe, die bereits stattgefunden haben, aber möglicherweise unentdeckt geblieben sind. YARA ist ein Open-Source-Tool für mehrere Plattformen, das von Sicherheitsexperten auf der ganzen Welt verwendet wird, um Malware basierend auf bestimmten Merkmalen oder Regeln zu erkennen.

Die Idee eines dedizierten Threat-Hunting-Programms kann Organisationen, die noch kein Programm haben, sowohl kompliziert als auch einschüchternd erscheinen, aber das sollte es nicht sein. Mit nur einem bescheidenen Budget und dem richtigen Wissen kann es bemerkenswert einfach sein, ein effektives Programm zu starten. Einmal etabliert, wie bei so vielen Dingen im Leben, desto mehr Vorteile werden sie daraus ziehen, je mehr Organisationen darin investieren.

Bildnachweis: alexskopje/Depositphotos.com

Tim Bandos, CISSP, CISA, CEH ist CISO und VP Managed Security Services bei Digital Guardian und Experte für Incident Response und Threat Hunting. Er verfügt über mehr als 15 Jahre Erfahrung in der Welt der Cybersicherheit und verfügt über eine Fülle von praktischen Kenntnissen aus der Verfolgung und Jagd nach fortschrittlichen Bedrohungen, die auf den Diebstahl hochsensibler Daten abzielen. Den Großteil seiner Karriere verbrachte er in einem Fortune-100-Unternehmen, wo er eine Incident-Response-Organisation aufbaute und heute das globale Security Operation Center für Managed Detection & Response von Digital Guardian leitet.



Vorheriger ArtikelBritische Unternehmen werden alle 47 Sekunden angegriffen
Nächster ArtikelExtraHop stellt neue Funktionen zur Bedrohungserkennung vor

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein