Kritische Alarme kommen vor dem Kaffee
Es ist 6:45 Uhr. Ihr Wecker klingelt, und Sie wälzen sich aus dem Bett in ein Schlafzimmer, das in das tintenartige Grau der Morgendämmerung gehüllt ist. Das erste, was Sie tun, ist, die Benachrichtigungen auf Ihrem Telefon zu überprüfen. Mist. Es wurde ein P0-Alarm entdeckt, und Danny, der in der EMEA ansässige Analyst, der die Schicht vor Ihnen gearbeitet hat, hat sich bereits abgemeldet. Sie können es ihm nicht verübeln, seine Eltern sind zu Besuch. Also beeilen Sie sich mit Ihrer Morgenroutine und verzichten darauf, die Kaffeekanne auf den Herd zu stellen. Das wird schon klappen; das passiert oft, und die P0-Warnungen rütteln Sie immer genug auf, um Sie aus der morgendlichen Müdigkeit zu schütteln.
Die E-Mail-Benachrichtigung mit der P0-Warnung passt in die Ihnen zugewiesene geografische Region und den Ihnen zugewiesenen Zuständigkeitsbereich, EDR, also weisen Sie sie sich selbst zu. Da bei kritischen Alarmen die Zeit drängt, gehen Sie schnell zum nächsten Schritt über - der Untersuchung. Mithilfe der verfügbaren Tools auf der Plattform, von der die Erkennung ausging, sehen Sie sich die Protokolle an und versuchen, die drei wichtigsten Fragen bei jeder Untersuchung einer Sicherheitsbedrohung zu beantworten: 1) wer hat es getan, 2) was hat er getan und 3) warum wurde ich alarmiert.
Etwa 45 Minuten später, nachdem Sie mehrere Tools durchgeblättert und viele Zeilen von Protokollen durchforstet haben, können Sie bestätigen, dass es sich bei dieser Erkennung um einen echten Positivbefund handelte, der jedoch harmlos war. Es gab zwar verdächtige Aktivitäten, aber sie waren nicht bösartig. Sie entfernen die Erkennung aus der Warteschlange und notieren sich, dass Sie einen Bericht über diese Warnung schreiben werden.
Sie schauen auf die Uhr: Es ist 7:42 Uhr. Endlich Zeit für einen Kaffee, und gerade noch rechtzeitig für Ihr Stand-up-Meeting um 8 Uhr. Sie denken aktiv nicht an die 10 anderen Erkennungen in der Warteschlange.
Die Entdeckung, die "Wolf" rief, war tatsächlich ein Wolf
Eine Woche später geht es Ihnen gut. Sie haben sich trotz der überwältigenden Zahl der eingehenden Warnmeldungen einigermaßen eingelebt; Sie haben alle prioritären Warnmeldungen innerhalb Ihrer Schicht abgearbeitet und einige hübsche und saubere Regeln aufgestellt, um zu vermeiden, dass Sie Benachrichtigungen für diese harmlosen positiven Warnmeldungen erhalten, die immer wieder eingehen. Sogar Ihr Vorgesetzter hat Ihnen virtuell auf die Schulter geklopft, weil Sie das Muster dieser echten Positivmeldungen erkannt und eine dauerhafte Lösung eingeführt haben, um alle zu entlasten.
Selbst wenn Sie sich im Nachglühen eines erfolgreichen SOC-Sprints sonnen und endlich ein Mittagessen genießen, das nicht darin besteht, abwechselnd in ein Sandwich zu beißen und durch Protokolle zu blättern, um eine Erkennung zu untersuchen, fühlt sich etwas nicht richtig an. Vielleicht haben Sie einen P1-Alarm verpasst - nein, das wäre nicht der Fall, denn dann hätte Ihr Kollege Sie darauf aufmerksam gemacht. Vielleicht haben Sie die Kaffeekanne angelassen. Sie werfen einen Blick darauf - nein, der wurde schon vor Stunden ausgeschaltet.
Es ist ruhig. In der Warteschlange gibt es eine Reihe von Erkennungen, aber sie haben keine Priorität und können nach dem Mittagessen bearbeitet werden. Es gibt keine schrillen Alarme und keine roten Banner. Es ist ruhig. Sie entscheiden, dass die Stille Sie stört.
Eine Stunde später sind Sie mit den Erkennungen in der Warteschlange fertig. Fast alle von ihnen sind nicht bösartig. Es fühlt sich an wie ein Spaziergang im Park, und Sie sind sehr zufrieden, wenn Sie einen nach dem anderen abschließen. Sie drücken auf "Aktualisieren" in Ihrem Browser und sehen zu, wie die Benutzeroberfläche gepuffert und gerendert wird. Sie denken darüber nach, sich selbst mit einem frühen Ende des Tages zu belohnen. Vielleicht gehen Sie ins Fitnessstudio, für das Sie sich schon vor Monaten angemeldet haben, aber keine Zeit hatten, dorthin zu gehen.
Die Benutzeroberfläche wird aktualisiert, und Sie sehen eine Reihe von roten Bannern, die auf eine Vielzahl von Erkennungen mit hoher Priorität hinweisen. Ihr Magen fällt Ihnen in den Magen. Was um alles in der Welt ist passiert?
Ihr Team streitet sich im Team-Chat. Keiner versteht, was passiert ist und warum die Plattform plötzlich mit Meldungen von hoher Priorität überflutet wurde. Bei allen, auch bei Ihnen, macht sich ein Gefühl der Panik breit. Vielleicht eher bei Ihnen selbst, denn wenn Sie auf die einzelnen Erkennungen klicken, sehen Sie, dass viele der Protokolle Ihnen bekannt vorkommen. Die IDs, die Geräte, die Betriebssysteme - alles kommt Ihnen bekannt vor. Aber natürlich haben die Regeln, die Sie geschrieben haben, um sie auszublenden, nicht funktioniert, denn diese Regeln waren eindeutig, und die aktuellen, knallroten Erkennungen haben sie alle zusammengeführt.
Das Ganze mündete in einen großen, geschäftsschädigenden Sicherheitsangriff.
Was schief gelaufen ist
Nachdem Sie und Ihr Team tagelang stundenlang an der Reaktion und Behebung des Problems gearbeitet haben, konnten Sie den Angriff von weiteren Schäden abhalten. Nichts im Unternehmen wurde gefährdet, was für jeden ein Gewinn ist. Aber das war stressig und überwältigend, und - verdammt noch mal - was ist schief gelaufen?
Zunächst machen Sie sich Vorwürfe, weil Sie einen Nachweis möglicherweise als gutartigen Positivbefund eingestuft haben, aber Ihre Arbeit wurde von zwei anderen Mitarbeitern Ihres Teams überprüft und bestätigt. Als Sie zurückkamen, war es ein gutartiger Positivbefund, und er wurde entsprechend behandelt. Sie geben also der Plattform die Schuld. Irgendetwas in ihrem Algorithmus oder ihrer Berichterstattung hat es Ihnen nicht ermöglicht, Ihre Arbeit korrekt zu erledigen, aber Sie wissen, dass Sie sie nur als Sündenbock benutzen.
Während Sie die Ereignisse und Daten der letzten drei Tage durchgehen und einen Post-Mortem-Bericht verfassen, stellen Sie fest, dass die Erkennungen zu einem einheitlichen Angriff zusammenlaufen, und Sie erkennen, dass nicht Sie oder die Plattform für die Irreführung und Verwirrung verantwortlich waren, sondern die Erkennungen selbst.
Erkennungen gibt es in Hülle und Fülle, vor allem in Silos und von verschiedenen Angriffsflächen. In der Regel verbringt man die meiste Zeit mit einer Plattform, die Informationen aus diesen verschiedenen Angriffsflächen sammelt, aber es sind eine Menge Informationen, und man wechselt ohnehin zu diesen Tools über. Das Problem liegt in der Anzahl der Erkennungen - es waren einfach zu viele, und viele von ihnen hatten eine niedrige Priorität, so dass man ihnen nicht so viel Aufmerksamkeit schenkte wie nötig.
Aber woher hätten Sie das wissen sollen? Sie galten als unbedeutend, und Sie hatten andere Dinge zu tun. Was also kann dieses Dilemma lösen?
Das Gesamtbild
Die Angreifer sind intelligent und anpassungsfähig, d. h. sie springen von einem Ort zum anderen, nutzen Abdeckungslücken und ungesicherte Hintertüren und geben sich nur als einigermaßen gefährliche Erkennungen aus, bevor sie alle Informationen sammeln, die sie für einen umfassenden Angriff benötigen.
An dieser Stelle kann die Priorisierung nach Entitäten das Problem lösen. Eine Entität ist weder ein Alarm noch eine Erkennung. Es handelt sich um eine Ansammlung korrelierter Ereignisse, die unter eine einzige, nun ja, Entität fallen. In einigen Fällen umfasst sie Hosts, Konten und Erkennungen. Mit Entitäten können Analysten das Gesamtbild sehen - und Angreifer erwischen, die ein langfristiges Spiel spielen.
Als SOC-Analyst haben Sie alles falsch verstanden. Es liegt nicht an Ihnen. Es liegt an der Art und Weise, wie Sicherheitstechnologien Warnungen und Erkennungen betrachten. Sobald die Technologien eine Art der Priorisierung einführen, die Entitäten über Warnungen und Erkennungen stellt, werden Sie nicht nur weniger Warnungen überwachen und bearbeiten müssen, sondern auch mehr echte Positivmeldungen schneller und mit größerer Sicherheit erkennen.
Und, was am wichtigsten ist, Sie können morgens Ihre Tasse Kaffee trinken.