Auf der Black Hat war eines klar: Jeder sichert, schützt oder verteidigt etwas... mit Hilfe von KI.
Und auf den ersten Blick sehen alle gleich aus.
Für Käufer, die versuchen, echte Probleme zu lösen, war es schwierig, herauszufinden, wem sie vertrauen und mit wem sie Zeit verbringen sollten.
Als jemand, der jeden Tag damit verbringt, das Verhalten von Angreifern zu erforschen und Erkennungslogiken zu entwickeln, möchte ich eine andere Perspektive anbieten. Es geht nicht darum, wer den besten Slogan oder die auffälligste Demo hat. Es geht darum, schärfere Fragen zu stellen, die sich darauf stützen, wie moderne Angriffe tatsächlich funktionieren.
Prävention ist immer noch wichtig. Aber Prävention allein funktioniert nicht.
Die meisten Mitteilungen der Anbieter konzentrieren sich immer noch darauf, Angreifer fernzuhalten, und das ist auch notwendig. Aber Bedrohungsakteure verlassen sich heute nicht mehr auf Exploits, um einzudringen.
In meiner Black-Hat-Sitzung, Achten Sie auf Ihre Angriffslückenhabe ich anhand von Beispielen gezeigt, wie sich Bedrohungsgruppen wie Scattered Spider, Volt Typhoon und Mango Sandstorm Zugang verschaffen und im Stillen ihre Kontrolle ausweiten. Diese Angreifer brauchen keine malware oder Zero-Days. Sie verlassen sich auf gültige Anmeldeinformationen, gestohlene Sitzungs-Tokens oder den Missbrauch von Föderationen, um sich in legitime Aktivitäten einzuschleichen.
Die erste Kompromittierung beginnt oft mit etwas, für das kein Sicherheitstool ausgebildet ist: Eine erfolgreiche Anmeldung.
Von dort aus erkunden sie die Umgebung mit nativen Tools, erweitern ihre Berechtigungen über vertrauenswürdige Identitätspfade, bleiben mit OAuth-Apps bestehen und exfiltrieren Daten unbemerkt. Keine Exploits. Keine Binärdateien. Nur Verhalten, das aussieht, als gehöre es dazu.
Herkömmliche Kontrollen lösen keine Warnungen aus, weil die Aktivität technisch gesehen den Regeln entspricht. Die Anmeldeinformationen stimmen überein. Die Zugriffspfade sind erlaubt. Die Protokolle, sofern sie nicht bereits gelöscht wurden, erzählen eine unvollständige Geschichte. Die meisten Schutzmechanismen wurden entwickelt, um fremde oder offensichtlich böswillige Aktivitäten zu erkennen, nicht aber gültige und missbräuchliche.
In jedem von uns untersuchten realen Fall waren Präventionsinstrumente vorhanden. Aber sie haben auf die falschen Signale geachtet.
Denn die Angriffe von heute fallen nicht auf. Sie passen sich an.
"Kompromissbereitschaft" sollte die Bewertung von Anbietern prägen.
Sie haben den Begriff "Kompromissbereitschaft" schon einmal gehört (und vielleicht unseren früheren Blog zu diesem Thema gelesen ). Es ist nicht nur eine neue Denkweise, sondern auch eine Möglichkeit, Anbieter zu filtern , wenn jeder auf einer Messe behauptet, Angriffe zu stoppen.
Sie brauchen nicht jedes einzelne Cybersicherheitsprodukt auf dem Markt zu verstehen. Sie müssen verstehen, wie sich Ihre Angreifer verhalten, und dann die Anbieter fragen, wie sie dieses Verhalten erkennen und darauf reagieren:
- Was erkennt Ihre Lösung nach dem ersten Zugriff?
- Wie kann man feststellen, ob die Bescheinigungen gültig sind?
- Was passiert, wenn das Sitzungs-Token eines Benutzers in einer SaaS-Anwendung gekapert wird?
- Kann Ihr Produkt Verhalten über cloud, Identitäts- und Netzwerkschichten hinweg erkennen, oder nur eine?
- Welche Erkennungs- und Reaktionsmöglichkeiten bieten Sie , wenn keine Protokolle vorhanden sind?
Wenn sich die Antwort nach noch mehr Alarmgeräuschen anhört oder die Lösung ausschließlich von Prävention und Protokollen abhängt, haben Sie Ihre Antwort. Sie sprechen nicht mit jemandem, der helfen kann, wenn die Kompromittierung bereits stattgefunden hat.
Was Sie nach einem Kompromiss brauchen (und wie Sie es erkennen)
Wenn es zu einer Kompromittierung kommt - und das wird der Fall sein -, ist das entscheidende Unterscheidungsmerkmal die Transparenz. Nicht die Einsicht in rohe Telemetriedaten, sondern die Einsicht in das Verhalten von Angreifern, die über verschiedene Umgebungen hinweg zusammengefügt werden. Suchen Sie nach Lösungen, die das können:
- Erkennen Sie Aktivitäten, ohne sich auf Agenten oder Protokolle zu verlassen
- Identifizierung von Verhaltensweisen wie Auskundschaften, Missbrauch von Zugangsdaten und Beharrlichkeit
- Korrelieren Sie , was in der Identität, im Netzwerk und in der cloud passiert
- Eine Triage anbieten, die den Lärm reduziert, statt ihn zu verstärken
- Anzeige des gesamten Angriffspfads, nicht nur einzelner Ereignisse
Das sind Fähigkeiten, die man nicht vortäuschen kann. Sie werden sie in einer Demo sehen. Sie werden spüren, wie das Produkt erklärt, was während eines Vorfalls passiert. Und Sie werden die Lücke zwischen einem System, das Telemetrie zeigt, und einer Plattform, die Absicht zeigt, erkennen.
Es geht nicht um das Ob. Sondern darum, was danach kommt.
Die meisten Anbieter verkaufen Ihnen immer noch die Hoffnung, dass Sie den Einbruch verhindern werden. Aber die Angreifer versuchen nicht mehr, einzubrechen. Sie loggen sich ein. Sie nutzen das Vertrauen aus. Sie sind bereits drinnen.
Jetzt kommt es nicht darauf an, ob Sie sie am Tor aufgehalten haben, sondern ob Sie sehen, was sie tun, sobald sie drin sind.
Das ist die Frage, die sich jeder Käufer stellen sollte.
Wenn Sie neugierig sind, wie moderne Kompromittierungen ablaufen und wie echte verhaltensbasierte Erkennung aufdeckt, was Präventions-Tools übersehen, haben wir eine selbstgesteuerte Erfahrung entwickelt , die Sie in wenigen Minuten erkunden können. Keine Formulare. Keine Anrufe. Nur ein klarer Blick darauf, wie effektive Kompromisserkennung tatsächlich aussieht.