Aufspüren und Jagen Leben vom Land Techniken mit Vectra AI

28. Februar 2024
Vectra AI Produkt-Team
Aufspüren und Jagen Leben vom Land Techniken mit Vectra AI

Am7. Februar 2024 wurde ein gemeinsamer Leitfaden veröffentlicht, der von der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA), der Nationalen Sicherheitsbehörde (NSA), dem Federal Bureau of Investigation (FBI) und anderen Behörden, darunter das Nationale Cybersicherheitszentrum des Vereinigten Königreichs (NCSC-UK), verfasst wurde. Der Leitfaden enthält Informationen über gängige "living off the land"-Techniken (LOTL), die den staatlich gesponserten cybercriminels zugeschrieben werden. Diese Techniken haben sich als besonders effektiv erwiesen, und ihre Empfehlungen sollten nicht unbemerkt bleiben. Die folgenden Informationen zeigen auf, wie die Plattform Vectra AI Ihnen dabei helfen kann, die Empfehlungen für bewährte Praktiken bei der Aufdeckung zu verwirklichen und als Schlüsselkomponente für Ihre LOTL-Verteidigungsstrategien zu dienen.

LOTL-Empfehlungen für bewährte Verfahren

Die Empfehlung für bewährte Verfahren (Nr. 1) unterstreicht die Bedeutung einer detaillierten Protokollierung an einem Out-of-Band-Speicherort. Dies trägt dazu bei, dass das Risiko, dass Angreifer Protokolle ändern oder löschen, gemindert wird. Außerdem können Verteidiger so Verhaltensanalysen, die Erkennung von Anomalien und eine proaktive Suche durchführen. Außerdem wird deutlich, wie wichtig es ist, längere Log-Historien zu führen, die für die Reaktion auf Vorfälle von Vorteil sein können.

Mit dem Schwerpunkt auf dem Netzwerk bietet Vectra Recall einen Einblick in den Netzwerkverkehr, indem es Metadaten aus allen Paketen extrahiert und diese Out-of-Band (in Vectra cloud) für die Suche und Analyse speichert. Jedes IP-fähige Gerät im Netzwerk wird identifiziert und nachverfolgt. Diese Daten können je nach Zeithorizont gespeichert werden. Die erfassten Metadaten umfassen den gesamten internen (Ost-West-) Verkehr, den internetgebundenen (Nord-Süd-) Verkehr und den Verkehr der virtuellen Infrastruktur. Diese Transparenz erstreckt sich auf Laptops, Server, Drucker, BYOD- und IoT-Geräte sowie alle Betriebssysteme und Anwendungen, einschließlich des Datenverkehrs zwischen virtuellen Workloads in Rechenzentren und der cloud, sogar SaaS-Anwendungen.

Durch die Bereitstellung dieser umfassenden Quelle für sicherheitsrelevante Netzwerk-Metadaten möchten wir Sicherheitsteams die Möglichkeit geben, LOTL-Untersuchungen durchzuführen, indem wir sicherstellen, dass Netzwerkprotokolldaten an einem Out-of-Band-Speicherort verfügbar sind.  

Empfehlungen für bewährte Verfahren zur Erkennung

In den Empfehlungen zu bewährten Verfahren (Nr. 3 und 4) wird die Notwendigkeit hervorgehoben, Grundlinien zu erstellen und kontinuierlich aufrechtzuerhalten und dann die aktuellen Aktivitäten mit den festgelegten Verhaltensgrundlinien zu vergleichen und bei bestimmten Anomalien Alarm zu schlagen. Besonderer Nachdruck wird auf die sorgfältige Überwachung privilegierter Konten gelegt.

Das von Vectra AI angebotene Erkennungsportfolio umfasst eine umfassende Reihe von Erkennungsfunktionen. Besonders hervorzuheben sind die Erkennungsfunktionen, die sich darauf konzentrieren, das Verhalten von privilegierten Konten klar zu definieren und Anomalien auf der Grundlage von etablierten Mustern aufzudecken. Beispiele für die Privilege Account Analytics von Vectra sind:

  • Ein privilegiertes Konto wird verwendet, um auf einen privilegierten Dienst zuzugreifen, aber von einem Host aus, auf dem das Konto nicht beobachtet wurde, wo aber der Host (mit anderen Konten) beim Zugriff auf den Dienst gesehen wurde.  
  • Ein Konto wird für den Zugriff auf einen Dienst von einem Host aus verwendet, auf dem sich das Konto normalerweise nicht befindet und von dem aus normalerweise nicht auf den Dienst zugegriffen wird, und zumindest der Dienst (und wahrscheinlich das Konto) hat eine hohe Berechtigungsstufe ODER die Berechtigungsstufe des Hosts ist im Vergleich zu den Berechtigungsstufen des Kontos und des Dienstes verdächtig niedrig.
  • Ein privilegiertes Konto wird verwendet, um auf einen privilegierten Dienst zuzugreifen, und zwar von einem Host aus, auf dem das Konto zwar beobachtet wurde, der aber nicht beim Zugriff auf den Dienst gesehen wurde.

AI-gesteuerte Priorisierung mit Vectra AI

Die dynamische Natur des modernen Unternehmens kann konsistente und effektive Netzwerksicherheitsgrundlagen, die die Erkennung von bösartigen LOTL-Aktivitäten unterstützen, sehr schwierig machen. Wie in dem Leitfaden hervorgehoben wird, ist die Unterscheidung zwischen böswilligen LOTL-Aktivitäten und rechtmäßigem Verhalten aufgrund der relativ geringen Menge an böswilligen Aktivitäten in großen Mengen von Protokolldaten eine Herausforderung. Zwar können sich Security Operations-Teams auf die Erkennung dieser Art von Ereignissen konzentrieren, doch fällt es ihnen oft schwer, legitimes Verhalten von bösartigem Verhalten zu unterscheiden, da die Anzahl der eingehenden Warnungen und die Komplexität der Umgebung sehr hoch ist.

Die Feinabstimmung des Warnrauschens über die Priorität (Dringlichkeit und Schweregrad) und die kontinuierliche Überprüfung von Erkennungen auf der Grundlage von Trendaktivitäten ist eine empfohlene Best Practice (Nr. 4). Für die meisten Teams ist dies sehr zeit- und arbeitsaufwändig. Mit der KI-gesteuerten Priorisierung von Vectra stellen wir dies programmatisch bereit:

  1. Zuweisung einzelner Angriffsverhaltensweisen an eine Entität (Hosts und/oder Konten)
  1. Durch die Kombination dieser Informationen mit zusätzlichen Bewertungsparametern wie Breite (wie viele Erkennungen mit einer Entität verbunden sind), Geschwindigkeit (wie schnell eindeutige Erkennungsereignisse auftreten) und Angriffsprofil (Muster des Angriffsverhaltens) ergibt sich ein Angriffsscore  
  1. Wenn konfiguriert, wird der Kundeninput (Wichtigkeit der Kontengruppe) mit dem Attack Score kombiniert
  1. Die Ausgabe ist eine einzelne Dringlichkeitsbewertung für die Entität  

Dieser verbesserte Bewertungsalgorithmus hebt die kritischsten Bedrohungen in einer umsetzbaren und nach Prioritäten geordneten Liste hervor, so dass sich die Teams auf das Wesentliche konzentrieren können.

Ermächtigen Sie Ihr Team

Die Erkennung von LOTL-Aktivitäten ist eine Herausforderung und erfordert, wie oben beschrieben, vielschichtige Sicherheitsstrategien. Es gibt keinen Einheitsansatz, und jedes Unternehmen muss die Empfehlungen bewerten und an seine bestehenden Erkennungsprogramme anpassen. Es ist jedoch wichtig sicherzustellen, dass dieser Leitfaden geprüft und, wenn möglich, dringend umgesetzt wird. Da diese Art von Angriffen zunimmt, wird die Korrelation und Analyse dieser Techniken ein wichtiger Bestandteil der Erkennungs- und Reaktionsfähigkeiten Ihres Teams sein.  

Sind Sie daran interessiert, mehr darüber zu erfahren, wie Vectra AI Ihr Team bei LOTL-Verteidigungsstrategien unterstützen kann ?  

Buchen Sie noch heute eine Plattform-Demo mit unseren Experten.

Häufig gestellte Fragen