Da sich die Bedrohungslandschaft weiterentwickelt, sieht das Team von Vectra , dass die Budgets für die Verdoppelung größerer Sicherheitsteams und den Ausbau der Perimeterverteidigung verwendet werden. Dies ist auf das Bestreben zurückzuführen, die Erkennung von Bedrohungen zu verbessern und die Triage zu beschleunigen.
Leider ist dies eine falsche Prämisse.
Praktiker haben dies erkannt, angefangen mit einer kürzlich veröffentlichten technischen Empfehlung von Gartner. In einem Blog weist Gartner darauf hin, dass "jahrelang die Idee der Erkennung von Netzwerkbedrohungen gleichbedeutend mit Intrusion Detection and Prevention Systems (IDPS) war".
"Heutige NTA-Systeme haben eine gewisse 'DNA' von diesen frühen, auf Anomalien basierenden IDS-Systemen, aber sie unterscheiden sich wesentlich in ihrer Zielsetzung und konzentrieren sich viel weniger auf die Erkennung erster Eindringlinge", heißt es in dem Bericht.
"Die Unterschiede in den Absichten und bevorzugten Ansätzen haben die Praxis der Nutzung von Netzdaten für die Sicherheit auf andere moderne Instrumente wie die NTA ausgeweitet."
Dafür gibt es mehrere Gründe, aber die Fähigkeit, den "Ost-West"-Verkehr zu erkennen, ist von grundlegender Bedeutung. Ein Unternehmen ist am verwundbarsten, wenn es zu seitlichen Bewegungen kommt - Schwachstellen wurden ausgenutzt, Grenzen wurden umgangen.
Angreifer rasen schnell und breiten sich seitlich zu anderen strategischen Punkten im Netzwerk aus, sammeln Informationen und exfiltrieren oder zerstören schließlich Daten. Dies ist auch relevant, wenn dieselben Organisationen mit Insider-Bedrohungen konfrontiert werden.
Natürlich ist dieser Ansatz philosophisch vernünftig. Aber er wirft zwei praktische Fragen auf: Nach welchen Verhaltensweisen sollte ich überhaupt suchen und wie kann ich diese Verhaltensweisen effizient und genau ermitteln?
Bei Vectra beobachten und identifizieren wir das Verhalten von Angreifern in den Netzwerken unserer Kunden, wenn sie sich für die Weitergabe von Metadaten an uns entscheiden. In unserem jüngsten Bericht über das Verhalten von Angreifern, der letzten Monat auf der RSA-Konferenz 2019 veröffentlicht wurde, war dies ein immer häufigeres Verhalten.
Wenn Sie darüber nachdenken, wie Sie Ihre Sicherheitsteams für die Erkennung von Seitwärtsbewegungen ausstatten, empfehlen wir Ihnen, die Effizienz Ihrer Prozesse und Tools zur Erkennung und schnellen Reaktion auf die folgenden, von uns häufig beobachteten Seitwärtsbewegungen zu bewerten:
1. Automatisierte Replikation
Eininternes Host-Gerät sendet ähnliche Payloads an mehrere interne Ziele. Dies könnte das Ergebnis eines infizierten Hosts sein, der einen oder mehrere Exploits an andere Hosts sendet, um weitere Hosts zu infizieren.
2. Bewegung mit roher Gewalt
Ein interner Host unternimmt übermäßige Anmeldeversuche bei einem internen System. Dieses Verhalten tritt über verschiedene Protokolle auf (z. B. RDP, VNC, SSH) und könnte auf Memory-Scraping-Aktivitäten hinweisen.
3. Böswillige Kerberos-Kontoaktivitäten
EinKerberos-Konto wird mit einer Rate genutzt, die weit über dem erlernten Basiswert liegt, und die meisten Anmeldeversuche schlagen fehl.
4. Verdächtige Verhaltensweisen von Administratoren
DasHost-Gerät verwendet Protokolle, die mit administrativen Aktivitäten korrelieren (z. B. RDP, SSH), in einer Weise, die als verdächtig gilt.
5. Brute-Force-Bewegung über SMB
Eininterner Host nutzt das SMB-Protokoll, um viele Anmeldeversuche mit denselben Konten zu unternehmen. Dieses Verhalten steht im Einklang mit Brute-Force-Angriffen auf Passwörter.
Der Schweregrad und die Häufigkeit variieren natürlich je nach Branche und Geschäftszweig. Um mehr über die in Ihrer Branche am häufigsten auftretenden Verhaltensweisen zu erfahren, empfehlen wir Ihnen, unseren Branchenbericht zum Angreiferverhalten zu lesen.
Ich würde auch vorschlagen, dass Sie sich an einen Vertreter von Vectra wenden, um ein Beratungsgespräch über das gesamte Spektrum der Verhaltensweisen von Angreifern zu führen, die wir in unserer KI-gesteuerten Netzwerkerkennungs- und Reaktionsplattform Cognito kodiert haben.
*Gartner Blog Network, "Applying Network-Centric Approaches for Threat Detection and Response " von Anton Chuvakin, 19. März 2019