SOC-Reifegrad: Reaktiv, Proaktiv und Threat Hunting

20. Juli 2020
Battista Cagnoni
Senior Berater, Beratungsdienste, EMEA
SOC-Reifegrad: Reaktiv, Proaktiv und Threat Hunting

Manchmal beziehen wir uns auf Konzepte, ohne das volle Ausmaß ihrer Bedeutung zu kennen. Sehen wir uns an, was reaktiv, proaktiv und threat hunting im Zusammenhang mit der Reife des Security Operation Center (SOC) bedeuten.

SOC-Betriebsmodelle

In den letzten Jahren hat der Begriff "Security Operations" (SOC) an Bedeutung gewonnen, da er die Funktion darstellt, die für die Erkennung von und die Reaktion auf Sicherheitsvorfälle im Einklang mit den Geschäftszielen des Unternehmens verantwortlich sein sollte. Bei der engen Zusammenarbeit mit Hunderten von Kunden habe ich jedoch festgestellt, dass SOC nicht für jeden die gleiche Bedeutung hat. Dies scheint davon abzuhängen, wie das Security Operation Center in einer Organisation ins Leben gerufen wurde.

In einigen Fällen geht es darum, einige wenige Personen um eine bestehende Technologie mit sehr einfachen Prozessen zu gruppieren. In diesen Fällen erfolgen die einzigen Verbesserungen im Laufe der Zeit an der Technologiefront. In anderen Fällen werden die Sicherheitsabläufe von einem Partner durchgeführt, als Service bereitgestellt und vom internen Sicherheitspersonal zur Nachverfolgung und Behebung von Vorfällen genutzt.

Es gibt auch eine Kombination dieser beiden Modelle in einem hybriden mehrstufigen Ansatz. Bei diesem hybriden Ansatz wird die erste Erkennung und Alarmtriagierung von einer externen Organisation durchgeführt, während die tiefergehende Untersuchung und Reaktion in der Verantwortung eines internen Teams liegt.

Welcher Ansatz der beste ist, liegt außerhalb des Rahmens dieses Artikels, und der optimale Ansatz für Sie sollte im Kontext Ihrer spezifischen Organisation betrachtet werden.

Es geht um Reife

Ein Aspekt, der für alle Unternehmen gilt, ist die Frage, wie sich die Sicherheitsprozesse im Laufe der Zeit entwickeln, wie diese Entwicklung von den Geschäftszielen bestimmt wird und wie sie verfolgt werden kann. Die Ausrichtung an den Geschäftszielen ist ein wichtiger Aspekt für jede unterstützende Funktion in einer Organisation. Dies gilt umso mehr für den Sicherheitsbetrieb, der an vorderster Front für die Reduzierung von Geschäftsrisiken steht.

Ein weiterer wichtiger Aspekt ist das richtige Gleichgewicht zwischen Menschen, Prozessen und Technologie. Technologie ist in der Regel der einfachste Teil, weil es einfach darum geht, Hardware, Software oder Dienstleistungen zu erwerben und deren Leistung zu nutzen.

Das Personal ist wahrscheinlich die schwierigste Herausforderung, die es zu bewältigen gilt. Der Mangel an sachkundigen, gut qualifizierten Cybersecurity-Fachleuten ist kein Geheimnis, und die sehr hohe Fluktuation der Analysten stellt ein tägliches Problem für das SOC-Management dar.

Prozesse sind der Klebstoff, der das Ganze zusammenhält. Sie können sich positiv auswirken, wenn sie vollständig auf das Unternehmen abgestimmt sind und für Flexibilität und Konsistenz sorgen. Die Prozesse müssen gute, genaue Messgrößen enthalten, um die Leistung des SOC im Vergleich zu den wichtigsten Leistungsindikatoren und Unternehmenszielen zu bewerten.

Ein ausgewogenes Verhältnis zwischen diesen drei Elementen führt zu einem guten Reifegrad und - was noch wichtiger ist - zu der Fähigkeit, schneller zu reifen.

Reagieren vs. Jagen

Die Prozesse sollten zum Teil einen proaktiven Untersuchungsansatz definieren und umsetzen, der über das Modell "Erkennen und Reagieren" hinausgeht, bei dem nur selten aus Vorfällen gelernt wird.

Der reaktive Ansatz neigt dazu, schnell nach einer Lösung zu suchen, ohne dabei zu tief in weitergehende Überlegungen einzusteigen. Proaktive Untersuchungen gehen weiter, indem sie mehr und mehr Fragen stellen, um versteckte Bedrohungsaspekte, Gemeinsamkeiten zwischen mehreren Vorfällen und sekundäre Auswirkungen zu entdecken, die nicht mit dem untersuchten Vorfall in Verbindung stehen.

Wenn dieser Ansatz systematisch wird und sich immer weniger auf bestimmte Vorfälle bezieht, nimmt er die Merkmale threat hunting an. Unter threat hunting werden die Umgebung und historische Daten nach Artefakten im Zusammenhang mit der Bedrohung durchsucht.

Threat hunting

Threat hunting sollte sich auf das Verhalten der Angreifer in Form von TTPs, Angriffsmethoden und -werkzeugen konzentrieren und nicht auf atomare Indikatoren. Dieser Ansatz wird sich sowohl auf die Abdeckung der Bedrohungen als auch auf die Dauerhaftigkeit der Erkennung positiv auswirken.

Damit will ich nicht sagen, dass Dateihashes, IP-Adressen oder Domänen nicht nützlich sind. Sie können eine gute Möglichkeit sein, das Ausmaß einer Sicherheitsverletzung zu ermitteln. Aber ein proaktiver Ansatz investiert mehr Zeit in threat hunting , um ein nachhaltigeres Ergebnis zu erzielen.

Threat hunting sollte auch in Verbindung mit der MITRE ATT&CK Matrix durchgeführt werden. Matt Bromiley vom SANS Institute erklärt hierzu: "Indem man die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren in Verbindung bringt, beginnt man, threat hunting nicht als eine singuläre Aktivität zu betrachten, sondern vielmehr im Kontext der Art und Weise, wie ein Angreifer dieses Ziel in Ihrer Umgebung erreichen kann."

Ein wissenschaftlicher Ansatz

Ein weiterer wesentlicher Unterschied zwischen threat hunting und der Erkennung von Bedrohungen liegt in den Prozessen, die sie steuern. Die Erkennung von Bedrohungen ist ein linearer Prozess, bei dem Warnungen generiert und bewertet werden und bei Relevanz die Reaktionsphase eingeleitet wird.

Auf der anderen Seite entspricht threat hunting eher der wissenschaftlichen Methodik, die mit der Formulierung einer Hypothese beginnt. Dann wird geforscht, die Ergebnisse werden ausgewertet, und wenn die Ergebnisse die Hypothese nicht bestätigen, wird weiter geforscht.

Reaktive, proaktive und Bedrohungsjagd-Methoden sind alle von Nutzen, aber auf unterschiedlichen Ebenen.

Ein erfolgreiches, ausgereiftes SOC, das auf die geschäftlichen Faktoren abgestimmt ist, hat wahrscheinlich die Übung durchlaufen, Menschen, Prozesse und Technologiekomponenten in Einklang zu bringen. Gleichzeitig ermöglicht es Ihnen, von einem reaktiven Modus zu einem echten threat hunting überzugehen, der auf dem Verhalten von Bedrohungen und Angriffsmethoden basiert und nicht auf Artefakten, die als mögliche Beweise verwendet werden.

Netzwerk-Erkennung und -Reaktion (NDR)

Häufig gestellte Fragen