Manchmal beziehen wir uns auf Konzepte, ohne zu wissen, was sie genau bedeuten. Sehen wir uns an, was reaktiv, proaktiv und Bedrohungsjagd im Zusammenhang mit der Reife des Security Operation Center (SOC) bedeuten.
SOC-Betriebsmodelle
In den letzten Jahren hat der Begriff "Security Operations" (SOC) an Bedeutung gewonnen, da er die Funktion darstellt, die für die Erkennung von und die Reaktion auf Sicherheitsvorfälle im Einklang mit den Geschäftszielen des Unternehmens verantwortlich sein sollte. Bei der engen Zusammenarbeit mit Hunderten von Kunden habe ich jedoch festgestellt, dass SOC nicht für jeden die gleiche Bedeutung hat. Dies scheint davon abzuhängen, wie das Security Operation Center in einer Organisation ins Leben gerufen wurde.
In einigen Fällen geht es darum, einige wenige Personen um eine bestehende Technologie mit sehr einfachen Prozessen zu gruppieren. In diesen Fällen erfolgen die einzigen Verbesserungen im Laufe der Zeit an der Technologiefront. In anderen Fällen werden die Sicherheitsabläufe von einem Partner durchgeführt, als Service bereitgestellt und vom internen Sicherheitspersonal zur Nachverfolgung und Behebung von Vorfällen genutzt.
Es gibt auch eine Kombination dieser beiden Modelle in einem hybriden mehrstufigen Ansatz. Bei diesem hybriden Ansatz wird die erste Erkennung und Alarmtriagierung von einer externen Organisation durchgeführt, während die tiefergehende Untersuchung und Reaktion in der Verantwortung eines internen Teams liegt.
Welcher Ansatz der beste ist, liegt außerhalb des Rahmens dieses Artikels, und der optimale Ansatz für Sie sollte im Kontext Ihrer spezifischen Organisation betrachtet werden.
Es geht um Reife
Ein Aspekt, der für alle Unternehmen gilt, ist die Frage, wie sich die Sicherheitsprozesse im Laufe der Zeit entwickeln, wie diese Entwicklung von den Geschäftszielen bestimmt wird und wie sie verfolgt werden kann. Die Ausrichtung an den Geschäftszielen ist ein wichtiger Aspekt für jede unterstützende Funktion in einer Organisation. Dies gilt umso mehr für den Sicherheitsbetrieb, der an vorderster Front für die Reduzierung von Geschäftsrisiken steht.
Ein weiterer wichtiger Aspekt ist das richtige Gleichgewicht zwischen Menschen, Prozessen und Technologie. Technologie ist in der Regel der einfachste Teil, weil es einfach darum geht, Hardware, Software oder Dienstleistungen zu erwerben und deren Leistung zu nutzen.
Das Personal ist wahrscheinlich die schwierigste Herausforderung, die es zu bewältigen gilt. Der Mangel an sachkundigen, gut qualifizierten Cybersecurity-Fachleuten ist kein Geheimnis, und die sehr hohe Fluktuation der Analysten stellt ein tägliches Problem für das SOC-Management dar.
Prozesse sind der Klebstoff, der das Ganze zusammenhält. Sie können sich positiv auswirken, wenn sie vollständig auf das Unternehmen abgestimmt sind und für Flexibilität und Konsistenz sorgen. Die Prozesse müssen gute, genaue Messgrößen enthalten, um die Leistung des SOC im Vergleich zu den wichtigsten Leistungsindikatoren und Unternehmenszielen zu bewerten.
Ein ausgewogenes Verhältnis zwischen diesen drei Elementen führt zu einem guten Reifegrad und - was noch wichtiger ist - zu der Fähigkeit, schneller zu reifen.
Reagieren vs. Jagen
Die Prozesse sollten zum Teil einen proaktiven Untersuchungsansatz definieren und umsetzen, der über das Modell "Erkennen und Reagieren" hinausgeht, bei dem nur selten aus Vorfällen gelernt wird.
Der reaktive Ansatz neigt dazu, schnell nach einer Lösung zu suchen, ohne dabei zu tief in weitergehende Überlegungen einzusteigen. Proaktive Untersuchungen gehen weiter, indem sie mehr und mehr Fragen stellen, um versteckte Bedrohungsaspekte, Gemeinsamkeiten zwischen mehreren Vorfällen und sekundäre Auswirkungen zu entdecken, die nicht mit dem untersuchten Vorfall in Verbindung stehen.
Wenn dieser Ansatz systematisch wird und immer weniger mit spezifischen Vorfällen zu tun hat, nimmt er die Merkmale der Bedrohungsjagd an. Bei der Bedrohungssuche werden die Umgebung und historische Daten nach Artefakten durchsucht, die mit der Bedrohung in Zusammenhang stehen.
Die Bedrohungsjagd sollte sich auf das Verhalten der Angreifer in Form von TTPs, Angriffsmethoden und -werkzeugen konzentrieren und nicht auf atomare Indikatoren. Dieser Ansatz wird sich sowohl auf die Abdeckung der Bedrohungen als auch auf die Dauerhaftigkeit der Erkennung positiv auswirken.
Damit will ich nicht sagen, dass Dateihashes, IP-Adressen oder Domänen nicht nützlich sind. Sie können eine gute Möglichkeit sein, das Ausmaß einer Sicherheitsverletzung zu ermitteln. Aber ein proaktiver Ansatz investiert mehr Zeit in die Bedrohungssuche, um ein nachhaltigeres Ergebnis zu erzielen.
Die Bedrohungssuche sollte auch in Verbindung mit der MITRE ATT&CK Matrix durchgeführt werden. Matt Bromiley vom SANS Institute erklärt hierzu: "Indem man die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren in Verbindung bringt, beginnt man, die Bedrohungsjagd nicht als eine singuläre Aktivität zu betrachten, sondern vielmehr im Kontext der Art und Weise, wie ein Angreifer dieses Ziel in Ihrer Umgebung erreichen kann."
Ein wissenschaftlicher Ansatz
Ein weiterer wesentlicher Unterschied zwischen der Bedrohungsjagd und der Bedrohungserkennung liegt in den Prozessen, die sie steuern. Bei der Bedrohungserkennung handelt es sich um einen linearen Prozess, bei dem Warnmeldungen generiert und bewertet werden und bei Relevanz die Reaktionsphase eingeleitet wird.
Andererseits entspricht die Bedrohungsjagd eher der wissenschaftlichen Methodik, die mit der Formulierung einer Hypothese beginnt. Dann wird geforscht, die Ergebnisse werden ausgewertet, und wenn die Ergebnisse die Hypothese nicht bestätigen, wird die Forschung fortgesetzt.
Reaktive, proaktive und Bedrohungsjagd-Methoden sind alle von Nutzen, aber auf unterschiedlichen Ebenen.
Ein erfolgreiches, ausgereiftes SOC, das auf die geschäftlichen Faktoren abgestimmt ist, hat wahrscheinlich die Übung durchlaufen, Menschen, Prozesse und Technologiekomponenten in Einklang zu bringen. Gleichzeitig ermöglicht es Ihnen, von einem reaktiven Modus zu einer echten Bedrohungsjagd überzugehen, die auf dem Verhalten von Bedrohungen und Angriffsmethoden basiert und nicht auf Artefakten, die als mögliche Beweise verwendet werden.
