Dies ist der erste Teil unserer Lockdown-Serie, in der wir Methoden zur effektiven Eindämmung von Sicherheitsereignissen diskutieren und wie Vectra dabei helfen kann. Bleiben Sie dran für den Folgeartikel, in dem wir die automatisierten Lockdown-Funktionen von Vectra und unsere Abdeckung für Microsoft Azure und AWS!
Zeit ist von entscheidender Bedeutung
Jeder, der sich mit der Reaktion auf einen Vorfall befasst, wird Ihnen sagen, dass ein Vorfall umso unwahrscheinlicher wird, je schneller er eingedämmt wird. Auf die Validierung einer Erkennung sollte rasch eine Isolierung folgen. So gewinnen Sie Zeit für das Sammeln von Beweisen, das Scoping und schließlich die Behebung des Problems. Je nach Art der Erkennung haben wir möglicherweise nur einen Teil des Bildes.
Nehmen wir zum Beispiel eine Port-Sweep-Erkennung, die eine Reihe von Hosts von einer einzigen Quelle aus angreift. In diesem Szenario müssen wir wissen, wie auf das System zugegriffen wird, wie sich der Angreifer Zugang verschafft hat, wie lange er schon Zugriff hat oder ob es erfolgreiche Seitwärtsbewegungen gegeben hat. Die Beantwortung all dieser Fragen erfordert Zeit.
Wir müssen auch die Verweildauer des Angreifers berücksichtigen. Je länger der Angreifer Zugriff auf die Umgebung hat, desto näher kommt er seinem Ziel (z. B. Verschlüsselung von Dateiservern und Erpressung von Lösegeld oder Exfiltration der neuen Forschungsergebnisse, an denen Ihr Unternehmen mehrere Jahre lang gearbeitet hat). Wenn der Angreifer am Vormarsch gehindert wird und die Einsatzkräfte wertvolle Zeit für die Untersuchung haben, können sie bei der Behebung des Problems besser informiert entscheiden. Sobald ein Angreifer privilegierten Zugang hat, kann er schneller und weiter vorrücken, um seine Mission zu erfüllen.
Nehmen wir das Beispiel der MAZE-Ransomware: Die Angreifer erstellten ihre eigenen Konten und nutzten privilegierte Konten, um sich im Netzwerk zu verbreiten. Eindämmung ist die Antwort, um diesen Vormarsch zu unterbrechen und Angreifer wie die MAZE-Betreiber daran zu hindern, privilegierte Konten im Netzwerk zur Verbreitung ihrer Ransomware zu nutzen.
Wie kann man das durchsetzen?
Es gibt eine Reihe von Möglichkeiten, einen Angreifer einzudämmen. Wir können den Angriff auf zwei Arten isolieren: erstens durch einen endpoint -Agenten auf dem Host; zweitens auf dem Netzwerk-Stack, indem wir das für die Seitwärtsbewegung verwendete Konto deaktivieren oder den ausgenutzten Dienst ändern. In den meisten Fällen kann die endpoint Isolierung schnell und effektiv jede Interaktion unterbinden, indem sie die Kommunikation des Zielsystems zu oder von einem beliebigen System außer einer vordefinierten Liste von Systemen unterbricht. Auf diese Weise können aus der Ferne weitere Beweise gesammelt werden, ohne dass das System vom Netz genommen und an Ihr Incident-Response-Team zurückgeschickt werden muss, das die Untersuchung aus der Ferne durchführen kann, bevor es das System wieder an das lokale IT-Team oder den Endbenutzer freigibt.
Wenn wir feststellen, dass ein Konto für laterale Bewegungen missbraucht wird, können wir das Konto in Active Directory deaktivieren. Wenn es sich um ein lokales Konto handelt, ist es unwahrscheinlicher, dass der Angreifer sehr weit kommt, da auf lokale Konten keine Gruppenrechte angewandt werden und ein Angreifer keine Möglichkeit hat, sich seitlich zu bewegen.
Ein ähnliches Ergebnis lässt sich auch durch die Nutzung des Netzwerkstapels zur Isolierung erzielen, indem ACLs (Access Control Lists) eingesetzt werden oder das System in ein separates VLAN gesetzt wird, das die Interaktion mit anderen Systemen im Netzwerk unterbindet. Die Einrichtung eines VLANs für die Fehlerbehebung ist eine gängige Praxis, und dieses VLAN ermöglicht es endpoint , mit Verwaltungssystemen wie dem Windows Patch Server Update Server, Microsoft System Center Configuration Manager ( SCCM) oder Antivirus endpoint detection and response (EDR) zu kommunizieren, aber nirgendwo sonst im Netzwerk.
Eine andere Möglichkeit zur Isolierung ist die Nutzung von Microsofts GPO (Group Policy Objects) zur Verwaltung von Windows endpoint Firewall-Regeln. Sie erstellen eine Richtlinie, die standardmäßig alle Dienste blockiert, und nehmen dann kritische Dienste in die Whitelist auf. Ein wichtiger Hinweis ist, dass Sie sicherstellen müssen, dass lokale Richtlinien ignoriert werden, da ein Benutzer (oder Malware) die Firewall-Regeln lokaler Systeme standardmäßig ändern kann.
Bei kritischen Diensten, bei denen wir das System nicht einfach isolieren können, ohne den Betrieb zu beeinträchtigen, sollten wir den Zugriff auf den Dienst anhand der Quell-IP oder des Kontos beschränken. Auf einem Linux-System könnten wir die IP-Tabellen nutzen oder /etc/host.deny aktualisieren. Wir sollten auch den Zugriff vom System aus in Betracht ziehen: Wenn es sich um ein Mail-Relay handelt, können wir vielleicht den Verkehr von und zum TCP-Port 25 und zu einem Internet-Ziel (Exchange) beschränken, während wir weitere Untersuchungen durchführen. Es wird nicht möglich sein, ein Playbook für jedes Szenario zu schreiben; dennoch ist es wichtig, sich darüber im Klaren zu sein, dass ungewöhnliche Szenarien auftreten können, die Fachwissen im Bereich Incident Response erfordern.
Zweiter Teil - auf cloud:
Schnelligkeit ist ein Schlüsselelement für eine erfolgreiche Eindämmung. Sich in eine andere Plattform einzuloggen, den gewünschten Host oder die gewünschte Richtlinie zu finden und sie anzuwenden, kostet Zeit. Vectra ermöglicht es Sicherheitsteams, direkt in der Plattform einzudämmen, und die Benutzer können die Eindämmungseinstellungen ganz einfach von einem einzigen Fenster aus sehen und verwalten.
Im nächsten Teil dieser Blogserie werden wir uns ansehen, welche Maßnahmen für die Infrastruktur auf cloud ergriffen werden können und wie man Lockdown-Aktionen von Vectra aus automatisieren kann.