In meinem letzten Blog habe ich darüber gesprochen, wie Intrusion Detection and Prevention Systeme (IDPS) zu einer Ermüdung der Alarmbereitschaft führen, indem sie die Sicherheitsteams mit falsch-positiven Alarmen überhäufen, was letztendlich zu verpassten Angriffen führt. In diesem Blog möchte ich darauf eingehen, dass IDPS nicht in der Lage ist, laterale Bewegungen, d. h. Ost-West-Verkehr, zu erkennen, oder einfach ausgedrückt: Angreifer, die sich innerhalb Ihrer Implementierungen bewegen.
Die Vorstellung von einem festen Umkreis um Hosts und Server, der durch eine Firewall geschützt ist, gehört der Vergangenheit an. Jeder greift heute auf Workloads zu, die in cloud Umgebungen bereitgestellt werden. Der Gedanke, dass der Datenverkehr innerhalb oder außerhalb eines Umkreises stattfindet, ist verschwunden. IDPS-Lösungen, die sich nur auf den Datenverkehr konzentrieren, der durch die Unternehmens-Firewall läuft, werden schnell überflüssig. Dieser Datenverkehr macht nur noch einen Bruchteil der gesamten Kommunikation in einer modernen Einrichtung aus. Das ist so, als würde man eine verstärkte Stahltür in die Mitte eines offenen Feldes stellen.
Die Erkennung von Querbewegungen ist jedoch nach wie vor ein wichtiger Bestandteil jeder Erkennungs- und Reaktionsstrategie. Böswillige Akteure zielen bei einem Angriff selten nur auf ein System ab. Stattdessen verfolgen sie einen "Land-and-Expand"-Ansatz, indem sie einen Host oder ein Konto mit geringen Rechten kompromittieren und sich dann auf der Suche nach zu stehlenden Ressourcen lateral durch das Netzwerk bewegen.
IDPS stützt sich in erster Linie auf Signaturen, um Bedrohungen zu erkennen, einschließlich Exploits und Malware, die auf anfällige Systeme und Anwendungen abzielen. Dies geschieht in der Regel über eine Prüfung auf Paketebene, bei der der Hash eines Pakets mit dem Hash eines bösartigen Pakets verglichen wird. Wenn es eine Übereinstimmung gibt, löst IDPS eine Warnung aus und blockiert es möglicherweise, je nach Konfiguration. Auch wenn Signaturen ihre Berechtigung haben, haben sich die Angriffe deutlich von Malware zu kontobasierten Angriffen verlagert.
Im Verizon Business 2020 Data Breach Investigations Report heißt es: "Unsere Daten zeigen, dass diese Art von Malware im Jahr 2016 einen Spitzenwert von knapp 50 % aller Sicherheitsverletzungen erreichte und seitdem auf nur noch ein Sechstel des damaligen Wertes (6,5 %) gesunken ist. Während diese Art von Malware zurückgeht, sehen wir einen entsprechenden Anstieg bei anderen Bedrohungen. Im Laufe der Zeit scheinen die Angreifer immer effizienter zu werden und sich mehr auf Angriffe wie Phishing und den Diebstahl von Zugangsdaten zu konzentrieren." Der signaturbasierte Ansatz ist völlig unfähig, Angriffe zu erkennen, die den Diebstahl und Missbrauch von Zugangsdaten beinhalten.
Umgekehrt kombiniert die Vectra Cognito Platform Bedrohungsinformationen mit umfangreichen Kontextdaten, wie z. B. dem Verhalten von Host-Benutzern im Netzwerk, Benutzer- und Geräteprivilegien und dem Wissen über bösartiges Verhalten. Mit Hilfe von Algorithmen des maschinellen Lernens, die von Sicherheitsforschern und Datenwissenschaftlern entwickelt wurden, identifiziert Vectra Angriffe, die eine echte Bedrohung darstellen, und eliminiert gleichzeitig das Rauschen. Dies gibt Ihnen die Gewissheit, dass Sie bekannte und unbekannte Angriffe in cloud, Rechenzentren, IoT- und Unternehmensnetzwerken erkennen und abwehren können. Vectra steht zu 100 % im Dienst der Erkennung von und Reaktion auf Angreifer, und unsere Aufgabe ist es, sie frühzeitig und mit Sicherheit zu finden.
Das fängt damit an, dass man die Daten hat, die man braucht, um das zu erreichen. Dabei geht es nicht um die Menge der Daten. Es geht um die durchdachte Sammlung von Daten aus einer Vielzahl relevanter Quellen und deren Anreicherung mit Sicherheitserkenntnissen und Kontext zur Lösung von Kundenanwendungsfällen. Das Angriffsverhalten variiert, so dass Vectra kontinuierlich einzigartige algorithmische Modelle für ein breites Spektrum an neuen und aktuellen Bedrohungsszenarien erstellt. Mit einer Leistung, die weit über die Fähigkeiten von Menschen hinausgeht, verschafft Vectra Ihnen einen deutlichen Vorteil gegenüber Angreifern, indem es Angriffe erkennt, gruppiert, priorisiert und vorhersieht. Indem Sie das Denken übernehmen und die Arbeitslast der Sicherheitsabteilung reduzieren, können Sie mehr Zeit für die Suche nach Bedrohungen und die Untersuchung von Vorfällen aufwenden und müssen weniger Zeit für die Abstimmung von IDPS-Signaturen aufwenden.
Wenn Sie bereit sind, Ihre Herangehensweise an die Überwachung und den Schutz Ihrer Umgebung zu ändern, nehmen Sie Kontakt mit uns auf und lassen Sie sich eine Demo zeigen.