Threat Hunting Leitfaden

Threat hunting ist ein wichtiger Teil eines jeden Sicherheitsprogramms. Unabhängig davon, wie gut ein Sicherheitswerkzeug konzipiert ist, müssen wir davon ausgehen, dass diese Werkzeuge und Verteidigungsmaßnahmen unvollkommen sind.

Geschäftsumgebungen ändern sich ständig, neue Tools werden eingeführt, alte Tools werden entfernt, und diese Konfigurationsänderungen werden vorgenommen, um die Änderungen zu unterstützen, was neue Schwachstellen in die Umgebung bringen kann.

Zu den jüngsten Beispielen gehört die F5-Schwachstelle CVE-2020-5902, die sich auf die Traffic Management User Interface (TMUI) von F5 BIG-IP auswirkte. Dieser Port sollte niemals öffentlich zugänglich sein und sollte erfordern, dass sich die Benutzer zuerst sicher authentifizieren und mit dem LAN verbinden, bevor sie darauf zugreifen können.

Auf Vectra AIhaben wir Fälle gesehen, in denen dies nicht der Fall war und auf die TMUI zugegriffen und diese ausgenutzt wurde.

Im Jahr 2020 kam es aufgrund von COVID-19 zu einer massiven Verlagerung der Fernarbeit und die Betriebsteams mussten sich darum bemühen:

1. dieses neue Arbeitsumfeld unterstützen
2. die Sicherheit der Nutzer beim Wechsel vom Büro nach Hause.

Die Unterstützung dieser Art von Umstellung, insbesondere für ein Unternehmen, das darauf nicht vorbereitet ist, führt zu einer Vielzahl von Sicherheitsproblemen. Bei einer derartigen Umstellung muss das Unternehmen in erster Linie sicherstellen, dass der Betrieb nicht unterbrochen wird. Die Sicherheitsteams haben dann weniger Einfluss auf die Implementierung und müssen eine Lösung unterstützen, die nicht auf Sicherheit ausgelegt ist. Ohne angemessene Aufsicht können Schwachstellen aufgedeckt werden, die Angreifer ausnutzen.

Es gibt viele Beispiele dafür, warum die Jagd wichtig ist, und die beiden, die wir im Folgenden erörtern, unterstreichen die Notwendigkeit von Jagdprogrammen.

Lassen Sie uns untersuchen, wie Sicherheitsteams Vectra Detect und Ihre Netzwerk-Metadaten nutzen können, um nach bösartigem Verhalten zu suchen. Auch wenn wir in diesem Dokument auf Vectra Recall verweisen, können die für Vectra Recall beschriebenen Techniken leicht mit den Daten von Vectra Stream umgesetzt werden.

In diesem E-Book erfahren Sie mehr:

Wie man IOCs (Kompromissindikatoren) jagt

Es ist wichtig, ein offenes Ohr zu haben und sicherzustellen, dass Sie über alle neuen Kompromisse, die angekündigt werden, informiert sind. Genauso wichtig ist es aber auch, in der Lage zu sein, auf neue Kompromissindikatoren zu reagieren, wenn Sie von ihnen erfahren. In diesem Abschnitt beschreiben wir gängige IOCs, worauf sie hinweisen können, warum Sie sich darum kümmern sollten und wie Sie in Ihren Netzwerk-Metadaten nach diesen IOCs suchen können

Kategorien von Angriffsschritten in der Killchain

Wir beschreiben Angriffstechniken, nach denen Sie in Ihren Netzwerk-Metadaten suchen können. Wir haben diese Techniken in die einzelnen Schritte unterteilt, die im Rahmen von MITRE ATT&CK beschrieben sind.

Wie man automatisiert Threat Hunting

Die in diesem Dokument aufgeführten Techniken sind als repräsentative Beispiele für Methoden gedacht, die Sie bei der Suche nach Bedrohungen in Ihrem Unternehmen einsetzen können. Sie dienen als zusätzliche Sicherheitsebene zu den fortschrittlichen verhaltensbasierten Erkennungsmethoden von Vectra AI, die Ihr Fachwissen über das Netzwerk nutzen, um Erkenntnisse aus den äußerst wertvollen Netzwerk-Metadaten zu gewinnen, die Vectra AI in Ihrem Unternehmen überwacht.