Der Kompromiss zwischen automatischer und manueller Vollstreckung

Die Durchsetzung im Zusammenhang mit Cyberangriffen ist die Reaktion auf Angreiferaktionen, um ein Unternehmen wieder in Einklang mit seiner erklärten Sicherheitsrichtlinie zu bringen. Gängige Beispiele für die Durchsetzung sind die Blockierung des Datenverkehrs zu einer bestimmten IP-Adresse, die Quarantäne eines Geräts durch Einschränkung des Netzwerkzugriffs, die Neuformatierung eines Rechners oder die Sperrung des Kontozugriffs.

Eine der wichtigsten Überlegungen zu den Durchsetzungsoptionen muss deren Wirksamkeit sein. Schließlich ist die Reaktion auf Cyberangriffe oft ein Katz-und-Maus-Spiel. Jede Aktion des Sicherheitsteams wird eine Reaktion der Angreifer nach sich ziehen. Das heißt, selbst wenn der Angreifer aus dem Netz geworfen wird, wird er versuchen, wieder in das Netz einzudringen. Sicherheitsteams müssen auf Änderungen in der Angreifertaktik, auf eine Eskalation der Angriffe und auf neue Opferziele vorbereitet sein.

Außerdem haben die Angreifer immer eine sofortige Rückmeldung über ihre Aktionen. Sie wissen, ob sie erfolgreich waren und können schnell einen neuen Versuch starten, wenn dies nicht der Fall ist. Das verteidigende Team hat nicht so viel Glück und erhält keine Rückmeldung über die Fortschritte der Angreifer.

Vorteile der hostbasierten Durchsetzung

Zur sofortigen und präzisen Durchsetzung gehen die Analysten in der Regel direkt zur Quelle eines Angriffs und sperren die verwendete endpoint . Dies begrenzt den Aktionsradius des Angriffs und gibt dem SOC mehr Zeit, den Angriff zu untersuchen und zu stoppen.

Dieser Ansatz setzt jedoch in der Regel voraus, dass auf endpoint eine Art Agent oder Kontrollsoftware installiert ist, was nicht immer der Fall ist. Wenn möglich, sollte die Durchsetzung auf Hosts auch mit einer kontobasierten Durchsetzung kombiniert werden.

Vorteile der kontobasierten Durchsetzung

Es hat sich inzwischen weitgehend herumgesprochen, dass die meisten modernen Cyberangriffe auf Benutzer und nicht auf Infrastruktur oder Geräte abzielen. Anstatt komplizierte Exploits zu verwenden, dringen viele Angreifer in das Unternehmen ein, indem sie Anmeldedaten über phishing oder die Übernahme von Konten stehlen und sich als "legitimer" Benutzer anmelden.

In Kombination mit dem wachsenden Standard der Nutzung von cloud Ressourcen bedeutet dies, dass Sicherheitsteams eine Seite aus dem Spielbuch der Angreifer nehmen und eine Durchsetzung auf der Basis von Benutzern statt des Netzwerks oder der Geräte in Betracht ziehen sollten. Oder anders ausgedrückt: eine kontenbasierte Durchsetzung.

Die kontobasierte Durchsetzung bietet nämlich mehrere Vorteile gegenüber netz- oder maschinenbasierten Durchsetzungsoptionen.

Erstens schafft die kontenbasierte Durchsetzung einen einzigen Durchsetzungspunkt. In Fällen, in denen Angreifer Konten kompromittiert haben, ist die Neuformatierung von Laptops nicht hilfreich, wenn Angreifer auf ein anderes Gerät ausweichen können. Daher kann die kontobasierte Durchsetzung in cloud oder hybriden Umgebungen, in denen Unternehmen nicht Eigentümer des Dienstes oder der Infrastruktur sind, effektiv sein. Sie schränkt auch die Seitwärtsbewegungen von Angreifern ein, die sich als Mitarbeiter mit kompromittierten Konten ausgeben.

Die kontenbasierte Durchsetzung ist ebenfalls chirurgisch und präzise. Die Durchsetzung betrifft nur das Konto des kompromittierten Benutzers. Es müssen keine Änderungen am Netzwerk vorgenommen werden. Es müssen keine Blacklists aktualisiert werden.

Schließlich kann die kontenbasierte Durchsetzung je nach Organisationsstruktur eine größere gemeinsame Verantwortung mit der IT-Abteilung bedeuten. In Unternehmen, in denen die IT-Abteilung Eigentümerin der Benutzerkonten ist, können die Sicherheitsteams mit ihren IT-Kollegen zusammenarbeiten, um die Arbeitslast für die Verwaltung der Benutzerkonten und die Wiederherstellung des Zugangs nach einem Angriff zu teilen.

Arten der Durchsetzung

Bei der Durchsetzung gibt es in der Regel zwei Arten von Maßnahmen: automatische und manuelle.

Automatische Durchsetzungsmaßnahmen sind Aktionen, die ohne menschliches Eingreifen ausgelöst werden, oft nach Erfüllung einer Reihe von Kriterien, wie z. B. einer vordefinierten Risikoschwelle und einer Vermögens- oder Kontoberechtigung.

Bei der manuellen Durchsetzung muss das Sicherheitspersonal die Maßnahme ergreifen. Es gibt zwingende Gründe für eine automatische oder manuelle Durchsetzung oder sogar für eine Kombination aus beidem. Im Folgenden werden wir einige Überlegungen zu beiden Arten anstellen.

Überlegungen zur automatischen Vollstreckung

Sicherheitsteams sträuben sich oft gegen den Gedanken der automatischen Durchsetzung, aber es gibt legitime Anwendungsfälle, in denen sie hilfreich sein kann.

Die automatische Durchsetzung kann nützlich sein, um die seitliche Ausbreitung zu verringern und Sicherheitsteams mit knappen Ressourcen mehr Zeit für die Untersuchung von Vorfällen zu geben. Sie ist auch als temporäres Werkzeug nützlich, insbesondere für Unternehmen, die nicht rund um die Uhr Sicherheitspersonal für sofortige Untersuchungen haben.

Wenn ein Vorfall bereits untersucht wird, kann die automatische Durchsetzung dazu beitragen, dass die zuständigen Mitarbeiter einheitliche Sicherheitsrichtlinien auf mehrere Opfer anwenden. Handelt es sich bei dem Vorfall um einen bekannten Angriff mit etablierten Best Practices, können Sicherheitsteams die automatische Durchsetzung nutzen, um schnell genehmigte Abhilfeschritte zu befolgen. Ein Beispiel ist ein bekannter ransomware Angriff mit vorgeschriebenen Wiederherstellungsprozeduren. Natürlich erfordert dieses Szenario eine Diagnose mit hohem Vertrauen, um zu bestätigen, dass es sich um einen bekannten Angriff oder Angreifer handelt.

Automatische Durchsetzungsmaßnahmen können einen Angreifer daran hindern, in die nächste Phase der Kill Chain vorzudringen. In diesem Fall wird die Durchsetzung chirurgisch auf eine bestimmte Angreiferaktivität und ein bestimmtes Konto angewandt, wodurch zusätzliche Risiken reduziert werden.

Kurz gesagt, wenn sie mit Bedacht eingesetzt wird, kann die automatische Durchsetzung dazu beitragen, dass sich eine schlechte Situation nicht verschlimmert und mehr Zeit für Sicherheitsuntersuchungen gewonnen wird.

Überlegungen zur manuellen Durchsetzung

Bei der manuellen Durchsetzung muss ein Mensch die endgültige Entscheidung treffen und Maßnahmen auslösen. Dies wirft die Frage auf, warum man auf den "Knopfdruck" eines Menschen warten sollte, wenn der Zugriff auf dieselben Warnmeldungen, Informationen und forensischen Daten möglich ist.

In den meisten Fällen ist das Timing der entscheidende Unterschied.

Es hat Vorteile, nicht sofort auf aktive Cyberangriffe zu reagieren. Und während die automatische Durchsetzung auch so konfiguriert werden kann, dass sie nach einer bestimmten Zeit ausgelöst wird, bietet die manuelle Durchsetzung uneingeschränkte zeitliche Flexibilität.

Eine wichtige Überlegung bei der manuellen Durchsetzung ist es, Angriffe ablaufen zu lassen, um mehr Informationen zu erhalten. Oft können Sicherheitsteams zusätzliche Daten sammeln, indem sie den Angreifer glauben lassen, dass er unentdeckt ist.

Bestimmte Informationen lassen sich nämlich nur gewinnen, wenn man das Verhalten der Angreifer über einen längeren Zeitraum beobachtet. Welche anderen Tools und Taktiken setzen sie ein? Auf welche Daten haben sie es abgesehen, und von wo aus werden sie exfiltriert? Die Erforschung eines Angriffs erfordert Zeit und ein gewisses Maß an "freier Hand" innerhalb des Netzwerks für den Angreifer.

Denken Sie auch daran, dass die Angreifer ihre Taktik ändern werden, wenn sie zu früh oder gar nicht handeln. Daher müssen die Maßnahmen wohlüberlegt sein. Die manuelle Durchsetzung gibt Sicherheitsteams die Flexibilität, Entscheidungen dynamisch auf der Grundlage der Aktionen des Angreifers zu treffen. Durch das Sammeln von mehr Datenpunkten und die Korrelation von forensischen Daten können die Teams auch mit größerer Zuversicht und Genauigkeit durchgreifen.

Und schließlich können Sicherheitsteams bei der manuellen Durchsetzung mit größerer Präzision vorgehen. Anstatt in allen ähnlichen Fällen die gleiche Maßnahme zu ergreifen, können Teams selektiv Maßnahmen für bestimmte Benutzer auslösen und so die Auswirkungen auf die Benutzer minimieren. Anstelle einer Massenrücksetzung von Passwörtern benötigen beispielsweise nur Mitarbeiter an einem bestimmten Standort neue Anmeldedaten.

Voraussetzungen für eine sorgenfreie Vollstreckung

Unabhängig davon, ob Sie automatisches Enforcement, manuelles Enforcement oder eine Kombination aus beidem einsetzen, müssen bestimmte Faktoren gegeben sein, damit das Enforcement nicht mehr Probleme schafft als es löst. Da Angreifer ihre Taktik je nach Durchsetzungsmaßnahmen ändern, muss eine wirksame Durchsetzung Angreifer aus dem Unternehmen entfernen und sie fernhalten. Hier sind die wichtigsten Kriterien für eine sorgenfreie Durchsetzungslösung.

Selbstvertrauen ist der Schlüssel

Um eine zuverlässige Durchsetzung zu gewährleisten, müssen Sie sich darauf verlassen können, dass die Sicherheitsinformationen, auf denen Ihre Entscheidungen beruhen, korrekt sind. Das bedeutet, dass sich die Erkennung auf ein zuverlässiges System stützen muss, das Datenpunkte für die Genauigkeit zusammenfasst. Details wie die Art der Bedrohung, das Risikoniveau und die Gewissheit sind entscheidend, um genaue Entscheidungen zur Durchsetzung zu treffen. Die Möglichkeit, Informationen von anderen Sicherheitstools wie Firewalls und SIEMs zu korrelieren, erhöht ebenfalls das Vertrauen und die Genauigkeit.

Alle notwendigen Bereiche durchsetzen

Die meisten Unternehmen haben ihre Daten sowohl auf cloud als auch in ihren eigenen Räumlichkeiten oder auf der Infrastruktur von Partnern gehostet. Die Sicherheitsstacks von Unternehmen umfassen auch eine Vielzahl von Technologien wie Endpunkt-Erkennungstools, Netzwerkzugangskontrollen und Firewalls. Erwägen Sie Durchsetzungslösungen mit einem zentralisierten Kontosystem, das geeignete Maßnahmen in der gesamten Unternehmensinfrastruktur durchsetzen kann: vor Ort, in hybriden Umgebungen und über mehrere Technologien hinweg.

Eine Lösung, die Konten von Partnern oder Auftragnehmern schützt und durchsetzt, verhindert auch, dass diese Konten zu Angriffszielen werden.

Machen Sie es sich leicht

Auch die Art der Durchsetzungsmaßnahmen ist wichtig. Wählen Sie Durchsetzungsmaßnahmen, die genaue und zuverlässige Auswirkungen haben, wie die kontobasierte Durchsetzung. Im Gegensatz zu netzwerkbasierten Durchsetzungsmaßnahmen wie Blacklisting oder TCP-Resets ist die kontobasierte Durchsetzung effektiv und präzise und verursacht keine unnötige Arbeit für andere Abteilungen.

Einführung von Vectra Lockdown Enforcement

Mit Lockdown können Sicherheitsexperten die automatische und manuelle Durchsetzung direkt über die Vectra AI Plattform aktivieren. Es verwendet eine Kombination aus Schwellenwerten für die Privilegienbewertung, die Kontobedrohungsbewertung und die Kontosicherheitsbewertung, um bestimmte Konten, Hosts und cloud Workloads zu sperren. Sicherheitsadministratoren können diese Schwellenwerte konfigurieren und festlegen, wie lange die Sperrung dauern soll.

Wie immer sind weitere Durchsetzungsoptionen über Vectra-Integrationen mit SOAR-Partnern (Security Orchestration and Response) verfügbar .

Die PlattformVectra AI ist der schnellste und effizienteste Weg, um Cyberangriffe zu erkennen und darauf zu reagieren, und stellt sicher, dass Angreifer aus Unternehmensumgebungen vertrieben werden und dort bleiben.

‍