Threat Hunting
Proaktiv threat hunting bedeutet eine Verlagerung von reaktiven Cybersicherheitsmaßnahmen hin zu einer aggressiveren Haltung, die aktiv nach versteckten Bedrohungen im Netzwerk eines Unternehmens sucht, bevor sie sich zu einem ausgewachsenen Angriff entwickeln.
- Eine Studie des SANS Institute ergab, dass Unternehmen, die regelmäßig an threat hunting teilnehmen, ihre Fähigkeit, Bedrohungen zu erkennen und darauf zu reagieren, deutlich verbessert haben.
- Laut einer Umfrage von CrowdStrike betrachten mehr als 60 % der Unternehmen threat hunting inzwischen als notwendige Komponente ihrer Sicherheitsstrategie, was die wachsende Bedeutung dieses Themas in der Cybersicherheitslandschaft widerspiegelt.
Geschäftsumgebungen ändern sich ständig, neue Tools werden eingeführt, alte Tools werden entfernt, und diese Konfigurationsänderungen werden vorgenommen, um die Änderungen zu unterstützen, was neue Schwachstellen in die Umgebung bringen kann. Zu den jüngsten Beispielen gehört die F5-Schwachstelle CVE-2020-5902, die sich auf die Traffic Management User Interface (TMUI) von F5 BIG-IP auswirkt. Dieser Port sollte niemals öffentlich zugänglich sein und sollte erfordern, dass sich die Benutzer zuerst sicher authentifizieren und mit dem LAN verbinden, bevor sie darauf zugreifen können. Bei Vectra AI haben wir Fälle gesehen, in denen dies nicht der Fall war und auf die TMUI zugegriffen und diese ausgenutzt wurde.
Im Jahr 2020 kam es aufgrund von COVID-19 zu einer massiven Verlagerung der Fernarbeit und die Betriebsteams mussten sich darum bemühen:
- Unterstützung dieses neuen Arbeitsumfelds
- Sicherheit für die Nutzer beim Wechsel vom Büro nach Hause.
Die Unterstützung dieser Art von Umstellung, insbesondere für ein Unternehmen, das nicht darauf vorbereitet ist, führt zu einer Vielzahl von Sicherheitsproblemen.
Bei einem derartigen Umbruch liegt das Hauptaugenmerk des Unternehmens darauf, sicherzustellen, dass der Betrieb nicht unterbrochen wird, so dass die Sicherheitsteams weniger Einfluss auf die Implementierung haben und eine Lösung unterstützen müssen, die nicht mit Blick auf die Sicherheit entwickelt wurde. Ohne angemessene Aufsicht können Schwachstellen aufgedeckt werden, die Angreifer ausnutzen.
Es gibt viele Beispiele dafür, warum die Jagd wichtig ist, und die beiden, die wir im Folgenden erörtern, unterstreichen die Notwendigkeit von Jagdprogrammen.
Lassen Sie uns untersuchen, wie Sicherheitsteams Vectra Detect und Ihre Netzwerk-Metadaten nutzen können, um nach bösartigem Verhalten zu suchen. Auch wenn wir in diesem Dokument auf Vectra Recall verweisen, können die für Vectra Recall beschriebenen Techniken leicht mit den Daten von Vectra Stream umgesetzt werden.
Warum Threat Hunting wichtig ist
Threat Hunting geht es darum, sich Zeit zu nehmen, um die Eigenheiten des eigenen Netzes eingehend zu erforschen.
Das Ziel einer Bedrohungsjagd besteht nicht nur darin, bösartige Akteure in Ihrem Netzwerk zu finden, die von den verhaltensgesteuerten Erkennungsfunktionen von Vectra nicht unbedingt erkannt wurden, oder Vorläuferaktivitäten zu finden. Es geht auch darum, Netzwerkaktivitäten zu finden, die nicht notwendigerweise bösartig sind, aber möglicherweise Ihre Sicherheitsvorkehrungen verletzen oder unnötig unsicher sind. In erster Linie ist threat hunting eine Lernerfahrung, die Ihnen hilft zu verstehen, was in Ihrem Netzwerk vor sich geht. Dies sollte zukünftige Untersuchungen vereinfachen, da Sie bereits wissen, was im Netzwerk vor sich geht.
Als Unternehmen möchten Sie vielleicht Ihre Ergebnisse dokumentieren, um das Wissen innerhalb des Unternehmens zu teilen. Vielleicht möchten Sie jede Woche oder jeden Monat eine bestimmte Zeit für threat hunting als Team reservieren, mit einer Diskussion am Ende, bei der das Team bespricht, was es entdeckt hat und was Sie jetzt über Ihr Unternehmen wissen, was Sie vorher nicht wussten. Es könnte sein, dass es einen Server gibt, der jeden Tag um 1 Uhr nachts eine große Menge an Dateien über SMB sichert, oder dass einige Server in einem Rechenzentrum eine Menge Daten für einen legitimen Geschäftszweck über Port 46780 nach außen senden. Diese Erkenntnisse werden in Zukunft Zeit sparen, da Sie bekannte, legitime Anwendungsfälle schnell ausschließen können, um sich auf neue und bedenkliche Fälle zu konzentrieren.
Threat Hunting mit Netzwerk-Metadaten
Aus der Sicht eines Ermittlers gibt es zwei Hauptquellen für Beweise während einer Untersuchung: endpoint Beweise und Netzwerkbeweise. Der Unterschied zwischen diesen beiden Quellen lässt sich am besten mit der Analogie des Autodiebstahls beschreiben. Es gibt mehrere Phasen, vom Autodiebstahl über die Vergnügungsfahrt bis hin zum Abschluss, der in einem Autounfall bestehen kann. Am Tatort zu sein ist großartig, aber es ergibt nicht das ganze Bild. Wie hat der Dieb das Auto gefunden? Woher kamen sie? Welchen Weg hat das Auto genommen? Die einzige Möglichkeit, ein vollständiges Bild zu erhalten, besteht darin, alle Elemente zu kombinieren.
Während endpoint Beweise am besten geeignet sind, um den ursprünglichen Ort des Einbruchs zu erkennen, sind Netzwerkdaten am besten geeignet, um das Gesamtbild zu sehen und die Punkte zu verbinden. Stellen Sie sich vor, Sie säßen in einem Hubschrauber, der den Autodiebstahl beobachtet, und sähen, wie sich das Auto durch den Verkehr schlängelt, die Straßen entlang und quer durch die Stadt. Wir werden alles sehen, und wir werden genau sehen, wo es endet.
Im Folgenden finden Sie eine Kurzübersicht über die verfügbaren Metadaten und die gemeinsamen Attribute für jeden Metadatenstrom.
Der Wert von Threat Hunting
Die Jagd ist zeitaufwendig, und es gibt einen Grund, warum die meisten Unternehmen davor zurückschrecken; aus der Sicht eines Managers ist es schwierig, die Zeit eines Analysten zu genehmigen, wenn kein Ergebnis garantiert ist. Unserer Ansicht nach gibt es zwei Dinge, die in der Regel aus einer erfolgreichen Suche resultieren.
1. Wissen
Jeder Analytiker, der Zeit auf einer Jagd verbringt, lernt unweigerlich aus dieser Erfahrung und muss seine Theorie erforschen und testen. Das bedeutet, dass ein neues Thema erforscht wird, während sie mit der Vectra AI Plattform vertrauter werden, was sich in der Zeit niederschlägt, die für Untersuchungen aufgewendet wird. Sie werden die Lucene-Syntax kennen, wissen, wie man Daten mit Visualize stapelt und welche Metadatenfelder zur Verfügung stehen.
2. Umwelt Verständnis
Durch diese Nachforschungen werden sie auch ihre eigene Umgebung besser verstehen, da jedes Unternehmensnetzwerk über eine Reihe spezifischer Richtlinien und Tools verfügt, die sie verwenden. Wenn man versteht, was normal ist, kann man auch erkennen, was abnormal ist. Je mehr Zeit ein Analyst mit der Suche verbringt, desto mehr versteht er, was sich in Effizienz niederschlägt.
Ein greifbares Ergebnis wird ein benutzerdefiniertes Modell sein, so dass das Wissen und das Verständnis der Umgebung angewandt werden können, um ein maßgeschneidertes benutzerdefiniertes Modell zu erstellen, das für Ihr Unternehmen geeignet ist. Auf diese Weise kann das benutzerdefinierte Modell in Vectra Detect aktiviert werden und in den täglichen Arbeitsablauf der Analysten einfließen, was sowohl die Angriffsabdeckung als auch die Effizienz erhöht.
In der heutigen dynamischen Bedrohungslandschaft ist eine proaktive threat hunting nicht nur vorteilhaft, sondern für die Aufrechterhaltung einer robusten Cybersicherheitsabwehr unerlässlich. Vectra AI Mit den fortschrittlichen Lösungen von können Sicherheitsteams verborgene Bedrohungen effizient aufdecken und bekämpfen und so die Widerstandsfähigkeit Ihres Unternehmens gegen Cyberangriffe verbessern. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihre threat hunting Initiativen unterstützen und Ihre Sicherheitslage verbessern können.