Geschäftsumgebungen ändern sich ständig, neue Tools werden eingeführt, alte Tools werden entfernt, und diese Konfigurationsänderungen werden vorgenommen, um die Änderungen zu unterstützen, was neue Schwachstellen in die Umgebung bringen kann. Zu den jüngsten Beispielen gehört die F5-Schwachstelle CVE-2020-5902, die sich auf die Traffic Management User Interface (TMUI) von F5 BIG-IP auswirkt. Dieser Port sollte niemals öffentlich zugänglich sein und sollte erfordern, dass sich die Benutzer sicher authentifizieren und zuerst mit dem LAN verbinden, bevor sie darauf zugreifen können. Bei Vectra AI haben wir Fälle gesehen, in denen dies nicht der Fall war und auf die TMUI zugegriffen und diese ausgenutzt wurde.
Im Jahr 2020 kam es aufgrund von COVID-19 zu einer massiven Verlagerung der Fernarbeit und die Betriebsteams mussten sich darum bemühen:
Die Unterstützung dieser Art von Umstellung, insbesondere für Unternehmen, die darauf nicht vorbereitet sind, bringt eine Vielzahl von Sicherheitsproblemen mit sich.
Bei einem derartigen Umbruch liegt das Hauptaugenmerk des Unternehmens darauf, sicherzustellen, dass der Betrieb nicht unterbrochen wird, so dass die Sicherheitsteams weniger Einfluss auf die Implementierung haben und eine Lösung unterstützen müssen, die nicht mit Blick auf die Sicherheit entwickelt wurde. Ohne angemessene Aufsicht können Schwachstellen aufgedeckt werden, was Angreifer ausnutzen werden.
Es gibt viele Beispiele dafür, warum die Jagd wichtig ist, und die beiden, die wir im Folgenden erörtern, unterstreichen die Notwendigkeit von Jagdprogrammen.
Lassen Sie uns untersuchen, wie Sicherheitsteams Vectra Detect und Ihre Netzwerk-Metadaten nutzen können, um nach bösartigem Verhalten zu suchen. Auch wenn wir in diesem Dokument auf Vectra Recall verweisen, können die für Vectra Recall beschriebenen Techniken leicht mit Ihren Daten aus Vectra Stream umgesetzt werden.
Bei Threat Hunting geht es darum, sich Zeit zu nehmen, um die Eigenheiten des eigenen Netzwerks gründlich zu erforschen.
Das Ziel einer Bedrohungsjagd besteht nicht nur darin, bösartige Akteure in Ihrem Netzwerk zu finden, die von den verhaltensgesteuerten Erkennungsfunktionen von Vectra nicht unbedingt erkannt wurden, oder Vorläuferaktivitäten zu finden. Es geht auch darum, Netzwerkaktivitäten zu finden, die nicht notwendigerweise bösartig sind, aber möglicherweise Ihre Sicherheitsvorkehrungen verletzen oder unnötig unsicher sind. In erster Linie ist die threat hunting eine Lernerfahrung, die Ihnen hilft zu verstehen, was in Ihrem Netzwerk vor sich geht. Dies sollte künftige Untersuchungen vereinfachen, da Sie bereits wissen, was im Netzwerk vor sich geht.
Als Unternehmen möchten Sie vielleicht Ihre Ergebnisse dokumentieren, um das Wissen innerhalb des Unternehmens zu teilen. Vielleicht möchten Sie jede Woche oder jeden Monat eine bestimmte Zeit für die threat hunting im Team reservieren, mit einer Diskussion am Ende, bei der das Team bespricht, was es entdeckt hat und was Sie jetzt über Ihr Unternehmen wissen, was Sie vorher nicht wussten. Es könnte sein, dass es einen Server gibt, der jeden Tag um 1 Uhr nachts eine Vielzahl von Dateien über SMB sichert, oder dass einige Server in einem Rechenzentrum eine Menge Daten für einen legitimen Geschäftszweck über Port 46780 nach außen senden. Diese Erkenntnisse werden in Zukunft Zeit sparen, da Sie bekannte, legitime Anwendungsfälle schnell ausschließen können, um sich auf neue und bedenkliche Fälle zu konzentrieren.
Aus der Sicht eines Ermittlers gibt es zwei Hauptquellen für Beweise während einer Untersuchung: endpoint und Netzwerkbeweise. Der Unterschied zwischen diesen beiden Quellen lässt sich am besten mit der Analogie des Autodiebstahls beschreiben. Es gibt mehrere Stufen, vom Autodiebstahl über die Spritztour bis hin zum Abschluss, der ein Autounfall sein kann. Am Tatort zu sein ist großartig, aber es ergibt nicht das ganze Bild. Wie hat der Dieb das Auto gefunden? Woher kamen sie? Welchen Weg hat das Auto genommen? Die einzige Möglichkeit, ein vollständiges Bild zu erhalten, besteht darin, alle Elemente zu kombinieren.
Während endpoint am besten geeignet sind, um den ursprünglichen Ort des Einbruchs zu erkennen, sind Netzwerkdaten am besten geeignet, um das Gesamtbild zu sehen und die Punkte zu verbinden. Stellen Sie sich vor, Sie säßen in einem Hubschrauber, der den Autodiebstahl beobachtet, und sähen, wie das Auto sich durch den Verkehr schlängelt, die Straßen entlang und quer durch die Stadt. Wir werden alles sehen, und wir werden genau sehen, wo es endet.
Im Folgenden finden Sie eine Kurzübersicht über die verfügbaren Metadaten und die gemeinsamen Attribute für jeden Metadatenstrom.
Die Jagd ist zeitaufwändig, und es gibt einen Grund, warum die meisten Unternehmen davor zurückschrecken; aus der Sicht eines Managers ist es schwierig, die Zeit eines Analysten zu genehmigen, wenn man kein Ergebnis garantieren kann. Unserer Ansicht nach gibt es zwei Dinge, die in der Regel aus einer erfolgreichen Suche resultieren.
Jeder Analytiker, der Zeit auf einer Jagd verbringt, lernt unweigerlich aus dieser Erfahrung und muss seine Theorie erforschen und testen. Das bedeutet, dass ein neues Thema erforscht wird, während sie sich mit der Vectra AI vertraut machen, was sich in der Zeit niederschlägt, die sie für Untersuchungen aufwenden. Sie werden die Lucene-Syntax kennen, wissen, wie man Daten mit Visualize stapelt und welche Metadatenfelder zur Verfügung stehen.
Durch diese Nachforschungen werden sie auch ihre eigene Umgebung besser verstehen, da jedes Unternehmensnetzwerk über eine Reihe spezifischer Richtlinien und Tools verfügt, die sie verwenden. Wenn man versteht, was normal ist, kann man auch erkennen, was abnormal ist. Je mehr Zeit ein Analyst mit der Suche verbringt, desto mehr versteht er, was sich in Effizienz niederschlägt.
Ein greifbares Ergebnis wird ein benutzerdefiniertes Modell sein, so dass das Wissen und das Verständnis der Umgebung angewandt werden können, um ein maßgeschneidertes benutzerdefiniertes Modell zu erstellen, das für Ihr Unternehmen geeignet ist. Auf diese Weise kann das benutzerdefinierte Modell in Vectra Detect aktiviert werden und in den täglichen Arbeitsablauf der Analysten einfließen, was sowohl die Angriffsabdeckung als auch die Effizienz erhöht.
In der heutigen dynamischen Bedrohungslandschaft ist eine proaktive threat hunting nicht nur vorteilhaft, sondern unerlässlich für die Aufrechterhaltung einer robusten Cybersicherheitsabwehr. Die fortschrittlichen Lösungen vonVectra AI versetzen Sicherheitsteams in die Lage, verborgene Bedrohungen effizient aufzudecken und zu bekämpfen und so die Widerstandsfähigkeit Ihres Unternehmens gegen Cyberangriffe zu verbessern. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihre threat hunting unterstützen und Ihre Sicherheitslage verbessern können.
Threat hunting ist die proaktive Suche nach Cyber-Bedrohungen, die unentdeckt in einem Netzwerk lauern. Im Gegensatz zu herkömmlichen Sicherheitsmaßnahmen, die sich auf Warnmeldungen stützen, wird bei der threat hunting aktiv nach Kompromissindikatoren (Indicators of Compromise, IoCs) gesucht, um bösartige Aktivitäten zu erkennen.
Die Threat hunting ist von entscheidender Bedeutung, da sie Unternehmen hilft, Bedrohungen zu erkennen und zu entschärfen, bevor sie Schaden anrichten. Sicherheitsteams können Angreifern einen Schritt voraus sein, indem sie versteckte malware, anhaltende Bedrohungen und Insider-Bedrohungen aufspüren, die sich herkömmlichen Erkennungsmethoden entziehen.
Eine wirksame threat hunting erfordert eine Kombination aus technischen Fähigkeiten, einschließlich der Kenntnis der Netzwerkarchitektur, der Grundsätze der Cybersicherheit und der neuesten Angriffstechniken, sowie analytische Fähigkeiten, um Daten zu interpretieren und Muster bösartiger Aktivitäten zu erkennen.
Vectra AI erleichtert die threat hunting durch KI-gesteuerte Erkennungsfunktionen, die automatisch Verhaltensweisen identifizieren, die auf hochentwickelte Bedrohungen hinweisen. So können sich die Sicherheitsteams auf die Untersuchung von Risiken mit hoher Priorität konzentrieren und den Prozess der threat hunting rationalisieren.
Zu den gängigen Tools und Technologien, die bei der threat hunting zum Einsatz kommen, gehören SIEM-Systeme (Security Information and Event Management), EDR-Plattformen ( Endpoint Detection and Response), fortschrittliche Analyseverfahren und Threat Intelligence Feeds zur Sammlung und Analyse von Daten aus verschiedenen Quellen.
Unternehmen können eine threat hunting entwickeln, indem sie klare Ziele definieren, ein qualifiziertes threat hunting zusammenstellen, fortschrittliche Sicherheitslösungen wie Vectra AI nutzen und ihre Wissensbasis kontinuierlich mit den neuesten Bedrohungsdaten aktualisieren.
Maschinelles Lernen spielt bei der threat hunting eine zentrale Rolle, da es die Erkennung von Anomalien und Mustern automatisiert, die auf eine Bedrohung hindeuten könnten. So können sich Sicherheitsteams auf eine tiefergehende Analyse und Untersuchung potenzieller Risiken konzentrieren.
Während bestimmte Aspekte der threat hunting automatisiert werden können, z. B. die Datenerfassung und die erste Analyse, erfordert die komplexe Natur der Identifizierung und Interpretation subtiler Indikatoren für eine Gefährdung menschliches Fachwissen und Intuition.
Zu den Herausforderungen gehören der Bedarf an qualifiziertem Personal, die riesigen Datenmengen, die analysiert werden müssen, die Unterscheidung zwischen falsch-positiven und echten Bedrohungen und die ständige Anpassung an die sich entwickelnden Taktiken der Angreifer.
Threat hunting verbessert die allgemeine Sicherheitslage, indem es Schwachstellen und Bedrohungen frühzeitig identifiziert, eine rechtzeitige Schadensbegrenzung ermöglicht, die Angriffsfläche des Unternehmens verringert und die Wirksamkeit bestehender Sicherheitsmaßnahmen erhöht.