Threat Hunting

Geschäftsumgebungen ändern sich ständig, neue Tools werden eingeführt, alte Tools werden entfernt, und diese Konfigurationsänderungen werden vorgenommen, um die Änderungen zu unterstützen, was neue Schwachstellen in die Umgebung bringen kann. Zu den jüngsten Beispielen gehört die F5-Schwachstelle CVE-2020-5902, die sich auf die Traffic Management User Interface (TMUI) von F5 BIG-IP auswirkt. Dieser Port sollte niemals öffentlich zugänglich sein und sollte erfordern, dass sich die Benutzer sicher authentifizieren und zuerst mit dem LAN verbinden, bevor sie darauf zugreifen können. Bei Vectra AI haben wir Fälle gesehen, in denen dies nicht der Fall war und auf die TMUI zugegriffen und diese ausgenutzt wurde.

Im Jahr 2020 kam es aufgrund von COVID-19 zu einer massiven Verlagerung der Fernarbeit und die Betriebsteams mussten sich darum bemühen:

1. Unterstützung dieses neuen Arbeitsumfelds
2. Sicherheit für die Nutzer beim Wechsel vom Büro nach Hause.

Die Unterstützung dieser Art von Umstellung, insbesondere für Unternehmen, die darauf nicht vorbereitet sind, bringt eine Vielzahl von Sicherheitsproblemen mit sich.

Bei einem derartigen Umbruch liegt das Hauptaugenmerk des Unternehmens darauf, sicherzustellen, dass der Betrieb nicht unterbrochen wird, so dass die Sicherheitsteams weniger Einfluss auf die Implementierung haben und eine Lösung unterstützen müssen, die nicht mit Blick auf die Sicherheit entwickelt wurde. Ohne angemessene Aufsicht können Schwachstellen aufgedeckt werden, was Angreifer ausnutzen werden.

Es gibt viele Beispiele dafür, warum die Jagd wichtig ist, und die beiden, die wir im Folgenden erörtern, unterstreichen die Notwendigkeit von Jagdprogrammen.

Lassen Sie uns untersuchen, wie Sicherheitsteams Vectra Detect und Ihre Netzwerk-Metadaten nutzen können, um nach bösartigem Verhalten zu suchen. Auch wenn wir in diesem Dokument auf Vectra Recall verweisen, können die für Vectra Recall beschriebenen Techniken leicht mit Ihren Daten aus Vectra Stream umgesetzt werden.

Warum Threat Hunting wichtig ist

Bei Threat Hunting geht es darum, sich Zeit zu nehmen, um die Eigenheiten des eigenen Netzwerks gründlich zu erforschen.

Das Ziel einer Bedrohungsjagd besteht nicht nur darin, bösartige Akteure in Ihrem Netzwerk zu finden, die von den verhaltensgesteuerten Erkennungsfunktionen von Vectra nicht unbedingt erkannt wurden, oder Vorläuferaktivitäten zu finden. Es geht auch darum, Netzwerkaktivitäten zu finden, die nicht notwendigerweise bösartig sind, aber möglicherweise Ihre Sicherheitsvorkehrungen verletzen oder unnötig unsicher sind. In erster Linie ist die threat hunting eine Lernerfahrung, die Ihnen hilft zu verstehen, was in Ihrem Netzwerk vor sich geht. Dies sollte künftige Untersuchungen vereinfachen, da Sie bereits wissen, was im Netzwerk vor sich geht.

Als Unternehmen möchten Sie vielleicht Ihre Ergebnisse dokumentieren, um das Wissen innerhalb des Unternehmens zu teilen. Vielleicht möchten Sie jede Woche oder jeden Monat eine bestimmte Zeit für die threat hunting im Team reservieren, mit einer Diskussion am Ende, bei der das Team bespricht, was es entdeckt hat und was Sie jetzt über Ihr Unternehmen wissen, was Sie vorher nicht wussten. Es könnte sein, dass es einen Server gibt, der jeden Tag um 1 Uhr nachts eine Vielzahl von Dateien über SMB sichert, oder dass einige Server in einem Rechenzentrum eine Menge Daten für einen legitimen Geschäftszweck über Port 46780 nach außen senden. Diese Erkenntnisse werden in Zukunft Zeit sparen, da Sie bekannte, legitime Anwendungsfälle schnell ausschließen können, um sich auf neue und bedenkliche Fälle zu konzentrieren.

Threat Hunting mit Netzwerk-Metadaten

Aus der Sicht eines Ermittlers gibt es zwei Hauptquellen für Beweise während einer Untersuchung: endpoint und Netzwerkbeweise. Der Unterschied zwischen diesen beiden Quellen lässt sich am besten mit der Analogie des Autodiebstahls beschreiben. Es gibt mehrere Stufen, vom Autodiebstahl über die Spritztour bis hin zum Abschluss, der ein Autounfall sein kann. Am Tatort zu sein ist großartig, aber es ergibt nicht das ganze Bild. Wie hat der Dieb das Auto gefunden? Woher kamen sie? Welchen Weg hat das Auto genommen? Die einzige Möglichkeit, ein vollständiges Bild zu erhalten, besteht darin, alle Elemente zu kombinieren.

Während endpoint am besten geeignet sind, um den ursprünglichen Ort des Einbruchs zu erkennen, sind Netzwerkdaten am besten geeignet, um das Gesamtbild zu sehen und die Punkte zu verbinden. Stellen Sie sich vor, Sie säßen in einem Hubschrauber, der den Autodiebstahl beobachtet, und sähen, wie das Auto sich durch den Verkehr schlängelt, die Straßen entlang und quer durch die Stadt. Wir werden alles sehen, und wir werden genau sehen, wo es endet.

Im Folgenden finden Sie eine Kurzübersicht über die verfügbaren Metadaten und die gemeinsamen Attribute für jeden Metadatenstrom.

Der Wert der Threat Hunting

Die Jagd ist zeitaufwändig, und es gibt einen Grund, warum die meisten Unternehmen davor zurückschrecken; aus der Sicht eines Managers ist es schwierig, die Zeit eines Analysten zu genehmigen, wenn man kein Ergebnis garantieren kann. Unserer Ansicht nach gibt es zwei Dinge, die in der Regel aus einer erfolgreichen Suche resultieren.

1. Wissen

Jeder Analytiker, der Zeit auf einer Jagd verbringt, lernt unweigerlich aus dieser Erfahrung und muss seine Theorie erforschen und testen. Das bedeutet, dass ein neues Thema erforscht wird, während sie sich mit der Vectra AI vertraut machen, was sich in der Zeit niederschlägt, die sie für Untersuchungen aufwenden. Sie werden die Lucene-Syntax kennen, wissen, wie man Daten mit Visualize stapelt und welche Metadatenfelder zur Verfügung stehen.

2. Umwelt Verständnis

Durch diese Nachforschungen werden sie auch ihre eigene Umgebung besser verstehen, da jedes Unternehmensnetzwerk über eine Reihe spezifischer Richtlinien und Tools verfügt, die sie verwenden. Wenn man versteht, was normal ist, kann man auch erkennen, was abnormal ist. Je mehr Zeit ein Analyst mit der Suche verbringt, desto mehr versteht er, was sich in Effizienz niederschlägt.

Ein greifbares Ergebnis wird ein benutzerdefiniertes Modell sein, so dass das Wissen und das Verständnis der Umgebung angewandt werden können, um ein maßgeschneidertes benutzerdefiniertes Modell zu erstellen, das für Ihr Unternehmen geeignet ist. Auf diese Weise kann das benutzerdefinierte Modell in Vectra Detect aktiviert werden und in den täglichen Arbeitsablauf der Analysten einfließen, was sowohl die Angriffsabdeckung als auch die Effizienz erhöht.

In der heutigen dynamischen Bedrohungslandschaft ist eine proaktive threat hunting nicht nur vorteilhaft, sondern unerlässlich für die Aufrechterhaltung einer robusten Cybersicherheitsabwehr. Die fortschrittlichen Lösungen vonVectra AI versetzen Sicherheitsteams in die Lage, verborgene Bedrohungen effizient aufzudecken und zu bekämpfen und so die Widerstandsfähigkeit Ihres Unternehmens gegen Cyberangriffe zu verbessern. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihre threat hunting unterstützen und Ihre Sicherheitslage verbessern können.