Threat Detection Framework – I dagens värld av ökande komplexitet och lukrativ cyberbrottslighet kan du bara vara säker på en sak: du kommer att bli hackad – och din exponering växer. Läs vidare för att upptäcka ramverken för att skydda ditt företag mot cyberhot – även i dagens värld.
Signaturbaserad prevention är av begränsat värde
I takt med mognande säkerhetsmedvetenhet inser verksamheter snabbt att förebyggande system helt enkelt inte räcker för att hantera dagens IT-säkerhetsrisker. Många traditionella förebyggande säkerhetssystem som IPS (Intrusion Prevention Systems) och Anti-malware fungerar genom spärrlistor med signaturer av skadlig trafik och skadliga filer. Det finns en grundläggande svaghet hos ett sådant tillvägagångssätt eftersom signaturen måste matcha det specifika hotet. En motståndare behöver bara variera beteendet hos sina verktyg en aning för att förbli obemärkt och skapandet av sådana variationer kan automatiseras.
Heuristisk förebyggande analys kan vilseledas
Moderna leverantörer av klientsäkerhetslösningar har gått över till heuristisk analys, som uppges kunna förhindra ännu okända hot. Tyvärr har motståndarna anpassat sig och börjat förlita sig på att missbruka legitima verktyg som är inbyggda i det moderna operativsystemet. Därigenom är det svårt att skilja mellan legitimt systembeteende och en motståndare som letar efter värdefull data. Att försöka få tillförlitlig hotidentifiering blir således nästan omöjligt, åtminstone utan ett stort antal falsklarm.
Så, hur kan du skydda din verksamhet mot cyberhot?
Ska du göra dig av med din Anti-malware lösning? Absolut inte. Kommer den att misslyckas med att upptäcka skadlig programvara som kan leda till ett större dataintrång? Det är bara en tidsfråga.
För att upptäcka de hot som kringgår dina system för förebyggande prevention, bör organisationen arbeta för att samla in relevant information och inrätta ett robust program för att upptäcka och reagera på hot (Threat detection and response program).
Upprätta uthållig IT-säkerhet: SIEM
När ökande resurser används på de olika säkerhetslösningarna ökar mängden data som måste lagras och analyseras dramatiskt. Genererad data skickas vanligtvis till ett dedikerat centralt loggningssystem, såsom ett SIEM (Security information and event management system) eller andra logghanteringslösningar för lagring under lång tid.
Medan SIEM-lösningar används i stor utsträckning av verksamheter läggs ofta väldigt lite ansträngningar på lösningarnas underhåll och de bidrar då inte så mycket till en högre övergripande IT-säkerhet. I Conscia ser vi ofta att SIEM-projekt slutar efter att några få loggkällor har integrerats, vilket i praktiken omvandlar SIEM-lösningar till dyra logghanteringsverktyg.
IT-säkerhetsfrågorna du behöver ställa
Även om det är ganska enkelt att kasta in data i SIEM, kan det vara en verklig utmaning att utnyttja insamlade data för att upptäcka eventuella hot i vår miljö. Tyvärr finns det inte ett universellt recept om hur man ställer in SIEM optimalt, och allt handlar om företagsrisker, industri, teknik, affärsprocesser och andra specifika omständigheter. När man försöker etablera detektionsprogrammet bör två frågor ställas:
- Vilka hot vill jag upptäcka?
- Vilken typ av data behöver jag för att upptäcka dem?
Känn din fiende: MITRE ATT&CK-ramverket
För att besvara den första frågan måste vi först förstå hur en motståndare fungerar, hur de får fotfäste i ett av verksamhetens system och vad de gör efter att ha kommit in.
På senare tid har MITRE [1] ATT&CK-ramverket fått mycket uppmärksamhet från IT-säkerhetsproffs, eftersom det försöker kombinera kunskapen om alla kända taktiker, tekniker och procedurer (TTP) som använts av motståndarna i tusentals säkerhetsbrott. För varje observerad teknik berättar ATT&CK dessutom hur den (miss)brukades och till och med hur man upptäcker den i vår egen miljö. Fantastiskt, eller hur? Nja, så lätt är det inte riktigt…
266 sätt att attackera dig – i allmänhet
I skrivande stund finns det 266 olika allmänna attacktekniker inom ATT&CK-ramverket. Dessutom är några av dem verkligen breda och kräver dussintals SIEM- eller liknande detektionsregler för att framgångsrikt upptäcka alla variationer som används av motståndaren. Dessutom ger ATT&CK-ramverket dig inte den faktiska detektionslogiken utan snarare en mycket allmän riktlinje.
Flera IT-säkerhetsexperter krävs
För att komma med en praktisk detektionsregel krävs flera team av experter med specifik kunskap:
- Först utvecklar ett penetrationstest-team ett test som missbrukar tekniken.
- Därefter måste lämplig information samlas in och analyseras från våra händelsekällor.
- Därefter måste IT-forensiker undersöka insamlade data och definiera detektionslogiken som genererar ett minimalt antal falsklarm, medan den fortfarande är tillförlitlig nog för att upptäcka motståndarens aktivitet.
- Resultaten överförs sedan till en SIEM-tekniker som kommer att anpassa och implementera detektionslogiken i ett SIEM-system.
Borde du börja arbeta med att undersöka och implementera alla de 266 tekniker som sannolikt kommer att resultera i över 500 detektionsregler? Självklart inte. Vissa av teknikerna kanske inte är relevanta för din miljö, vissa av dem används sällan, vissa av dem har du redan motverkat och vissa av dem är nästan omöjliga att upptäcka på ett tillförlitligt sätt. Av dessa skäl är prioritering av tekniker en nyckel till framgång.
Conscia Security Operations Center – SOC
I Conscia Security Operations Center (SOC) har vi ett dedikerat team av IT-säkerhetsexperter som forskar på tekniker från ATT&CK-ramverket. Resultatet är deras forskning är vår optimerade uppsättning av detektionsregler, som går långt utöver de upptäcktsregler som för närvarande finns tillgängliga i branschen och som ger dig en betydligt högre detektionsförmåga än vad de flesta organisationer kan utveckla internt.
Threat Detection Framework – ett ramverk för hotidentifiering
Våra detektionsregler är noggrant utvecklade för att upptäcka även de mest avancerade attackerna och samlade i ett centralt förvar som kallas Conscia Threat Detection Framework (TDF). Detta ramverk för hotidentifiering fungerar som en enhetlig kunskapsbas som innehåller detektionslogik, nödvändiga datakällor och tester med motståndarlag (Red teaming) för att leverera bästa möjliga implementation av detekteringsfunktioner. Vår TDF används också som ett visuellt hjälpmedel för våra SOC-kunder för att hålla reda på deras nuvarande skydd mot olika tekniker, baserat på tillgängliga kundsensorer.
Threat Detection Framework för säkerhetsutvärdering
På Conscia använder vi också vår Threat Detection Framework vid bedömning av SOC-kunder – för att värdera säkerhetsvisibiliteten en potentiell kund för närvarande har i sin miljö. Genom att objektivt utvärdera kundens detektionsförmåga kan vi enkelt föreslå lämpliga förbättringar som förbättrar kundens detektionsfunktioner, samtidigt som vi kan erbjuda den bäst anpassade Conscia SOC-tjänsten.
Idag är cybersäkerhet en elitsport – en där tvåan inte vinner något. Liksom alla elitsporter är det inte något du bör ge dig på utan betydande hjälp. Prova vår. Ladda ned vår SOC-guide!
Kontakta oss – våra experter hjälper dig gärna!
_