Emulation und Technik zur Erkennung von Cloud-Angriffen: Eine himmlische Kombination
Cloud Attack Emulation and Detection Engineering revolutionieren die Art und Weise, wie wir Cyberbedrohungen in Cloud-Infrastrukturen bekämpfen. Diese Synergie ist für moderne Sicherheitsteams unerlässlich und kann mit der Kunst des Schwertschmiedens vergleichbar sein. Die ausgewogene Kombination aus Hitze, Manipulation und geeigneten Materialien ergibt ein Meisterschwert, eine beeindruckende Waffe, die von erfahrenen Kriegern eingesetzt wird, um Gegner zu besiegen.
Dieser Artikel bietet einen Überblick über Emulation von Cloud-Angriffen und wie es eingesetzt werden kann, um die Fähigkeiten der Erkennungstechnik zu verbessern. Die entscheidende Rolle der Erkennungstechnik wird anhand praktischer Beispiele demonstriert: Erkennungslücken aufgrund von Änderungen der AWS-API und der Hinzufügung neuer MITRE ATT&CK-Techniken werden identifiziert. Darüber hinaus werden Schritte zur Integration der Angriffsemulation in den Detection Engineering-Lebenszyklus beschrieben. Verweise auf etablierte Sicherheitsorganisationen, die diese Ansätze verwenden: GitLab, Snowflake und Palantir.
Cloud-Angriffsemulation — Eine Einführung
Die dynamische Natur der Cloud stellt einzigartige Herausforderungen dar, und statische, traditionelle Abwehrmechanismen haben ständig Schwierigkeiten, diese Herausforderungen zu bewältigen. Die Angriffsemulation (auch als Gegner-Emulation bezeichnet) begegnet diesen Herausforderungen, indem sie proaktive, kontinuierliche Testmöglichkeiten bietet, die auf die MITRE ATT&CK-Rahmenwerk.
Emulation von Cloud-Angriffen ist der Prozess, bei dem Taktiken, Techniken und Verfahren (TTPs) realer Angriffe auf kontrollierte Cloud-Infrastrukturen nachgeahmt werden, damit Unternehmen ihre tatsächliche Cloud-Sicherheitslage empirisch bewerten können.
Die Emulation von Cloud-Angriffen kann Fehler minimieren und die Ermüdung von Warnmeldungen minimieren, indem Cyberangriffe, die für echtes Verhalten von Angreifern typisch sind, sicher emuliert werden. Das emulierte Verhalten der Angreifer, das in der Regel als Sicherheitsereignisse erfasst wird, bietet die Möglichkeit, Sicherheitslücken aufzudecken, die sonst unbemerkt bleiben würden, bis es zu spät ist. Sicherheitsteams können die Emulation von Cloud-Angriffen nutzen, um eine Bedrohungsinformierte Verteidigungsstrategie.
Im Gegensatz zu herkömmlichen Umgebungen ist die Cloud-Angriffsfläche groß und schwer abzuwehren. Angreifer kennen diese Schwierigkeit und entwickeln ständig kreative Techniken weiter, um Abwehrmechanismen erfolgreich zu durchbrechen. Regelmäßige Sicherheitsbewertungsansätze wie Penetrationstests und herkömmliche Rot/Violett-Teaming-Operationen, die ein- oder zweimal im Jahr durchgeführt werden, sind unzureichend, da sie enorme Angriffsmöglichkeiten bieten. Umgekehrt müssen die Verteidiger von einem Verstoß ausgehen
und entwickeln Sicherheitsansätze mit einem häufigeren, sichereren und effizienteren Bewertungsrhythmus weiter. Die Emulation von Cloud-Angriffen hat diese Eigenschaften und demokratisiert mehrere Sicherheitsfunktionen, sodass durchschnittliche Sicherheitsingenieure mehrere Aufgaben ausführen können.
Erkennungstechnik - Digitale Schwertschmiedekunst
Detection Engineering ist ein Aspekt der Cybersicherheit, der sich auf die Entwicklung, Feinabstimmung und Wartung von Systemen konzentriert, mit denen Unternehmen potenzielle Sicherheitsbedrohungen, Sicherheitslücken und böswillige/verdächtige Aktivitäten erkennen und darauf aufmerksam machen können. Aufgrund der dynamischen Bedrohungslandschaft müssen Unternehmen ihre Sicherheitstools kontinuierlich anpassen, um Angriffen immer einen Schritt voraus zu sein. Die Erkennungstechnik ist relativ neues Feld, das in den letzten 2 - 3 erschienen ist Jahre, in denen Unternehmen zunehmend die Notwendigkeit erkannten, eine Erkennungslogik zu entwickeln, die gegnerische Muster und Aktivitäten schnell identifiziert.
Erkennungsingenieure sind die Architekten hinter den Kulissen und entwickeln die Regeln und Systeme, die bösartige Aktivitäten ausfindig machen. Aber ohne einen richtigen testbasierten Ansatz können selbst die am besten konzipierten Erkennungsstrategien von Angreifern umgangen werden. An dieser Stelle kommt die Angriffsemulation ins Spiel und bietet reale Sicherheitstestfunktionen, die auf die sich entwickelnde Bedrohungslandschaft abgestimmt sind. Die Entwicklungsteams für die Erkennung bieten verschiedene Funktionen, darunter die folgenden:
Regel- und Algorithmusentwicklung
Erkennungstechniker entwickeln und verfeinern Sicherheitsregeln und Algorithmen, die die Erkennungsfunktionen von Sicherheitsüberwachungssystemen, einschließlich Cloud Detection and Response (CDR) und Extended Detection and Response (XDR), unterstützen. Die Optimierung dieser Sicherheitssysteme erfordert ein tiefes Verständnis der sich entwickelnden Natur von Cyberbedrohungen und eine entsprechende Anpassung der Erkennungsmechanismen.
Erkennungstechniker sollten in der Lage sein, in Situationen einzugreifen, in denen Sicherheitsüberwachungssystemen wichtige Erkennungsregeln oder -funktionen fehlen. In solchen Szenarien können Erkennungstechniker die erforderlichen Erkennungsregeln implementieren, anstatt gefährlich auf die Lösungen der Anbieter zu warten. Beispielsweise wurde AWS im November letzten Jahres gestartet Unterstützung des Batch-Abrufs von Geheimnissen. Dieses Update ermöglicht mehrere (1 bis n) vom AWS Secret Manager gespeicherte Geheimnisse, die mit einem einzigen Anruf abgerufen werden können.
Zweifellos macht dies Entwicklern und anderen das Leben leichter, da die iterativen Aufrufe zum Abgreifen von Geheimnissen nicht mehr erforderlich sind. Angesichts des kreativen Charakters der Gegner könnte diese Funktion jedoch aus böswilligen Gründen missbraucht werden. Erkennungsingenieure können effektive Gegenmaßnahmen ermöglichen, indem sie die entsprechenden Erkennungsregeln aktualisieren, um missbräuchliche Ereignisse zu erkennen, indem sie Folgendes hinzufügen BatchGetSecretValue. Dieses Update ist einfach für offene Erkennungsregel-Engines geeignet, z. B. Sigma-Regeln und Elastische Sicherheitsregeln. Im Wesentlichen kann die Abfrage nach den Elastic-Sicherheitsregeln um Folgendes erweitert werden event.action: BatchGetSecretValue
.
Identifizierung von Bedrohungen
Bei der Identifizierung von Bedrohungen geht es darum, die Bedrohungen zu verstehen, denen ein Unternehmen ausgesetzt sein könnte. Erkennungsingenieure analysieren Muster und Verhaltensweisen vergangener Cyberangriffe und Sicherheitsereignisse, um Indicators of Compromise (IOCs) zu identifizieren und Methoden zu entwickeln, mit denen ähnliche Bedrohungen in Zukunft erkannt werden können. Diese zeitnahen Erkennungsaktualisierungen könnten ein Lebensretter sein, der einen potenziell erfolgreichen Cyberangriff erkennt und verhindert.
Überwachung der Sicherheit
Das Detection Engineering umfasst die Einrichtung und Wartung von Sicherheitssystemen (z. B. XDRs, CDRs), die den Netzwerkverkehr, Systemprotokolle und andere Datenquellen kontinuierlich auf Anzeichen verdächtiger/bösartiger Aktivitäten überwachen. Diese Überwachung erfolgt häufig in Echtzeit, um eine schnelle Erkennung potenzieller Bedrohungen sicherzustellen.
Warnsysteme
Ein Teil der Erkennungstechnik besteht darin, Warnsysteme zu entwickeln, die Sicherheitsteams über potenzielle Bedrohungen informieren. Sicherheitsteams müssen diese Warnsysteme so einstellen, dass Fehlalarme (gutartige Aktivitäten, die fälschlicherweise als Bedrohungen gekennzeichnet werden) und Falschmeldungen (tatsächlich unentdeckte Bedrohungen) auf ein Minimum reduziert werden. Erkennungstechniker sind häufig an der Optimierung beteiligt.
Datenanalyse
Erkennungstechniker verwenden verschiedene Tools und Techniken, um die von Überwachungssystemen gesammelten Daten zu analysieren. Diese Analyse ist entscheidend für die Unterscheidung zwischen normalen und potenziell böswilligen Aktivitäten.
Verbesserung der Reaktion auf Vorfälle
Die technischen Bemühungen zur Erkennung sind eng mit den Strategien einer Organisation zur Reaktion auf Vorfälle verknüpft. Daher arbeiten die Erkennungstechniker mit anderen Mitgliedern des Security Operations Center (SOC) zusammen, um eine effiziente Reaktion auf Vorfälle zu gewährleisten und gleichzeitig die Auswirkungen auf den Geschäftsbetrieb zu reduzieren.
Integration der Angriffsemulation in den Lebenszyklus der Erkennungsentwicklung
Der Lebenszyklus der Erkennungsentwicklung ist ein klar definierter Prozess für die Planung, Erstellung und Wartung von Bedrohungserkennungen. Sicherheitsteams können den Entwicklungszyklus der Erkennung nutzen, um über einen Prozess zur Bewertung und kontinuierlichen Erkennung von Bedrohungen zu verfügen. Die Angriffsemulation spielt bei der Erkennungstechnik eine entscheidende Rolle. Diese Rolle lässt sich anhand der folgenden Informationen nachvollziehen Der Entwicklungszyklus für die Erkennung von Snowflake.
Der Entwicklungszyklus von Snowflake für die Erkennung ist in sechs Phasen unterteilt: Anforderungserfassung, Design, Entwicklung, Testen und Bereitstellen, Überwachung und kontinuierliches Testen.
Erfassung der Anforderungen
Diese Phase ist der Ausgangspunkt für die meisten Erkennungen, die entwickelt werden würden. Daher ist es unerlässlich, Informationen aus verschiedenen Quellen zu sammeln, darunter SOC-Teams, Produkt- und Unternehmenssicherheit, Bedrohungsinformationen, Reaktion auf Vorfälle, Leseteams und das interne Detection-Engineering-Team. Aufgrund der zunehmenden Akzeptanz der Angriffsemulation als proaktiverer Ansatz zur offensiven Sicherheit und Sicherheitsvalidierung sammelten mehrere Teams Informationen aus Angriffsemulationsübungen.
Entwerfen
Die Entwurfsphase ist entscheidend; gut konzipierte Erkennungen wären weniger kostspielig und könnten potenziell wertvoller werden. Die Snowflake-Sicherheitsteams nutzen die Palantir-Alarmierungs- und Erkennungsstrategie (ADS) Framework zur Rationalisierung des Erkennungsentwurfsprozesses. Der Rahmen ist das Ergebnis mehrerer Bemühungen, effiziente Erkennungsmethoden zu entwickeln, bei denen falsch positive und negative Ergebnisse berücksichtigt werden. Im Mittelpunkt des ADS-Frameworks steht der Validierungsprozess, der darauf abzielt, ein wirklich positives Ereignis darzustellen, das die Warnung auslöst. Ein Angriffsemulationssystem führt den Validierungsprozess durch, um ein realistisches Ereignis auszulösen.
Entwicklung
Das Erkennungsdesign wird während der Entwicklungsphase unter Verwendung mehrerer standardisierter Ansätze implementiert. Ein beliebter Ansatz ist die Verwendung von Sigma-Regeln als grundlegende Vorlagen. Die Sigma-Regeln bieten ein Standardformat, das mit Cybersicherheitsprodukten erstellt und in verschiedene interne Formate übersetzt werden kann, z. B. Elastische Sicherheitsregeln.
Testen und Bereitstellen
Ähnlich wie bei der herkömmlichen Softwareentwicklung sind Tests in der Erkennungstechnik unerlässlich. Es schließt die Risiken von Annahmen aus, indem es die Ermittlung der erwarteten Erkennungsergebnisse ermöglicht. Die Erkennungsregeln können auf Effizienz und Genauigkeit getestet werden, einschließlich der Konformität mit den MITRE ATT&CK-Techniken und definierten Akzeptanzkriterien.
Erkennungsregeln werden getestet gegen historische oder Echtzeit-Protokollereignisse. Während historische Ereignisse oft einfacher zu testen sind, da sie aus vorhandenen Protokollquellen abgerufen werden können, erfordern Protokollereignisse in Echtzeit häufig Angriffsemulationssysteme. Protokollereignisse in Echtzeit bieten jedoch höhere Genauigkeitsgarantien, insbesondere für Cloud-Infrastrukturen, da sich APIs, Cloud-Dienste usw. schnell ändern. Erkennungsingenieure und Mitarbeiter des Rettungsteams können die Emulation von Cloud-Angriffen zur Abwehr Plattform zur schnellen Generierung geeigneter Ereignisprotokolle zum schnellen Testen von Erkennungen.
Überwachung
Die eingesetzte Erkennungslogik erfordert eine Überwachung zur Erkennung von Fehlern, Lücken usw., die die Erkennungsingenieure aktualisieren müssen. Die Aktualisierungsaufgaben sind unerlässlich und reibungslose Unterstützungsprozesse sind erforderlich, z. B. mithilfe eines Code-Repositorys (Erkennung als Code). Jedes Mitglied des Sicherheitsteams kann diese Probleme reaktiv identifizieren. Die Einführung eines Angriffsemulationsprozesses ermöglicht jedoch einen proaktiven und garantierten Ansatz, um Abweichungen von den erwarteten Erkennungen zu erkennen.
Sehen wir uns ein praktisches Beispiel an, das die Bedeutung der Überwachung verdeutlicht. GEHRUNG BEI &CK Version 14 wurde veröffentlicht im Oktober 2023, darunter vier neue Techniken für die IaaS Cloud Matrix: Abuse Elevation Control Mechanism: Temporärer erhöhter Cloud-Zugang, Anmeldeinformationen aus Passwortspeichern: Cloud Secrets Management, und Aufzählung protokollieren. Das Hinzufügen dieser neuen Techniken zu einem Erkennungssystem ist unerlässlich, um Gegner mithilfe dieser Techniken zu erkennen. Die sehr beeindruckende Reaktion auf meine LinkedIn und Twitter (X) Beiträge über diese neuen Techniken sind ein Beweis dafür, wie wichtig es ist, diese Updates zu implementieren.
Kontinuierliches Testen
Die meisten Erkennungsteams arbeiten direkt oder indirekt mit anderen Teams von Sicherheitsorganisationen zusammen, um die Wirksamkeit der eingesetzten Erkennungen kontinuierlich zu testen. Rote Teams werden häufig eingesetzt, um Feedback zu den Präventions-, Detektiv- und Wiederherstellungsmaßnahmen zu geben. Diese Aktivitäten bieten Lernmöglichkeiten, um die Leistung von Erkennungen zu verstehen und verschiedene Kennzahlen kontinuierlich zu verbessern, darunter Reichweite, Genauigkeit, Qualität usw. In diesen Teams wird die Angriffsemulation zu einem bevorzugten Ansatz für die schnelle Ausführung von Angriffsszenarien, die die tatsächliche Sicherheitslage eines Unternehmens validieren. Zum Beispiel das GitLab-Sicherheitsteam oderUns-Angriffsemulationen als Teil von Teamoperationen in Rot/Violett um den Gegnern einen Schritt voraus zu sein.
Optimierte Erkennungstechnik mit einer Plattform zur Emulation abwehrender Cloud-Angriffe
Die Emulation von Cloud-Angriffen ermöglicht es Unternehmen, eine Bedrohungsinformierte Verteidigung Strategie. Aufgrund des raschen Fortschritts im Bereich des Handelns von Angreifern und der herausfordernden Einzigartigkeit der Cloud-Infrastruktur wurde jedoch eine Technik zur Erkennung entwickelt, die eine schnellere Identifizierung und Eliminierung von Gegnern ermöglicht. Die Integration der Emulation von Cloud-Angriffen in den Entwicklungszyklus der Erkennung kann die Möglichkeiten der Erkennungstechnik erheblich verbessern. Die Plattform zur Emulation von Cloud-Angriffen bietet einen benutzerfreundlichen, agentenlosen Ansatz, der es Teams jeder Größe ermöglicht, ihre technischen Fähigkeiten im Bereich der Erkennung zu verbessern. Melden Sie sich noch heute für eine kostenlose Testversion an - https://www.mitigant.io/sign-up