Suche

Zusatzversion: Bedrohungsorientierte Angriffsemulation

Zusatzversion: Bedrohungsorientierte Angriffsemulation
Inhaltsübersicht
Example H2
Example H3
Example H4
Example H5
Example H6

Cloud-Sicherheitsoperationen tendieren zu einem Katz-und-Maus-Spiel, was die Sicherheitsteams entsetzt. Threat Informed Defense verändert das Spiel, indem es Cyber-Threat Intelligence (CTI), Tests und Evaluierungen sowie Abwehrmaßnahmen miteinander verbindet. In Kombination ermöglichen diese drei Komponenten Unternehmen, ihren Gegnern kostengünstig und effizient einen Schritt voraus zu sein. Die meisten Organisationen setzen CTI jedoch ein, um ihre Abwehrmaßnahmen zu verbessern, ohne die Effizienz dieser Kombination zu bewerten. Da Tests und Evaluierungen wichtige Aspekte von Threat Informed Defense sind, können Unternehmen, wenn sie sie weglassen, das Potenzial der Threat Informed Defense-Strategie nicht voll ausschöpfen. Die Emulation bedrohungsgesteuerter Angriffe ist eine Funktion, die kürzlich hinzugefügt wurde Emulation von Cloud-Angriffen zur Abwehr um die umfassende Einführung von Threat Informed Defense zu ermöglichen.

Bedrohungsinformierte Abwehr entmystifizieren

Die schiere Komplexität der weitläufigen Cloud-Infrastruktur bietet eine atemberaubende Angriffsfläche, die die besten Anstrengungen eines Teams erfordert, um sie effizient zu zähmen. Sicherheitsteams werden leicht mit unnötigen Warnmeldungen überlastet, lassen sich ablenken oder brennen irgendwann aus. Ein Ansatz zur Lösung dieser Probleme ist die Einführung einer Strategie zur Bedrohungsabwehr.

Threat-Informed Defense ist eine Initiative von GENIALITÄT DER MITRA entwickelt, um die oben genannten Herausforderungen zu bewältigen. Die Initiative stützt sich auf ein tiefes Verständnis und eine umfassende Analyse des Handelns von Angreifern, um die besten Maßnahmen zur Abwehr von Cyberangriffen zu ermitteln. Dieser Ansatz ermöglicht es den Sicherheitsteams, sich auf die relevanteren Bedrohungen zu konzentrieren, anstatt zu versuchen, jedes Sicherheitsproblem zu lösen. Die Fähigkeit der Sicherheitsteams, die wichtigsten Bedrohungen zu identifizieren und sich auf sie zu konzentrieren, ermöglicht eine solide und effiziente Verteidigung.

Bedrohungsinformierte Abwehr ermöglicht eine kontinuierliche Feedback-Schleife (Quelle: GENIALITÄT DER MITRA)

Die Feedback-Schleife

Bedrohungsinformierte Abwehr zielt darauf ab, die Cybersicherheit durch drei grundlegende Säulen zu verbessern: Informationen über Cyberbedrohungen, Tests und Evaluierungen sowie Abwehrmaßnahmen. Diese Säulen bilden zusammen eine Feedback-Schleife, mit der Cyberangriffe effizient abgewehrt werden können. Daher erfordert die richtige Einführung der Bedrohungsinformierten Abwehr eine Positionierung dieser Säulen. Lassen Sie uns jeden von ihnen kurz untersuchen:

Informationen über Cyberbedrohungen: Dies bezieht sich auf Informationen aggregiert, analysiert, interpretiertoder angereichert, um den notwendigen Kontext für Entscheidungsprozesse bereitzustellen. CTI ermöglicht ein globales Verständnis des Verhaltens von Gegnern und ermöglicht so eine kontextuellere Entscheidungsfindung.

Test und Bewertung: Unabhängig von CTI und ergriffenen Abwehrmaßnahmen wird die Wirksamkeit auf Herz und Nieren geprüft durch Sicherheitstests und Evaluierung. Die gegnerische Perspektive ermöglicht es den Verteidigern, zu testen, ob die Verteidigung Angriffe abwehren kann.

Defensive Maßnahmen: Verteidiger nutzen Cybersicherheitstools, um Cyberangriffe zu verhindern, zu erkennen und darauf zu reagieren. Diese Systeme funktionieren auf verschiedene Weise, unter anderem durch die Analyse von Protokollereignissen im Hinblick auf Kompromissindikatoren und die Identifizierung von Bedrohungsakteuren auf der Grundlage der MITRE ATTACK-Framework und CTI.

Beiß so viel du kauen kannst

Die relevantesten Gegner zu identifizieren und sich auf sie zu konzentrieren, kann eine Herausforderung sein, obwohl dies unerlässlich ist. Während Unternehmen die kritischsten Bedrohungen möglicherweise anhand von Sicherheitsübungen wie Übungen am Tisch, Workshops zur Bedrohungsmodellierung und Bedrohungsinformationen identifizieren, ist die Überprüfung der Genauigkeit von Abwehrmaßnahmen eine andere Sache. Neuere Untersuchungen haben ergeben, dass bestimmte Bedrohungsakteure auf bestimmte Branchen abzielen. Daher ist es sinnvoll, die Abwehrmaßnahmen auf diese Bedrohungsakteure zu konzentrieren. Zum Beispiel ist Scattered Spider mehr daran interessiert, Opfer in den Bereichen Telekommunikation, Finanzdienstleistungen, Unterhaltung und Kryptowährung anzugreifen. Daher sollten Unternehmen in diesen Sektoren Maßnahmen ergreifen, um diese Angriffe schnell zu verhindern, zu erkennen oder darauf zu reagieren, indem sie sich auf die Taktiken, Techniken und Verfahren (TTPs) von Scattered Spider konzentrieren.

Angriff ist die beste Verteidigung

Es geht jedoch nicht nur darum, CTI zu integrieren und sich auf die wesentlichen TTPs zu konzentrieren. Kontinuierliches Testen und Validieren sind integrale Aspekte. Testen und Validieren sind notwendig, da Gegner und Umgebungen nicht statisch sind. Die Umgebungsfaktoren sind vorübergehend, sodass die Abwehrmaßnahmen von gestern möglicherweise veraltet sind. Ohne Überprüfung wird ein falsches Sicherheitsgefühl angenommen, was zu einem erfolgreichen Angreifer führt.

MITRE ATT&CK zeigt Taktiken und Techniken, die vom TeamTNT-Bedrohungsakteur verwendet werden

Bedrohungsgesteuerte Angriffsemulation

Die Einführung einer Bedrohungsinformierten Abwehr in der Cloud-Infrastruktur erfordert einen Ansatz, der die drei Säulen der Bedrohungsinformierten Abwehr kombiniert: Informationen über Cyberbedrohungen, Testen/Evaluieren und Abwehrmaßnahmen. Jede Säule ergänzt die andere und ermöglicht es den Verteidigern, Angriffen präzise und kostengünstig einen Schritt voraus zu sein. Während viele Teams die nutzen MITRE ATT&CK-Rahmenwerkwerden sie schnell von der Anzahl der Warnmeldungen überschwemmt und versuchen, Abwehrmaßnahmen zu implementieren, die das gesamte MITRE ATT&CK-Framework abdecken. Obwohl dieser Ansatz aus der Ferne ideal erscheinen mag, führt er zu Burnout und Lücken aufgrund begrenzter Ressourcen, Personalausstattung usw. Der Versuch, eine 100-prozentige Abdeckung des MITRE ATT&CK-Frameworks zu erreichen, ist kein idealer Ansatz. Das Framework umfasst ungefähr 193 Techniken und 401 Untertechniken für die zehn Taktiken.

Kontext ist König

Der Kontext ist in der Cybersicherheit ENTSCHEIDEND, insbesondere für SOC-Teams, die mit der Erkennung und Reaktion auf Bedrohungen beauftragt sind. Das Hinzufügen von Umweltkontexten ist unerlässlich, ABER was noch wichtiger ist, dies zu tun, ist eine Herausforderung. Beispielsweise sind die meisten Erkennungs- und Reaktionssysteme (XDR, CDR usw.) mit sofort einsatzbereiten Erkennungsregeln (OOTB) ausgestattet. Diese OOTB-Regeln bieten einen gewissen Nutzen, allerdings sind Sicherheitsteams stark überlastet von Warnmeldungen, Fehlalarmen, Personalmangel, Burnouts usw. Um diese Herausforderungen zu bewältigen, bedarf es einer Feinabstimmung, d. h. der Hinzufügung des Kontextes. Leider kann Kontext nicht gekauft oder ausgelagert werden. Der Kontext muss kontinuierlich vor Ort erstellt werden, da der Kontext nicht statisch ist.

Nutzung bedrohungsgesteuerter Emulation für den Kontext

Die Emulation bedrohungsorientierter Angriffe zielt darauf ab, genau die spezifischen Bedrohungsakteure einzugrenzen, die für eine effektive Verteidigung relevant und wichtig sind. Auf diese Weise können das Bedrohungsmodell eines Unternehmens, maßgeschneiderte Sicherheitstools, integrierte CTI und andere präzise gegnerische Signale getestet und gegeneinander abgewogen werden, um die Faktoren zu ermitteln, die die praktische Entscheidungsfindung beeinflussen. Aktuelle Forschungen zur Bedrohungslandschaft, z. B. Globaler Bedrohungsbericht 2024 von Crowdstrike, weist darauf hin, dass die Gegner Branchen bevorzugen. Innerhalb dieser Branchen fällt auf, dass Gegner bestimmte TTPs ausführen, die einem bestimmten Muster folgen. Verteidiger und nutzen diese Muster, um starke Abwehrmechanismen zu ermöglichen. Wie bei herkömmlichen Ermittlungen finden die meisten musterbasierten Untersuchungen jedoch nach Sicherheitslücken statt, wenn Ermittlungs- und Forensikexperten hinzugezogen werden, um den Angriff zu untersuchen. Die meisten davon werden aus Gründen der Einhaltung von Vorschriften und Vorschriften in Berichte aufgenommen. Verteidiger können diesen Ansatz umkehren, indem sie sich mithilfe der Emulation bedrohungsgesteuerter Angriffe auf bestimmte Gegner vorbereiten.

Mildernde Angriffsemulation zeigt Angriffe an, die verstreute Spider-TTPs emulieren

Game Changer: Emulation von abwehrenden Cloud-Angriffen

Das Emulation von Cloud-Angriffen zur Abwehr bietet jetzt Unterstützung für Threat-Led Attack Emulation. Derzeit sind drei Bedrohungsakteure enthalten: Verstreute Spinne, Team TNT, und Xcatze, für Angriffsaktionen und Angriffsszenarien. Angriffsaktionen sind atomar und unkompliziert und zielen in der Regel auf eine Cloud-Ressource ab, z. B. das Erstellen eines IAM-Anmeldeprofils oder das Bereitstellen eines privaten S3-Buckets online öffentlich zugänglich. Umgekehrt handelt es sich bei Angriffsszenarien um mehrstufige Angriffe, die zwei oder mehr Angriffsaktionen kombinieren und so für einen solideren Realismus sorgen. Ein Beispiel für ein Angriffsszenario mit Scattered Spider ist S3-Bucket-Ransomware Angriffsszenario.

Arbeitsablauf einer S3-Ransomware-Angriffsemulation

Vorteile der Emulation von Angriffen mit abwehrenden Bedrohungen

Die Einführung der Mitigant Threat-Led Attack Emulation bietet mehrere Vorteile:

Validierung von Abwehrmaßnahmen: Unternehmen können ihre Abwehrmaßnahmen anhand der in ihrer Branche vorherrschenden Bedrohungsakteure validieren. Zum Beispiel der Bedrohungsakteur Verstreute Spinne hat Organisationen der Telekommunikations- und Unterhaltungsbranche bösartig angegriffen. Unternehmen können schnell Emulationen ausführen, die TTPs implementieren, die von bestimmten Bedrohungsakteuren verwendet werden, und die Stärke ihrer Abwehr überprüfen.

Bedrohungsgesteuerte Angriffsemulation Integrierte CTI über Bedrohungsakteure wie Scattered Spider

Validierung von Cyber-Bedrohungsinformationen: Viele Unternehmen abonnieren Threat Intelligence-Plattformen. Diese CTI-Plattformen bieten kuratierte Informationen über Bedrohungsakteure, die in vielerlei Hinsicht hilfreich sein können, einschließlich der Erkennung, Identifizierung, Validierung und Untersuchung potenzieller Sicherheitsbedrohungen. Unternehmen stehen jedoch vor der Herausforderung, den ROI dieser CTI-Plattformen am besten zu validieren und herauszufinden, wie die korrekte Nutzung überprüft werden kann. Die Emulation bedrohungsorientierter Angriffe ermöglicht es Teams, Angriffe gegen eine Reihe von Bedrohungsakteuren auf der Grundlage von CTI zu orchestrieren und dann den Wert der zusätzlichen CTI zu analysieren.

Von Mitigant emulierte Angriffe, die auf AWS Detective angezeigt wurden

Validierung der Sicherheitsbereitschaft: Die Bekämpfung von Bedrohungsakteuren kombiniert Menschen, Prozesse und Technologien. Während sich einige Organisationen auf Technologie konzentrieren, konzentrieren sich andere isoliert auf eine oder mehrere dieser Komponenten. Dieser Ansatz führt oft zu begrenzten Ergebnissen und letztlich zu Sicherheitsverletzungen. Unternehmen können die Mitigant Cloud Attack Emulation nutzen, um die Sicherheitsbereitschaft aller Mitarbeiter, Prozesse und Technologien zu überprüfen.

Richtig eine bedrohungsinformierte Verteidigungsstrategie anwenden

Unser Ziel ist es, SOC-Teams, Erkennungsingenieuren, CTI-Analysten und anderen Sicherheitsteams, die im Kampf gegen Gegner an vorderster Front stehen, einen enormen Mehrwert zu bieten. Die Mitigant Cloud Attack Emulation ermöglicht die Implementierung einer ganzheitlichen Strategie zur Bedrohungsabwehr. Melden Sie sich noch heute für eine KOSTENLOSE einmonatige Testversion an — https://www.mitigant.io/sign-up

Sind Sie bereit, Ihre Cloud-Infrastrukturen zu sichern?
Nehmen Sie noch heute Kontakt mit dem Mitigant Team auf und schützen Sie Ihre Clouds proaktiv.
Demo buchenKostenlose Testversion starten

Similar to what you read

View All News
Mitigant wurde auf dem Startup German Summit als eines der 16 Startups ausgewählt
Press Release
Mitigant wurde auf dem Startup German Summit als eines der 16 Startups ausgewählt
September 18, 2024
Mitigant vertrat stolz das Land Brandenburg auf dem Startup Germany Summit
Read More
Interview mit SafetyDetectives mit Kennedy Torkura
Mitigant in The News
Interview mit SafetyDetectives mit Kennedy Torkura
August 14, 2024
Lesen Sie das SafetyDetectives-Interview mit Kennedy Torkura, CTO und Mitbegründer von Mitigant
Read More
Enhancing threat detection for GenAI workloads with cloud attack emulation
Mitigant in The News
Enhancing threat detection for GenAI workloads with cloud attack emulation
July 29, 2024
Read Help Net Security article featuring Mitigant's Chief Technology Officer, Kennedy Torkura, about cloud GenAI threat detection
Read More

Übernehmen Sie die Kontrolle über Ihre Cloud-Sicherheitslage

Übernehmen Sie in wenigen Minuten die Kontrolle über Ihre Cloud-Sicherheit. Keine Kreditkarte erforderlich.
30-Tage kostenlos testen