Zusatzversion: Bedrohungsorientierte Angriffsemulation
Cloud-Sicherheitsoperationen tendieren zu einem Katz-und-Maus-Spiel, was die Sicherheitsteams entsetzt. Threat Informed Defense verändert das Spiel, indem es Cyber-Threat Intelligence (CTI), Tests und Evaluierungen sowie Abwehrmaßnahmen miteinander verbindet. In Kombination ermöglichen diese drei Komponenten Unternehmen, ihren Gegnern kostengünstig und effizient einen Schritt voraus zu sein. Die meisten Organisationen setzen CTI jedoch ein, um ihre Abwehrmaßnahmen zu verbessern, ohne die Effizienz dieser Kombination zu bewerten. Da Tests und Evaluierungen wichtige Aspekte von Threat Informed Defense sind, können Unternehmen, wenn sie sie weglassen, das Potenzial der Threat Informed Defense-Strategie nicht voll ausschöpfen. Die Emulation bedrohungsgesteuerter Angriffe ist eine Funktion, die kürzlich hinzugefügt wurde Emulation von Cloud-Angriffen zur Abwehr um die umfassende Einführung von Threat Informed Defense zu ermöglichen.
Bedrohungsinformierte Abwehr entmystifizieren
Die schiere Komplexität der weitläufigen Cloud-Infrastruktur bietet eine atemberaubende Angriffsfläche, die die besten Anstrengungen eines Teams erfordert, um sie effizient zu zähmen. Sicherheitsteams werden leicht mit unnötigen Warnmeldungen überlastet, lassen sich ablenken oder brennen irgendwann aus. Ein Ansatz zur Lösung dieser Probleme ist die Einführung einer Strategie zur Bedrohungsabwehr.
Threat-Informed Defense ist eine Initiative von GENIALITÄT DER MITRA entwickelt, um die oben genannten Herausforderungen zu bewältigen. Die Initiative stützt sich auf ein tiefes Verständnis und eine umfassende Analyse des Handelns von Angreifern, um die besten Maßnahmen zur Abwehr von Cyberangriffen zu ermitteln. Dieser Ansatz ermöglicht es den Sicherheitsteams, sich auf die relevanteren Bedrohungen zu konzentrieren, anstatt zu versuchen, jedes Sicherheitsproblem zu lösen. Die Fähigkeit der Sicherheitsteams, die wichtigsten Bedrohungen zu identifizieren und sich auf sie zu konzentrieren, ermöglicht eine solide und effiziente Verteidigung.
Die Feedback-Schleife
Bedrohungsinformierte Abwehr zielt darauf ab, die Cybersicherheit durch drei grundlegende Säulen zu verbessern: Informationen über Cyberbedrohungen, Tests und Evaluierungen sowie Abwehrmaßnahmen. Diese Säulen bilden zusammen eine Feedback-Schleife, mit der Cyberangriffe effizient abgewehrt werden können. Daher erfordert die richtige Einführung der Bedrohungsinformierten Abwehr eine Positionierung dieser Säulen. Lassen Sie uns jeden von ihnen kurz untersuchen:
Informationen über Cyberbedrohungen: Dies bezieht sich auf Informationen aggregiert, analysiert, interpretiertoder angereichert, um den notwendigen Kontext für Entscheidungsprozesse bereitzustellen. CTI ermöglicht ein globales Verständnis des Verhaltens von Gegnern und ermöglicht so eine kontextuellere Entscheidungsfindung.
Test und Bewertung: Unabhängig von CTI und ergriffenen Abwehrmaßnahmen wird die Wirksamkeit auf Herz und Nieren geprüft durch Sicherheitstests und Evaluierung. Die gegnerische Perspektive ermöglicht es den Verteidigern, zu testen, ob die Verteidigung Angriffe abwehren kann.
Defensive Maßnahmen: Verteidiger nutzen Cybersicherheitstools, um Cyberangriffe zu verhindern, zu erkennen und darauf zu reagieren. Diese Systeme funktionieren auf verschiedene Weise, unter anderem durch die Analyse von Protokollereignissen im Hinblick auf Kompromissindikatoren und die Identifizierung von Bedrohungsakteuren auf der Grundlage der MITRE ATTACK-Framework und CTI.
Beiß so viel du kauen kannst
Die relevantesten Gegner zu identifizieren und sich auf sie zu konzentrieren, kann eine Herausforderung sein, obwohl dies unerlässlich ist. Während Unternehmen die kritischsten Bedrohungen möglicherweise anhand von Sicherheitsübungen wie Übungen am Tisch, Workshops zur Bedrohungsmodellierung und Bedrohungsinformationen identifizieren, ist die Überprüfung der Genauigkeit von Abwehrmaßnahmen eine andere Sache. Neuere Untersuchungen haben ergeben, dass bestimmte Bedrohungsakteure auf bestimmte Branchen abzielen. Daher ist es sinnvoll, die Abwehrmaßnahmen auf diese Bedrohungsakteure zu konzentrieren. Zum Beispiel ist Scattered Spider mehr daran interessiert, Opfer in den Bereichen Telekommunikation, Finanzdienstleistungen, Unterhaltung und Kryptowährung anzugreifen. Daher sollten Unternehmen in diesen Sektoren Maßnahmen ergreifen, um diese Angriffe schnell zu verhindern, zu erkennen oder darauf zu reagieren, indem sie sich auf die Taktiken, Techniken und Verfahren (TTPs) von Scattered Spider konzentrieren.
Angriff ist die beste Verteidigung
Es geht jedoch nicht nur darum, CTI zu integrieren und sich auf die wesentlichen TTPs zu konzentrieren. Kontinuierliches Testen und Validieren sind integrale Aspekte. Testen und Validieren sind notwendig, da Gegner und Umgebungen nicht statisch sind. Die Umgebungsfaktoren sind vorübergehend, sodass die Abwehrmaßnahmen von gestern möglicherweise veraltet sind. Ohne Überprüfung wird ein falsches Sicherheitsgefühl angenommen, was zu einem erfolgreichen Angreifer führt.
Bedrohungsgesteuerte Angriffsemulation
Die Einführung einer Bedrohungsinformierten Abwehr in der Cloud-Infrastruktur erfordert einen Ansatz, der die drei Säulen der Bedrohungsinformierten Abwehr kombiniert: Informationen über Cyberbedrohungen, Testen/Evaluieren und Abwehrmaßnahmen. Jede Säule ergänzt die andere und ermöglicht es den Verteidigern, Angriffen präzise und kostengünstig einen Schritt voraus zu sein. Während viele Teams die nutzen MITRE ATT&CK-Rahmenwerkwerden sie schnell von der Anzahl der Warnmeldungen überschwemmt und versuchen, Abwehrmaßnahmen zu implementieren, die das gesamte MITRE ATT&CK-Framework abdecken. Obwohl dieser Ansatz aus der Ferne ideal erscheinen mag, führt er zu Burnout und Lücken aufgrund begrenzter Ressourcen, Personalausstattung usw. Der Versuch, eine 100-prozentige Abdeckung des MITRE ATT&CK-Frameworks zu erreichen, ist kein idealer Ansatz. Das Framework umfasst ungefähr 193 Techniken und 401 Untertechniken für die zehn Taktiken.
Kontext ist König
Der Kontext ist in der Cybersicherheit ENTSCHEIDEND, insbesondere für SOC-Teams, die mit der Erkennung und Reaktion auf Bedrohungen beauftragt sind. Das Hinzufügen von Umweltkontexten ist unerlässlich, ABER was noch wichtiger ist, dies zu tun, ist eine Herausforderung. Beispielsweise sind die meisten Erkennungs- und Reaktionssysteme (XDR, CDR usw.) mit sofort einsatzbereiten Erkennungsregeln (OOTB) ausgestattet. Diese OOTB-Regeln bieten einen gewissen Nutzen, allerdings sind Sicherheitsteams stark überlastet von Warnmeldungen, Fehlalarmen, Personalmangel, Burnouts usw. Um diese Herausforderungen zu bewältigen, bedarf es einer Feinabstimmung, d. h. der Hinzufügung des Kontextes. Leider kann Kontext nicht gekauft oder ausgelagert werden. Der Kontext muss kontinuierlich vor Ort erstellt werden, da der Kontext nicht statisch ist.
Nutzung bedrohungsgesteuerter Emulation für den Kontext
Die Emulation bedrohungsorientierter Angriffe zielt darauf ab, genau die spezifischen Bedrohungsakteure einzugrenzen, die für eine effektive Verteidigung relevant und wichtig sind. Auf diese Weise können das Bedrohungsmodell eines Unternehmens, maßgeschneiderte Sicherheitstools, integrierte CTI und andere präzise gegnerische Signale getestet und gegeneinander abgewogen werden, um die Faktoren zu ermitteln, die die praktische Entscheidungsfindung beeinflussen. Aktuelle Forschungen zur Bedrohungslandschaft, z. B. Globaler Bedrohungsbericht 2024 von Crowdstrike, weist darauf hin, dass die Gegner Branchen bevorzugen. Innerhalb dieser Branchen fällt auf, dass Gegner bestimmte TTPs ausführen, die einem bestimmten Muster folgen. Verteidiger und nutzen diese Muster, um starke Abwehrmechanismen zu ermöglichen. Wie bei herkömmlichen Ermittlungen finden die meisten musterbasierten Untersuchungen jedoch nach Sicherheitslücken statt, wenn Ermittlungs- und Forensikexperten hinzugezogen werden, um den Angriff zu untersuchen. Die meisten davon werden aus Gründen der Einhaltung von Vorschriften und Vorschriften in Berichte aufgenommen. Verteidiger können diesen Ansatz umkehren, indem sie sich mithilfe der Emulation bedrohungsgesteuerter Angriffe auf bestimmte Gegner vorbereiten.
Game Changer: Emulation von abwehrenden Cloud-Angriffen
Das Emulation von Cloud-Angriffen zur Abwehr bietet jetzt Unterstützung für Threat-Led Attack Emulation. Derzeit sind drei Bedrohungsakteure enthalten: Verstreute Spinne, Team TNT, und Xcatze, für Angriffsaktionen und Angriffsszenarien. Angriffsaktionen sind atomar und unkompliziert und zielen in der Regel auf eine Cloud-Ressource ab, z. B. das Erstellen eines IAM-Anmeldeprofils oder das Bereitstellen eines privaten S3-Buckets online öffentlich zugänglich. Umgekehrt handelt es sich bei Angriffsszenarien um mehrstufige Angriffe, die zwei oder mehr Angriffsaktionen kombinieren und so für einen solideren Realismus sorgen. Ein Beispiel für ein Angriffsszenario mit Scattered Spider ist S3-Bucket-Ransomware Angriffsszenario.
Vorteile der Emulation von Angriffen mit abwehrenden Bedrohungen
Die Einführung der Mitigant Threat-Led Attack Emulation bietet mehrere Vorteile:
Validierung von Abwehrmaßnahmen: Unternehmen können ihre Abwehrmaßnahmen anhand der in ihrer Branche vorherrschenden Bedrohungsakteure validieren. Zum Beispiel der Bedrohungsakteur Verstreute Spinne hat Organisationen der Telekommunikations- und Unterhaltungsbranche bösartig angegriffen. Unternehmen können schnell Emulationen ausführen, die TTPs implementieren, die von bestimmten Bedrohungsakteuren verwendet werden, und die Stärke ihrer Abwehr überprüfen.
Validierung von Cyber-Bedrohungsinformationen: Viele Unternehmen abonnieren Threat Intelligence-Plattformen. Diese CTI-Plattformen bieten kuratierte Informationen über Bedrohungsakteure, die in vielerlei Hinsicht hilfreich sein können, einschließlich der Erkennung, Identifizierung, Validierung und Untersuchung potenzieller Sicherheitsbedrohungen. Unternehmen stehen jedoch vor der Herausforderung, den ROI dieser CTI-Plattformen am besten zu validieren und herauszufinden, wie die korrekte Nutzung überprüft werden kann. Die Emulation bedrohungsorientierter Angriffe ermöglicht es Teams, Angriffe gegen eine Reihe von Bedrohungsakteuren auf der Grundlage von CTI zu orchestrieren und dann den Wert der zusätzlichen CTI zu analysieren.
Validierung der Sicherheitsbereitschaft: Die Bekämpfung von Bedrohungsakteuren kombiniert Menschen, Prozesse und Technologien. Während sich einige Organisationen auf Technologie konzentrieren, konzentrieren sich andere isoliert auf eine oder mehrere dieser Komponenten. Dieser Ansatz führt oft zu begrenzten Ergebnissen und letztlich zu Sicherheitsverletzungen. Unternehmen können die Mitigant Cloud Attack Emulation nutzen, um die Sicherheitsbereitschaft aller Mitarbeiter, Prozesse und Technologien zu überprüfen.
Richtig eine bedrohungsinformierte Verteidigungsstrategie anwenden
Unser Ziel ist es, SOC-Teams, Erkennungsingenieuren, CTI-Analysten und anderen Sicherheitsteams, die im Kampf gegen Gegner an vorderster Front stehen, einen enormen Mehrwert zu bieten. Die Mitigant Cloud Attack Emulation ermöglicht die Implementierung einer ganzheitlichen Strategie zur Bedrohungsabwehr. Melden Sie sich noch heute für eine KOSTENLOSE einmonatige Testversion an — https://www.mitigant.io/sign-up