:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
MITRE ATT&CK Framework & Threat Intelligence Eine Frage der Quellen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Das MITRE ATT&CK Framework gewinnt in immer mehr Bereichen der IT-Sicherheit Anwendung. Die Threat Intelligence stellt hier keine Ausnahme da. Für die Umsetzung sind vor allem die Anzahl und Art der Quellen der Bedrohungsinformationen wichtig, um das Framework erfolgreich umsetzen zu können und die Sicherheit zu erhöhen.
Das MITRE ATT&CK Framework findet in immer mehr Bereichen der Cybersicherheit Verwendung, so auch in der Erkennung von Bedrohungsakteuren, ihren Techniken und ihrem Verhalten. Unternehmen benötigen dafür eine Wissensdatenbank, um frühzeitig zu erkennen, mit wem sie es zu tun haben. Informationen über die Vorgehensweise künftiger Angreifer, auf der Grundlage von Beobachtungen bei Sicherheitsvorfällen in anderen Unternehmen, sind letztlich für alle Organisationen interessant und relevant. Die Kartierung dieser als Bedrohungsinformationen zusammengefassten Daten ist letztlich eine der Hauptaktivitäten, die IT-Sicherheitsabteilungen vornehmen sollten. Sie verfügen über zwei Möglichkeiten, diese Daten für die Aufklärung von Bedrohungen zu nutzen; als Konsument und als Produzent. Ein Konsument der Daten zu sein, bedeutet, die bereits erstellten Daten zur Verbesserung der Entscheidungsfindung in der Bedrohungsabwehr zu nutzen. Die zweite Methode besteht darin, diese Informationen zu nutzen und darauf als Produzent zusätzlicher Informationen aufzubauen. Sicherheitsabteilungen, die über die entsprechenden Fähigkeiten und Kapazitäten verfügen, sollten sich auch auf diese Weise international engagieren.
Ein Konsument zu sein, beginnt mit der Eingrenzung der Bedrohungslandschaft auf bestimmte Gruppen von Cyberkriminellen oder anderen Bedrohungsakteuren. Denn dann kann ein Unternehmen davon ausgehen, dass diese ein Interesse an ihren Daten, Vermögenswerten oder Ressourcen haben. Um die Bedrohungslandschaft zu reduzieren, sollten frühere Angriffe auf ähnliche Organisationen untersucht und die Gruppen identifiziert werden, die im Rahmen dieser Angriffe verdächtigt werden. Sobald die Bedrohungsgruppen, die von Interesse sind, identifiziert wurden, kann die Sicherheitsabteilung einen Datensatz nutzen, um die sogenannten TTPs (tactics, techniques and procedures) für diese Gruppen einzusehen. Während sich einige Techniken vielleicht nicht überschneiden, ist es sehr wahrscheinlich, dass dies bei anderen der Fall ist. Wenn sich die Verantwortlichen die TTPs ansehen, die bei den identifizierten Gruppen üblich sind, kann damit begonnen werden, eine priorisierte Liste von Erkennungs- und Präventionsfähigkeiten zu erstellen, über die das Security Operations-Team verfügen muss. Hierbei handelt es sich um eine grundlegende Nutzung der bereits von anderen MITRE-Teams erstellten Daten, die auch für kleine Teams sehr zu empfehlen ist.
Daten anreichern
Darüber hinaus empfiehlt es sich, weitere Bedrohungsinformationen über die vorhandenen hinaus zu erstellen. Hier sind vor allem auch eigene Daten gemeint, die einem Gesamt-Datensatz hinzugefügt werden können. Für diese Aktivität müssen Unternehmen den Analysten Zeit und die nötige Aus- und Weiterbildungsmöglichkeit geben, damit sie die verfügbaren Incident Response-Reports (sowohl geschlossene als auch quelloffene, interne und externe) analysieren können, um Daten zu extrahieren und sie mit den ATT&CK-Metriken abzugleichen. In der Praxis bedeutet dies, diese Berichte Zeile für Zeile zu lesen, Werkzeuge, Techniken, Taktiken und Gruppennamen hervorzuheben und die Daten zu extrahieren, um die Informationen, die das Team über die mutmaßlichen Angreifer hat, weiter zu füttern. Hierzu entwickeln die Macher von MITRE das neue TRAM (Threat Report Attacks Mapper)-Tool, das Analysten dabei hilft, diesen Prozess teilweise zu automatisieren. Mit den zusätzlichen Informationen sollte sich die Entscheidungsfindung verbessern, wenn die Analyse der TTPs der Angreifer durch den „Kontextfilter“ der Organisation geleitet wurde.
Während bei der Verwendung der ATT&CK-Matrix für die Kartierung von Cyber Threat Intelligence die externen Bedrohungen im Mittelpunkt stehen, ist der nächste übliche Schritt nach innen gerichtet. Zunächst werden alle Techniken mit Informationen darüber aufgelistet, wie Sicherheitsabteilungen diese identifizieren, erkennen und eindämmen. Das Extrahieren dieser Informationen ist eine hervorragende Möglichkeit für die Sicherheitsabteilung, ihre eigene Fähigkeit zur Verteidigung und zur Priorisierung besser zu verstehen. Der erste Schritt in diesem Prozess ist die programmatische Extraktion von Datenquelleninformationen. Es gibt mehrere Möglichkeiten, um dies mit den APIs, die MITRE zur Verfügung stellt, oder anderen Open-Source-Tools auf GitHub zu erreichen. Nach der Fertigstellung kann der Vergleich der Datenquellen, auf die die Sicherheitsexperten Zugriff hatten, und der Gruppen von Benutzern und Systemen, die Zugriff auf diese Datenquellen haben, wichtige Erfassungs- und Sichtbarkeitslücken aufzeigen. Wenn die von ihnen gesammelten Bedrohungsinformationen beispielsweise auf eine Hackertechnik hinweisen, bei der geplante Tasks anvisiert werden, kann eine bestimmte Gruppierung dahinterstecken. Die Sicherheitsexperten sind dann in der Lage herauszufinden, ob sie diese Technik erkennen können oder nicht. Die in der Technik aufgeführten Datenquellen – Datei- und Prozessüberwachung sowie Prozessbefehlszeilenparameter und Windows-Ereignisprotokolle – liefern diese Antwort.
Wissenslücken schließen
Wenn der Sicherheitsabteilung keine dieser Datenquellen zur Verfügung steht oder wenn sie nur auf einer Teilmenge der IT-Systeme verfügbar sind, sollte der nächste logische Schritt darin bestehen, dieses Problem zu beheben. Es ist gleichgültig, ob sie diese neuen Informationsquellen durch integrierte Betriebssystemprotokollierung oder durch die Erweiterung mit neuen Sicherheitstools (Netzwerküberwachung, Netzwerkerkennung und -reaktion [NDR], host-basiertes IDS/IPS, Endpunkterkennung und -reaktion [EDR] usw.) erfassen. Wichtig ist, dass die Identifizierung der wichtigsten fehlenden Daten stattgefunden hat. Wenn diese Informationen klar kommunizierbar sind, kann dies dazu beitragen, den zusätzlichen Aufwand und die potenziellen Kosten im Zusammenhang mit der Implementierung der neuen Datensammlung zu rechtfertigen.
Das Sammeln der benötigten Datenquellen ist zwar bereits ein wichtiger Meilenstein, aber es ist erst der erste Schritt in diesem Prozess. Nachdem die Daten beschafft und an ein zentralisiertes Sammelsystem geschickt wurden, besteht der nächste Schritt darin, ein geeignetes Analysewerkzeug zu finden. Schließlich muss hervorgehoben werden, wann ein Angreifer diese Technik auch wirklich einsetzt. MITRE erleichtert diesen Schritt für viele Hackertechniken mit seinem vorprogrammierten Cyber Analytics Repository (CAR) und bietet sogar Open-Source-Analyseoptionen wie das BZAR-Projekt, das eine Reihe von Zeek/Bro-Skripten für die Erkennung einiger ATT&CK-Techniken enthält.
Fazit
Mit diesen gesammelten Informationen können Sicherheitsabteilungen Prioritäten für Angriffsgruppen und -techniken ermitteln, die gegen ihre eigene Organisation eingesetzt werden können. Sie können diese Informationen auch durch ihre eigenen internen Daten ergänzen. Dadurch erhält die Sicherheitsabteilung das bestmögliche Wissen darüber, welche Techniken und Taktiken die Angreifer nutzen und wahrscheinlich gegen die Organisation einsetzen werden. Nach Beurteilung des Bedrohungsgrades können sich die Sicherheitsexperten dann anhand der integrierten Datenquelleninformationen ein Bild von den potenziellen Verteidigungsmöglichkeiten machen. Wo Schlüsselinformationen fehlen, müssen sie zusammenarbeiten, um die Daten zu sammeln und Analysen für diese Techniken durchzuführen. Werkzeuge wie der ATT&CK Navigator können die Visualisierung der Anforderungen erleichtern. Open-Source- und andere Anbieter von Sicherheitsvorrichtungen und -software können dazu beitragen, den Prozess des Abgleichs der erforderlichen Daten mit den tatsächlich gesammelten Daten und der Durchführung der Analysen zu beschleunigen. Der letzte Schritt ist der Test und die kontinuierliche Überprüfung des MITRE ATT&CK Frameworks, der mit den Threat Intelligence-Informationen zu Bedrohungen angereichert wird.
Über den Autor: Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient.
(ID:47047645)
:quality(80)/images.vogel.de/vogelonline/bdb/1893900/1893933/original.jpg "Malware-as-a-Service (MaaS) und Ransomware-Kampagnen bleiben ein gravierendes Cybersicherheitsproblem. (thodonal - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953600/1953606/original.jpg "KI ist eine Chance, aber auch ein Risiko. Wie geht man mit durch KIs verursachten Fehlern um, wer trägt die Verantwortung? (Kaikoro - stock.adobe.com)")