UEBA und das Mitre Att&ck Framework
Kenne deinen Feind
Sicherheitsexperten sollten nicht davon ausgehen, alle Vorfälle verhindern zu können, sondern für den Fall Vorsorge treffen, dass Kompromittierungen auftreten. Sie sollten das Prinzip „Defense in Depth“ (Verteidigung in der Tiefe) und überlappende Kontrollmechanismen nutzen, um „Single Points of Failure“ zu minimieren.
Es ist ratsam, einen risikobasierten Ansatz für die Sicherheit zu wählen. Es gilt zu verstehen, wo sich die unternehmenskritischsten Werte befinden und wo das größte Risiko liegt, um die Ressourcen klassifizieren und schützen zu können. Dazu sollten IT-Sicherheitsverantwortliche Präventions- und – wo dies unmöglich ist – Erkennungstechnologien einsetzen. Eine dieser Erkennungstechnologien ist das SIEM-System (Security-Information- und Event-Management). Sicherheitsanalysten ziehen außerdem Bedrohungsinformationen wie Listen bekannter IoCs (Indicators of Compromise) hinzu, ebenso Tools wie Antivirus, IDS, Spam-Filter etc.
Doch die bisherige Strategie hat ihre Schwachstellen. Erstens gibt es immer mehr IoCs, was zu immer längeren Listen führt und die Übersichtlichkeit beeinträchtigt. Zweitens ändern Angreifer immer wieder bestimmte Attribute eines Angriffs, etwa die Quell-IP-Adresse netzwerkbasierter Angriffe oder auch nur ein einzelnes Bit innerhalb des Malware-Codes, sodass der Hash-Wert nicht mehr mit den bekannten IoCs übereinstimmt. Gegen Zero-Day Exploits oder unbekannten Bedrohungen nutzt das etablierte Vorgehen ebenfalls nicht. Eine Erkennungsstrategie muss vielmehr bekannte wie auch unbekannte Bedrohungen in Betracht ziehen.
Die Verhaltensanalyse ist eine Methode zur Erkennung von Bedrohungen. Ihr Schwerpunkt liegt auf dem Verständnis des Verhaltens von Benutzern und Entitäten (Servern, Dateifreigaben etc.) in der eigenen Umgebung sowie des Verhaltens der Gegner einschließlich deren Motivationen und Methoden. Mit diesem Verständnis können Sicherheitsanalysten nicht nur potenziell bösartige Aktivitäten aufdecken, sondern sogar subtile Änderungen im bekannten Verhalten der Benutzer und Entitäten in der eigenen Umgebung feststellen.
Beobachten Security-Analysten das Verhalten eines Angreifers oder einer Malware, unterscheidet sich dieser Ansatz von der reinen IoC-Erkennung dadurch, dass sie hier eine makroskopische Perspektive einnehmen. Die mikroskopische Sichtweise hingegen richtet das Augenmerk nur auf die Signaturerkennung. Der makroskopische Ansatz entschärft eine der größten Herausforderungen traditioneller Signaturerkennung, nämlich die Einschätzung der stetig wachsenden und veränderlichen Bedrohungslage: IT-Sicherheitsverantwortliche können sich bei der Verhaltensanalyse auf eine begrenzte Anzahl bekannter Verhaltensweisen der Angreifer konzentrieren. Ein weiterer entscheidender Vorteil im Vergleich zu bisherigen signaturbasierten Erkennungsmethoden ist, dass das Security-Team Alarme erhält, sobald die Software unbekannte Bedrohungen entdeckt.
- Kenne deinen Feind
- Angreiferverhalten analysieren
- Von Rohdaten zur Information
Lesen Sie mehr zum Thema
