Use Cases als wichtiger Baustein für IT-Sicherheit und mehr
Angreifer folgen bestimmten Angriffsmustern, um ihre Opfer zu überlisten. LogPoint nutzt MITRE ATT&CK® Framework als Basis eigener Use Cases out of the Box. Die fertigen Use Cases bieten eine sofort wirksame Verteidigungslinie ab der Inbetriebnahme.
Eine der größten Herausforderungen bei der Verteidigung eines Netzwerks ist es, Angriffe und bestenfalls auch Angreifer immer möglichst schnell zu erkennen. Das Problem: Die Cyber-Kriminellen hinterlassen keine „Fingerabdrücke“, ein Aufspüren ist nur über aufwändige Analysen von Code- und Angriffsmuster möglich. Bei den Angriffsmustern können beispielsweise Art, Kombination und Reihenfolge der Angriffswerkzeuge Rückschlüsse auf die Quelle eines Angriffs geben – vorausgesetzt, man verfügt über das entsprechende Spezial-Know-how. Tatsächlich gibt es sogar in professionellen Security Operation Center (SOC) kaum Analysten, die das wirklich beherrschen. Unternehmen sind in punkto Sicherheit oft hoffnungslos überfordert – meist wissen die Angreifer viel genauer, welches die wirklichen Datenschätze eines Unternehmens sind und wo diese liegen.
Das Basiswerkzeug für die Verfolgung aller Aktionen und Ereignisse in einem Netzwerk ist SIEM. Aufgabe des SIEM ist es, aus den Log-Files der IT-Netzwerkbausteine ein genaues Protokoll darüber zu erstellen, was wann wo geschehen ist und welche User/Entities daran beteiligt waren. SIEM bleibt für modernere Verteidigungsverfahren unverzichtbar, erweist sich aber als alleinige Methode, Ereignisse im Netzwerk zu bewerten, als mehr und mehr unzureichend. Angreifer haben gelernt, sich zu tarnen und so unauffällig zu verhalten, dass ihnen mit SIEM alleine nicht auf die Schliche zu kommen ist. Dafür braucht es heute ein starkes UEBA. LogPoint UEBA korreliert die Daten aus einem Pool mit zahlreichen Log-Quellen und entwickelt daraus eine intelligente Baseline – also einen „Normalzustand“. An den Abweichungen von diesem Normalgeschehen erkennt UEBA ungewöhnliches Verhalten von Assetes und Usern. Entsprechende Meldungen liefern umfassende Security Erkenntnisse, die ansonsten nicht oder nur extrem zeitaufwändig zu bekommen wären. Ein wichtiger Punkt: SIEM/UEBA bezieht für seine Analysen im Gegensatz zu Endpoint-Security-Lösungen die gesamte interne und externe Kommunikation mit ein – beurteilt also das Gesamtbild. Mit diesen Eigenschaften wird UEBA zum echten Enabler in Sachen Securityreife für Unternehmen und zur unverzichtbaren Basis für eine sichere Digitalisierung.
Security-Intelligenz eingebaut: Elf Reporting-Use-Cases an Bord
Eine typische Eigenschaft von UEBA-Systemen ist der permanent aktive Lernmodus: Nach und nach lernen die Systeme für ihre Baseline, was gutes (also normales) und eventuell bösartiges Verhalten ist. Mit der Dauer ihres Einsatzes werden sie also immer besser und treffsicherer. LogPoint hat sein UEBA aber zusätzlich mit einem Sofortschutz ausgestattet. Bereits mit Installation ist das System mit elf typischen Angriffsmustern vertraut, die heute ein Firmennetzwerk bedrohen können. Diese fest eingebauten UEBA Use Cases basieren auf Datensammlungen des Herstellers, die über mehrere Jahre analysiert und ausgewertet wurden. Sie decken wichtige Szenarien wie „Account Missbrauch“, „Datenklau“, „verdächtige Aktivitäten“ etc. sehr detailliert ab. Im Grunde verbirgt sich hinter jedem Use Case ein ganzes Set von Angriffsmustern, die LogPoint regelmäßig mit den Ergebnissen neuester Analysen aktualisiert. Nutzer erhalten schon mit diesen UEBA-Funktionen „ab Werk“ tiefe Erkenntnisse zu einer breiten Palette von bekannten Angriffen, beziehungsweise ungewöhnlichem Verhalten, das auf eine Angriffsvorbereitung hindeutet. Moderne Visualisierungs-Tools wie Dashboards und klar strukturierte Berichte sorgen dafür, dass diese wichtigen Infos analystengerecht aufbereitet und leicht verständlich dargestellt werden.
Noch mehr Sicherheit durch MITRE ATT&CK-Integration
Die weltweit umfassendste Basis für Angriffsmuster liefert das MITRE ATT&CK® Framework. Die MITRE Corporation betreibt diverse Forschungsinstitute im Auftrag der Vereinigten Staaten. Sie ist durch eine Ausgründung aus dem Massachusetts Institute of Technology (MIT) entstanden. MITRE operiert als Non-Profit-Organisation, die durch das US-amerikanische National Institute of Standards and Technology (NIST) finanziert wird. MITRE ist auch in vielen anderen Bereichen aktiv – in Sachen IT-Sicherheit hat sich ATT&CK® (Adversarial Tactics, Techniques & Common Knowledge) als unverzichtbare globale Erkenntnisquelle über Angriffstaktiken und -techniken etabliert. Das Beste: Ihre Nutzung ist offen und kostenlos.
ATT&CK® stützt sich wie die LogPoint UEBA Use Cases auf reale Beobachtungen der letzten Jahre – nur eben in einem noch weitaus umfassenderen Kontext und durch das Sicherheitsteam der MITRE Organisation verifiziert. Die gefundenen Taktiken und Techniken werden gesammelt und in einer Reihe von Matrizen angezeigt, die nach Angriffsstufen geordnet sind. Die Hauptmatrix für Unternehmen umfasst die drei großen Desktop-Plattformen Windows, Linux und MacOS. Für mobile Plattformen gibt es eine separate Matrix.
LogPoint nutzt diese Quelle als „verlängerten Arm“ seiner eigenen Forschungen. Dafür bringt LogPoint die Alarme und Ereignismeldungen des eigenen Systems mit den im MITRE-Framework beschriebenen Angriffsmethoden und -techniken in Beziehung. Die elf Taktiken von ATT&CK® entsprechen dabei in etwa den elf Use Cases der LogPoint-Datenbank für Angriffsmuster. Mit der ATT&CK®-Integration werden Umfang und Tiefe der dafür jeweils genutzten Techniken in erheblichem Maße aufgewertet. Sicherheitsteams können so die Absicht von Cyberkriminellen schneller und besser verstehen und lernen, welche Instrumente sie einsetzen, um ihre kriminellen Ziele zu erreichen. Zudem lässt sich damit der Reifegrad des eigenen SOC realistisch bewerten und testen, wie effektiv es bei der Erkennung und Reaktion auf Angriffe arbeitet. Security-Analysten werden entlastet und mit direkt verwertbaren Informationen und Erkenntnissen versorgt, aus welchen sie schnell die notwendigen Maßnahmen für die Angriffsabwehr entwickeln können. LogPoint erweitert die ATT&CK®-Integration fortlaufend. Unternehmen steht es frei, sich bei der Installation von LogPoint SIEM aus einem Pool von rund 130 Uses Cases, analog zum MITRE ATT&CK® Framework, zu bedienen. Sie können anhand Ihrer Risikoeinschätzung und Anforderungen frei wählen, welche Use Case sie aktivieren möchten. Die Praxis zeigt: Mit fünf bis zehn Use Cases aus der MITRE ATT&CK® Matrix erreicht der Nutzer einen sofortigen Überblick über seine aktuelle Sicherheitslage.
Weitere Usecases frei definierbar
Mit Use Cases lassen sich sehr viele praktische Dinge umsetzen. Dabei muss es nicht immer megakomplex zugehen. Eine einfache Anforderung könnte beispielsweise sein: „Ich möchte immer dann informiert werden, wenn ein Nutzer mit Administratorrechten auf das Verzeichnis der Geschäftsführung zugreift.“ Damit solche Dinge möglich werden, unterstützt LogPoint auch die freie Definition von Use Cases. In der Praxis läuft das über entsprechende Suchanfragen (Search Strings), mit welchen das SIEM-System, unterstützt durch Big-Data-Analytics, seine Log-Files durchsucht und bei einem Fund die gewünschte Aktion auslöst.
Dass Use Cases keinesfalls auf Security-Anwendungen begrenzt sind, zeigte kürzlich ein großer Hersteller aus dem Baugewerbe, auf dessen riesigem Werksgelände zahlreiche Kräne ihren Dienst tun. Das Problem: Die Kräne sind störanfällig und jedes Mal, wenn ein Kran ausfiel, blinkte im zentralen Alarmsystem des Unternehmens ein Lämpchen. Daraufhin musste ein Techniker losziehen und das gesamte Gelände nach dem defekten Kran absuchen.
Inzwischen wird das Signal für eine effizientere Vorgehensweise in ein SIEM umgeleitet. Der zugehörige, einfache Use Case lautet: „Halte laufend Ausschau nach Signalen von den Kränen.“ In diesen Signalen sind neben den IP-Protokoll-typischen Infos auch die Krannummern integriert. Anhand dieser Nummer ist das SIEM in der Lage, den Kran zu identifizieren. Mit einer zuvor hinterlegten Geländekarte lässt sich der entsprechende Kran auch exakt verorten. Der Monteur kann jetzt also direkt und auf dem kürzesten Weg zum defekten Kran aufbrechen. Der Fall mag banal klingen, erspart dem Unternehmen aber viel teure Kranausfallzeiten und die Techniker des Unternehmens können sich weit anspruchsvolleren Aufgaben widmen, anstatt dauernd mit dem Caddy das Gelände nach dem betroffenen Kran abzusuchen.
LogPoint SIEM/UEBA ist also weit mehr als eine kostengünstige Lösung für die Sicherheit inner- und außerhalb des Perimeters. Sie liefert auf Knopfdruck Standard-SIEM-Reports, ebenso ISO-, DSGVO-, PCI-, SOX- und HIPAA-konforme Reports. Durch MITRE ATT&CK-Integration und UEBA werden Angreifer schneller aufgespürt und so das SOC und den IT-Betrieb entlastet. Unternehmen wollen Compliance, brauchen aber Security. Unterstützt durch eine ISO-/BSI-konforme Installation bietet LogPoint SIEM/UEBA zusammen mit Tech Data genau die Kombination aus Compliance und einem Mehr an Sicherheit und schafft so Freiräume für Security-Analysten und den IT-Betrieb.
Wenn Sie mehr zu LogPoint SIEM/UEBA wissen möchten, klicken Sie bitte hier:
Der moderne Security Enabler: LogPoint SIEM & UEBA - Tech Data Blog
Dominik Strub-Tiedt wird Partner bei Sieber & Partners
KI bietet Übersicht über Produktbewertungen
Kanton Zürich will zum KI-Innovationsstandort werden
ADN nimmt Security-Lösung von Vicarius ins Portfolio
Personalisierte Medizin mit bestmöglichem Datenschutz
Schweizer CISOs fühlen sich in der Führungsetage nicht verstanden
Wo Barrierefreiheit erlebt und gemeinsam gefördert werden soll
EU-Kommission eröffnet Verfahren gegen Meta
Youtuber basteln Destillanzug genau wie in Dune ... naja, fast
