Af Christian Have, LogPoint CTO

LogPoints mission handler om at “skabe verdens bedste SIEM“, hvor “skabe” er en eksplicit reference til vores mantra for hurtigere detektion og reaktion. Igennem det seneste år og i de kommende år hjælper vi virksomheder med at opdage og reagere hurtigere end nogensinde før. Når vi ser fremad, kan vi konstatere, at selv de bedste værktøjer ikke hjælper virksomheder med at opdage eller reagere hurtigere uden et ordentligt sikkerhedsfundament.

Et tilbageblik på 2020

I 2020 offentliggjorde vi mange artikler, der fremhæver, hvordan man opdager malware og ondsindet aktivitet i netværk. Vi lancerede også flere produktfunktioner og forbedringer, herunder øget UEBA-kildedækning, øget detektionskapacitet for skyen og understøttelse af MITRE ATT&CK-rammen (og flyttede hele detektionskataloget til ATT&CK-taksonomien).

Ud over produktfunktioner og artikler har vi udvidet vores kundesuccesteam i LogPoint. Teamet hjælper med at fremskynde kundernes accept af nye funktioner ved at vejlede kunderne og levere mere indhold, såsom enhedskonfiguration og dokumentation til integration af MITRE. Når vores kunder bruger de nyeste funktioner, kan de registrere og reagere hurtigt på angreb.

Det er stadig vigtigt at bruge de nyeste sikkerhedsforbedringer til at beskytte mod udefrakommende angreb. Som nævnt i NSA Cybersecurity 2020 er mange aktører villige og i stand til at iværksætte forstyrrende cyberaktiviteter på kritisk infrastruktur, misinformationskrig og stjæle intellektuel ejendom for at fremme deres økonomi og militær. Ved at nedbryde dette yderligere konstaterer 2020 Verizon Data Breach Investigations Report, at eksterne aktører udfører 70 % af angrebene, og 86 % af alle angreb er økonomisk motiverede.

Uanset hvilken trusselsaktør din trusselsmodel identificerer som den mest presserende, er øget detektion og reaktion stadig afgørende. Acceleration er nøglen. Vi ser en forbedring hos vores kunder for at opdage og begrænse overtrædelser. Uanset resultatet af de talrige højprofilerede og virkningsfulde ransomware-angreb, det øgede lovgivningsmæssige fokus eller det faktum, at flere kunder søger ekspertisen og detektionsevnen hos MSSP’er, er tendensen stadig den samme – detektions- og reaktionstiden er faldende.

På vej ind i 2021

I vores R&D-team arbejder vi på at løse de tidskrævende trin og udfordringer, der er forbundet med at udvælge og forstå, hvilke beviser der er forbundet med en given hændelse. På samme måde udvikler vi et analysemateriale, der spænder over forskellige detektions- og analysefunktioner til at samle og kondensere observationer, advarsler og hændelser. Vi vil introducere disse kompetencer i løbet af 2021 og 2022. Når vi tager et skridt ud af R&D-boblen og ser på, hvor vores brugere bevæger sig hen, forventer vi flere tendenser.

Få mere ud af det, du har

Lad os starte med at definere en knivskarp løsning inden for cybersikkerhed: Den mindst sexede løsning på et komplekst problem er ofte den mest virkningsfulde. Tilføjelse af mere sikkerhedsteknologi kan tilføje kompleksitet og svarer ikke til et mere sikkert system. Lige så trivielt som obligatorisk adgangskontrol (MAC) kan lyde, oplever Zero Trust en genoplivning som rebrandet MAC og med god grund. Administration af informationsstrømmen ved at sikre, at pakker ikke kan krydse sikkerhedszoner i netværket uden at gennemgå en firewall eller et indholdsinspektionsprodukt, eller ved at sikre, at eksekveringsflows forstås, er et fundamentalt, men for lidt brugt sæt af koncepter.

At slippe af med implicitte kontroller og håndhæve eksplicit kontrol af netværkspakker og eksplicit adfærd i operativsystemer eller applikationer reducerer i væsentlig grad sandsynligheden for eller effekten af overtrædelser. Aktivering af logning på eksplicitte kontroller gør det, der sker mere synligt. Det giver mulighed for performance-overvågning af effektiviteten af sikkerhedsarkitekturen som helhed og den specifikke kontrol i detaljer.

Bundlinje: Vi forventer, at flere organisationer ser nærmere på deres eksisterende arkitektur. I stedet for at implementere en masse ny teknologi finder de metoder til at indføre enkle foranstaltninger, der begrænser overtrædelsernes indvirkning.

Opnåelse af situationsbevidsthed

Når alarmen lyder, starter du som sikkerhedsanalytiker en triage: Er der brug for øjeblikkelig handling, hurtig handling eller forsinket handling?

 

For at kunne håndtere en alarm effektivt skal du have tillid til infrastrukturen, den enhed, der er ansvarlig for igangsættelse af alarmen, og at data er tilgængelige. I bund og grund skal du vide, at dine kontroller fungerer, og at de data, du har brug for, er tilgængelige.

 

Antag, at du har din sikkerheds-løsning på plads. I så fald behøver du ikke bekymre dig så meget om falsk positive resultater, fordi kontrollerne er eksplicitte, og netværkstrafikken afsluttes på proxyer eller firewalls. Hvad har du brug for til at levere effektiv triage?

 

Du kan stille dig selv spørgsmål som f.eks.:

  • Hvilken risikomodel beskæftiger vi os med?

    • Hvilken risikogruppe tilhører vores enhed, logkilde, logmeddelelse, brugergruppe, ATT&CK-teknik-ID?

      • Professionelt tip: I LogPoint vil man udrulle statiske og dynamiske lister og krydsreferere dem som en del af alarmoprettelsen, automatisk

    • Har du de understøttende beviser til at tage en beslutning?

      • Angav UEBA den bruger eller netværksenhed, der er tilknyttet alarmen, som ondsindet?

      • Hvor ofte har denne advarsel tidligere været udløst?

        • For denne bruger?

        • For denne IP?

        • Hvilke andre alarmer blev udløst for denne bruger eller dette system?

      • Har dit MISP- eller STIX threat intel feed angivet nogen tilknyttet logmeddelelse?

      • Brugte din Windows-infrastruktur Sysmon og en kurateret konfiguration?

      • Er det involverede system bagud med sikkerhedsopdateringer?

      • Leverede din Malware Sandbox, EDR eller XDR understøttende dokumentation?

Når du har besvaret disse spørgsmål, viser det sig, at teknologien ikke kan løse alt. Du skal have dit sikkerhedsfundament i orden først.

 

Bundlinje: Robuste kontroller, der er forankret i en sikkerhedsarkitektur, vil frigøre analytikeres tid til at fokusere på det, der er vigtigt, nemlig risikomodeller og indsamling af understøttende beviser til effektiv triage.

Bliv handlingsorienteret via data

Indsamling af telemetri fra systemer, forbrug af TI-feeds, berigelse af data med kontekstuel information fra CMDB’er, AD, sårbarhedsstyring og bruger-/enhedsadfærdsscoring er vigtige trin i håndteringen af en sikkerhedshændelse.

Beslutning om handlinger og hvilken type strategibog eller eskalering og organisatorisk procedure, der skal anvendes, er afgørende. Det er afgørende at sikre, at den rette opmærksomhed og prioritering tildeles, og det er lige så vigtigt at sikre, at klassificering og afhjælpning er passende.

Analytikere skal forholde sig til flere faktorer for reaktion og afhjælpning:

  • Hvor alvorlig er indvirkningen på det aktuelle stadie af overtrædelsen?
  • Er en detaljeret afhjælpning den rette tilgang på dette stadie?

Hvis der anvendes Zero Trust, serviceopdeling og mikrosegmentering, er det så muligt at begrænse problemet, samtidig med at størstedelen af infrastrukturen forbliver i drift?

Hvad er chancen for potentielt at fokusere reaktionen for snævert med den nuværende forståelse af detektions- og kontroldækning, ved at forstå risikovilligheden og med kendskab til de TTP, der er anvendt af trusselaktøren?

  • Er medarbejdere, processer og teknologi tilgængelige og testet til at automatisere og orkestrere?

Med hændelsesdata, kontekstuelle data, data om trusselaktøren og situationsbevidsthed på plads er organisationen forberedt og klar til potentielt at låse hundredvis af konti, isolere systemer på netværket, validere integriteten af operativsystemer og applikationer og på kontrolleret vis begynde den kontrollerede tilbagevenden til normal drift?

Implementeringen af SOAR-værktøjer (Security Orchestration and Automation) ser lovende ud. SOAR hjælper sikkerhedsteams med at automatisere gentagne opgaver i stor målestok, organisere sekvenser af automatiserede opgaver og reagere via regler og feedback-loops på input fra SIEM og EDR/NDR-værktøjer. Med MITRE ATT&CK-rammen giver en taksonomi af en trusselaktørs adfærd forskellige teknologier mulighed for at udveksle oplysninger om TTP’er og telemetri. Vi ser MITRE ATT&CK-taksonomi som en måde at integrere SIEM, SOAR, EDR, NDR, Sandbox og IAM-værktøjer via åbne og veldefinerede API’er.

Bundlinje: For at opnå sikkerhedsfunktioner til automatisering eller orkestrering skal sikkerhedsteams finjustere sikkerhedsarkitekturen og -kontrollerne, ellers risikerer de, at systemerne enten overser eller ikke reagerer tilstrækkeligt til at håndtere overtrædelsen, hvilket fører til en falsk følelse af sikkerhed for de teams, der stoler på disse funktioner.

Trusselaktører er ligeglade med din trusselsmodel eller dit organisatoriske røde tape

Angribere navigerer i en graf, og forsvarere navigerer i punktløsninger. En trusselaktør vil tage den nemmeste vej til målet og bruge så få af de saftige tricks som muligt og generere så lidt støj som muligt. Trusselaktører vil have mange måder at nå målet eller målsætningen på. Derfor falder forrentningen af investeringen i sikkerhedsteknologi relativt hurtigt.

Hvis din organisation for eksempel anskaffer en EDR-platform, angriber din trusselsaktør via din ERP-platform. I takt med at antallet af sikkerhedskontroller stiger, stiger kompleksiteten, omkostningerne og den udvidede angrebsoverflade for disse nye kontroller også, hvilket resulterer i en nettoændring i sikkerheden, der nærmer sig nul.

Vi ser også punktløsninger som Zero Trust til både SAP og cloud. Selvom Zero Trust til SAP og cloud vil have værdi for virksomheder med deres strategier i orden, procedurer for triage og grundlæggende sikkerhedsarkitekturprincipper på plads – kan der være bedre steder at investere og få end-to-end-synlighed på.

Kontinuerlig overvågning på tværs af cloud-implementeringer, ERP- og CRM-platforme og forretningsapplikationer med domænespecifik detektion, ATT&CK-mapped alarmering og samlet hændelsesstyring ville være bedre valg for de fleste organisationer end anvendelse af punktløsninger. Ved at forbinde dataene fra disse applikationer og anvende ML- og AI-funktionerne i et SIEM, med UEBA og SOAR vil organisationer ikke kun være i stand til at bruge f.eks. UEBA på dataene fra ERP-systemet, men også opbygge en detektionsgraf, der tager højde for netværk, slutpunkt og applikationsaktivitet.

Bundlinje: Angrebsgrafen er reel, og punktløsninger tilføjer mere kompleksitet end nettosikkerhedsstigninger, medmindre fundamentet og arkitekturen er fast defineret og fulgt.

2021 outlook graphic

Afslutningsvis: Forvent, at dine værktøjer hjælper, men du sidder stadig i førersædet.

I 2021 vil branchen præsentere automatisering og orkestrering af hændelser som et universalmiddel. Automatisering og orkestrering er relevant, og vi oplever, at flere og flere leverandører tilføjer disse funktioner til eksisterende og nye produkter. For at fremskynde detektion og reaktion endnu mere kan vi se, at disse produkter vil bruge ML og AI til at reducere analytikerens arbejdsbyrde.

 

Hvis man ser på, hvor kritiske beslutninger tages under triage og reaktion, og hvordan detektion finder sted, har AI og ML en plads, og det samme har automatisering. Men det vigtigste er fundamentet. Sikkerhedsteams har brug for tillid til, at situationsbevidstheden er komplet med kontekstuel information om, at de kontroller og antagelser, der foretages under afhjælpningen, er målrettet TTP’erne.

 

For os hos LogPoint opbygger vi kompetencer til præcist at afdække, hvordan angriberen navigerer den vej, hvor der er mindst modstand. Vi giver synlighed, uanset hvor denne sti fører angrebet hen, med detektion og undersøgelse på hvert eneste trin. Det er det, vi kalder accelereret detektion og reaktion.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser