Detektionsudfordringen

Som vi alle ved, er perfekt sikkerhed umulig … Sikkerhedsmedarbejdere bør ikke gå ud fra, at de kan bekæmpe alle forsøg på sikkerhedsbrud, og de skal tage højde for, at det kan ske. Det primære formål med en sikkerhedsmedarbejder bør i stedet være at forsøge at opdage og genoprette sikkerhedsbrud så hurtigt som muligt for at minimere deres indvirkning.

For at opnå dette bør vi udnytte princippet om dybdegående forsvar og bruge overlappende kontroller til at minimere enkelte fejlpunkter. Vi bør først have en risikobaseret tilgang til sikkerhedsforståelse af, hvor vores mest kritiske aktiver befinder sig, hvor den største risiko ligger, og allokere vores ressourcer i overensstemmelse hermed for at beskytte dem. Forebyggende kontroller bør udnyttes, hvor det er muligt, men der bør anvendes detektive kontroller, hvor forebyggelse ikke er mulig.

Det faktum, at digitale ressourcer er baseret på software, betyder, at logdata ofte er let tilgængelige, og med tilføjelse af et SIEM kan vi i bund og grund foretage en detektiv kontrol på alle enheder eller applikationer, der kan producere en logfil.

Vi kan bruge threat intelligence til lister over kendte IOC’er (problemindikatorer) til at hjælpe med at opdage trusler. Denne tilgang er blevet brugt med succes i årtier med værktøjer som AV, IDS, spamfiltre osv., men denne tilgang indebærer nogle udfordringer:

For det første vokser trusseluniverset hele tiden, hvilket betyder, at vi altid skal søge efter nye IOC’er ud over de gamle, hvilket medfører udfordringer i forhold til at opretholde stadigt længere lister over IOC’er. Derudover kan modstandere nemt ændre visse attributter for angrebet, såsom kilde-IP for netværksbaserede angreb eller blot en enkelt bit i malwarekoden, så dets hash ikke længere svarer til eksisterende IOC’er.

Det vigtigste er, at selvom denne tilgang er rimelig effektiv for kendte trusler, er den afhængig af, at nogen tidligere har set og skabt en signatur for disse trusler, så den virker ikke på zero-day eller ukendte trusler.

Når vi overvejer en detektionsstrategi, skal vi tage både kendte og ukendte trusler med. Velvidende, at vi er nødt til at stole på detektive kontroller, hvordan kan vi så opdage ukendte trusler?

Se helheden

Adfærdsanalyse inden for sikkerhed er en metode til detektion af trusler, som foreskriver fokus på at forstå adfærden hos brugere og enheder (servere, fildelinger osv.) i dit miljø samt adfærden hos dine modstandere, herunder deres motivation og metoder. Med denne forståelse vil du opdage potentielt ondsindet aktivitet, ikke blot ved at kunne identificere kendt fjendtlig adfærd, men også ved at kunne registrere diskrete ændringer i den kendte adfærd hos brugerne og enhederne i dit miljø, som kan være biproduktet af ondsindet aktivitet.

Adfærdsanalyse adskiller sig fra traditionel IOC-detektion ved, at den dikterer, at du bruger et helhedsbasereddet og makroskopisk perspektiv af dit miljø i modsætning til et mikroskopisk perspektiv, når du kun fokuserer på signaturdetektion. Denne tilgang afhjælper en af de primære udfordringer ved traditionel signaturdetektion, da det drejer sig om at administrere den stadigt voksende liste over kendte – dårlige ting, du skal lede efter. Med adfærdsanalyse kan du fokusere på et begrænset antal kendte typer af fjendtlig adfærd i modsætning til et uendeligt antal signaturer med traditionelle signaturbaserede metoder.

Den anden vigtige fordel ved adfærdsanalyse sammenlignet med traditionelle signaturbaserede detektionsmetoder inden for sikkerhed er, at den er effektiv for både ukendte og kendte trusler, fordi adfærdsændringer kan være en indikation på, at noget er galt, selv når den adfærd aldrig er set før.

Det er vanskeligt at spore fjendtlig adfærd

At se på sine omgivelser gennem adfærdslinsen er i nogle henseender mere udfordrende end blot at lede efter signaturer af kendt malware, men det kan være meget mere frugtbart. Denne idé blev første gang foreslået af David Bianco, en hændelsesbehandler hos FireEye tilbage i 2014, som beskrev det, han kaldte “smertepyramiden”.

Pyramiden repræsenterede de komparative styrker og svagheder ved at bruge forskellige IOC’er på tværs af to dimensioner – en stakprioritering af forskellige IOC-typer med hensyn til, hvor nemme de var at implementere, og den relative størrelse af universet af hver IOC-type. Nederst i pyramiden var der hashværdier, som er mangfoldige og nemme at registrere, og øverst i pyramiden var der TTP’er (taktikker, teknikker og procedurer, dvs. adfærd), som er langt mindre omfattende, og som også er de sværeste at identificere og spore.

Pyramid of pain David Bianco

Kilde: Pyramid of pain, David J. Bianco

Selvom det er utroligt nemt at identificere fil-hasher fra kendte malware-prøver, er det ligeledes utroligt nemt for en modstander at ændre hash-værdien af et stykke malware blot ved at ændre en enkelt bit i koden. Det gør det meget nemt for modstandere at slippe malware forbi forsvar, som er afhængige af signaturer.

Heldigvis holder sammenhængen mellem vanskeligheden ved at gennemføre detektion og vanskeligheden for en modstander at ændre en IOC stik, når vi bevæger os op til toppen af pyramiden. Det betyder, at selvom det er svært at spore fjendtlig adfærd, er det også meget vanskeligt for modstandere at ændre denne adfærd, og der er også langt færre af dem at spore i forhold til fil-hashes.

Vi kan udlede, at selvom en dybdegående forsvarsstrategi er en best practice, bør de kontroller, der implementeres øverst i pyramiden, være mere effektive end dem, der er nederst, og vi bør forsøge at implementere dem, hvor det er muligt. Det afføder selvfølgelig spørgsmålet: Hvordan kan vi begynde at implementere adfærdsmetoder i vores sikkerhedsprogram?

Nedenfor vil jeg diskutere to måder, hvorpå LogPoint kan hjælpe dig med at implementere adfærdsanalyser i dit sikkerhedsprogram: Udnyttelse af MITRE ATT&CK-rammen og udnyttelse af User and Entity Behavior Analytics (UEBA).

MITRE ATT&CK

MITRE ATT&CK® er en samfundsbaseret videnbase over fjendtlige taktikker og teknikker baseret på observationer fra den virkelige verden, der vedligeholdes af MITRE-virksomheden, en privat nonprofit-organisation, der finansieres af den amerikanske regering til at udføre forskning i cybersikkerhed. ATT&CK-viden bruges som grundlag for udvikling af specifikke trusselmodeller og metodikker i den private sektor, i den offentlige sektor og i cybersikkerhedsproduktet og servicesamfundet.

ATT& CK-rammen gør det muligt for sikkerhedsteams at udnytte et væld af viden, der er blevet indsamlet af tusindvis af sikkerhedsforskere over hele verden og hjælper dem med både at forberede sig og reagere på trusler mod cybersikkerheden. Integration af ATT& CK i detektions- og responsprogrammer gør det muligt for sikkerhedsteams at se mønstre for fjendtlig adfærd i tilsyneladende venlige aktiviteter.

Ved at tilpasse sine produkter til ATT&CK-rammen udnytter LogPoint alle de kendte metoder til at identificere og spore forskellige taktikker, teknikker og procedurer, der anvendes af modstandere. LogPoint kan udnytte adfærdssignaturer fra open source-projekter såsom Sigma SIEM-projektet. LogPoint-brugere kan overlejre detektioner på rammen for bedre at forstå potentielle sårbarheder i deres forsvar og forudsige modstandernes potentielle næste trin.

Forstå dit miljø

Mitre ATT&CK-rammen gør det muligt at forstå dine modstanderes adfærd udefra og ind, men LogPoint UEBA giver dig inside-out-tilgangen til adfærdsmæssig sikkerhed ved at forstå dit miljø så godt, at du kan opdage diskrete ændringer, der kan være resultatet af fjendtlig adfærd.

UEBA anvender uovervåget maskinlæring som supplement til SIEMs traditionelle regelbaserede og signaturbaserede detektionsegenskaber. UEBA modellerer hver brugers og enheds adfærd i dit miljø på forskellige tidspunkter af dagen, ugedage og uger i måneden. Den bruger derefter disse basislinjer som grundlag for at påvise uregelmæssigheder, på hvilke den kan anvende heuristiske algoritmer til at bestemme sandsynligheden for, at de observerede forskelle i adfærd kan være tegn på en trussel

Ikke-overvåget maskinlæring kan også bruges til at gruppere brugere og enheder, der har lignende adfærd. Disse peer-grupper kan være meget vigtige for at forbedre nøjagtigheden af detektionen, fordi du ud over at sammenligne en individuel enheds adfærd med dens egen basislinje også kan sammenligne en enheds aktuelle adfærd med basislinjen for dens peer-gruppe. Denne sammenligning reducerer risikoen for falsk positive resultater i situationer, hvor en bruger gør noget nyt, hvilket ellers er meget almindeligt blandt hans/hendes peers.

Omdannelse af rå data til handlingsbare data

Kernen i UEBA er baseret på anvendelse af datavidenskab til at udnytte statistiske tilgange til at opdage uregelmæssigheder, men vi kan ikke forvente, at vores sikkerhedsanalytikere også er dataanalytikere. Udfordringen ligger derefter i at få styr på disse uregelmæssigheder og levere kontekst- og domæneekspertise omkring dem, som en sikkerhedsanalytiker kan handle på. I stedet for blot at advare analytikeren om en unormal hændelse uden kontekst er LogPoint i stand til at levere handlingsrettede oplysninger på en meget klar og utvetydig måde.

Advarsler med risikoscore

LogPoints UEBA giver to fordele: Først registrerer den unormal adfærd og afgør med en høj grad af sikkerhed, om den er mistænkelig eller legitim. Denne analyse er baseret på forståelseskontekst og er vanskelig, hvis ikke umulig at automatisere ved hjælp af ikke-adfærdsmetoder.

Den anden fordel ved UEBA er, at den tildeler hver bruger og enhed i organisationen en risikoscore, der svarer til antallet og sværhedsgraden af unormale hændelser, der er knyttet til brugeren/enheden.

Disse risici giver en yderligere dimension til regelbaseret analyse i hele SIEM. Så i stedet for at blive advaret, når en bruger gør noget, der kan være harmløst eller ondsindet, såsom at få adgang til et websted til fildeling, kan en smartere advarsel konfigureres til kun at advare, når brugere med høj en risiko-score får adgang til webstedet til fildeling. Dette medfører i sidste ende en stigning i antallet af alarmer med færre falsk positive og falsk negative resultater.

Adfærdsanalyse reducerer angriberens opholdstid

Grundet princippet om dybdegående forsvar vil der altid være værdi i at udnytte overlappende kontroller, hvilket betyder, at der fortsat vil være værdi i at udnytte traditionelle signaturdetektionsmetoder såsom IDS, sortlister og antivirus, da de kan være meget effektive til at filtrere kendte problemer fra, og de er relativt nemme at implementere.

Men med detektive kontroller skal vi være opmærksomme på, at for mange alarmer fra for mange kontroller kan distrahere og overvælde de begrænsede ressourcer i vores sikkerhedsteams. For at reducere opholdstiden for en modstander har vi brug for metoder til at filtrere støjen fra og gøre vores sikkerhedsteams opmærksomme på, hvad der haster mest i øjeblikket. Traditionelle signaturbaserede detektionsmetoder alene er ikke gode nok. Adfærdsanalyse inden for sikkerhed kan supplere disse tilgange og udfylde mange af de huller, som disse tilgange skaber.

LogPoint tilbyder to måder at implementere adfærdsteknikker på: For det første giver LogPoint med sin tilpasning til MITRE ATT&CK en nem måde til bedre at forstå og identificere adfærden hos modstandere. For det andet giver UEBA en anden supplerende teknik til adfærdsanalyse af sikkerhed ved at hjælpe sikkerhedsteams med bedre at forstå, hvornår noget ud over det sædvanlige kan være tegn på et problem.

Tilsammen giver disse to tilgange sammen med best-in-class logindsamling og analyser organisationer mulighed for at behandle milliarder af sikkerhedshændelser og tusindvis af alarmer i en prioriteret, håndterbar liste over en håndfuld sikkerhedshændelser. LogPoints mission er at sætte sikkerhedsteams i stand til hurtigt at opdage og reagere på trusler for at minimere den tid, som modstandere kan bruge i miljøet, og den skade, de kan forårsage.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser