Af Christian Have, LogPoint CTO

Egenskaberne i SOAR driver skiftet fra sikkerhedsanalyse til sikkerhedsdrift hos LogPoint. I dette blogindlæg beskriver LogPoint CTO Christian Have vejen fra registrering til holistisk respons.

Det er ikke nok bare at registrere et angreb. Angriberne øger deres hastighed og raffinement i forbindelse med ubønhørlige cyberangreb på lavt til mellemhøjt niveau, hvilket effektivt kvæler organisationer med tusindvis angreb. Og hvordan identificerer dagens sikkerhedsledelse huller i sikkerheden, og reagerer de på de konstante angreb ved blot at registrere dem?

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

CISO’er står over for en lang række angreb, der svækker og udfordrer deres virksomheds overlevelse. Fra at stjæle hemmeligheder til at påvirke operationer og kræve løsesumme for data med offentlige lækager som straf for ikke at betale – CISO’er er under konstant angreb. Med cyberangribere, der konstant forsøger at svække forsvaret over tid, er det ikke nok blot at opdage hændelser. En holistisk tilgang er vigtigere end nogensinde.

Angribere øger hastigheden og raffinementet i forbindelse med ubønhørlige cyberangreb på lavt til mellemhøjt niveau, hvilket effektivt kvæler organisationer med tusindvis angreb.

Skift fra sikkerhedsanalyse til sikkerhedsdrift

Jeg er meget stolt af at kunne sige, at LogPoint overtog Universal XDR-leverandøren SecBI for et par måneder siden. Opkøbet var kulminationen på en udvikling inden for LogPoint for at forbedre hændelsesundersøgelser, der startede for flere år siden med vores Automatic Investigations (AI) platform.

Vi designede LogPoint AI til at bruge en datadrevet tilgang til undersøgelser ved at:

  • Analysere hvordan brugere af systemet reagerede, og gentage de effektive handlinger, næste gang en hændelse dukkede op
  • Analysere hvilke data der typisk var forbundet med et angreb, og sammenkæde lignende data, næste gang en hændelse opstod
  • Lære fra aktive og lukkede sager og bruge de relevante metadata til at genanvende læringen i andre sager

Sideløbende undersøgte og opbyggede SecBI en funktion for autonome undersøgelser, som havde samme formål med at fremskynde triage og undersøgelse.

Med offentliggørelsen af vores nye løsning LogPoint SOAR har forskningen og videreudviklingen af disse mere avancerede undersøgelsesfunktioner fundet et hjem.

Jeg glæder mig til at dele vores vision for sikkerhedsdrift og refleksioner over, hvordan LogPoints skift fra sikkerhedsanalyse til sikkerhedsdrift vil påvirke vores kunder i de kommende år.

Datadrevet beslutningstagning for analytikere og CISO’er

En stadigt mere kritisk balance, som sikkerhedsteams, især sikkerhedsledere, må lægge mærke til, er på de ressourcer, der bruges.

For CISO’en er det uvurderligt at kunne afgøre, om en specifik sikkerhedskontrol er værdifuld og vil give handlingsrettede oplysninger, samtidig med at omkostningerne retfærdiggøres sammenlignet med en anden kontrol eller en ekstern ekspertserviceudbyder.

Sikkerhedsanalytikeren skal finde den samme balance. Arbejder analytikeren på den rette hændelse, dækker han det rette omfang af systemer og har han den rette mængde kontekstuel information om trusselaktørernes taktikker, teknikker og procedurer (TTP’er)?

Overvågning og validering af beskyttelse af de personer, processer og kontroller, der forsvarer organisationen

Det frustrerende ved sikkerhed er, at man aldrig ved, hvornår man har gjort nok. Det er ikke en frustration, man snart vil komme af, da der er ændringer i trusselslandskaber, trusselaktørers adfærd og fremskridt inden for detektions- og reaktionsteknologi. Vi kan ikke slippe af med frustrationen, så vi er tvunget til at evaluere vores sikkerhedsgrad kvantitativt. Med evalueringen kan vi få indsigt i, om vores stilling forbedres eller ej. Validering af kvantitative sikkerhedsgrade lyder avanceret og kompleks, men i virkeligheden er det ret ligetil.

Større organisationer kender og bruger BAS-teknologier (bruds- og angrebssimulering) til at instrumentere deres sikkerhedskontroller og simulere angriberens adfærd, samtidig med at de nøje overvåger, hvordan sikkerhedskontrollerne fungerer. Det er fantastisk, hvis din organisation er klar til at arbejde struktureret med validering af sikkerhedsgrader! For at maksimere ydeevnen for sikkerhedsteams, -procedurer og -kontroller er det dog nødvendigt at validere mod faktiske angreb.

En frustration ved sikkerhed er, at man aldrig ved, hvornår man har gjort nok. Det er ikke en frustration, der vil forsvinde lige foreløbigt.

I LogPoint samarbejder vi med hundredvis af organisationer om at kvantificere udførelsen af sikkerhedskontroller, ikke gennem instrumentering af sikkerhedskontroller, men ved at måle, hvor godt sikkerhedskontroller rent faktisk fungerer på daglig basis.

Vi revolutionerer, hvordan sikkerhedsteams taler om deres kontrolfunktioner og -processer med vores målinger i det virkelige liv. Vi giver CISO’er en datadrevet metode til at vurdere, hvor der skal investeres i infrastrukturen, proceslandskabet eller kompetencedomænet.

Håndtering af kvantitativ evaluering af sikkerhedskontroller

LogPoint AI måler analytikerens adfærd, playbook-præstationer, orkestreringsresultater og kan drage konklusioner – lad os gennemgå et eksempel:

Dit SIEM genererer en Conti ransomware-advarsel

  1. Der blev udløst en alarm, der antydede, at der var noget, som det ikke skulle være ved WMI (T1047)
    1. Samler automatisk kontekst
    2. Forbinder alarmen med ATT&CK-teknikken
  2. Din oprydningsplaybook starter med det samme
    1. Sætter maskinen i karantæne
    2. Klargør maskine til fjernsletning
    3. Kontrollerer SIEM for lignende advarsler og logfiler, der skal sikre bruddet
    •  

Conti har forskellige måder at komme ind i dit netværk på, og de mest almindelige er ved at udnytte Microsoft Exchange Servers webplatform.

Hvad skete der så? Der var ondsindet aktivitet, før vores kontroller var effektive. Vi har lært af evalueringen af angriberens TTP’er, at Conti opretter en webskal og udfører PowerShell-scripts for at sikre mere permanent adgang. Derefter lancerer Conti intern rekognoscering og bevæger sig endda lateralt i netværket osv. SophosLabs har en fremragende værktøjsoversigt, der giver os et indblik i Contis adfærd.

Conti Randsomware Tools

Bemærk, hvor sent i rækken af hændelser og anvendt værktøj (Lateral Movement), vi bemærker wmic, der kickstarter SIEM-alarmen.

Set fra et sikkerhedsmæssigt driftsperspektiv er det fantastisk, at det er blevet opdaget og muligvis lykkedes det os at forhindre eksfiltrering og efterfølgende datakryptering – hvilket afværger et ransomware-angreb. Men vi opdagede angrebet sent, og oprydningen var dyr. Hvilke forbedringer skal vi foretage som sikkerhedsorganisation for at detektionen sker tidligere?

  • Manglede vi tilstrækkelige muligheder for påvisning og respons af endepunkter?
  • Mislykkedes vores proxy- og firewall-funktioner?
  • Hvorfor var vores trusselsintelligens-platform ude af stand til at lokalisere Metasploit eller mimikatz på maskinerne med sikkerhedsbrud?

Orkestrering er nøglen til tidligere registrering

Det er selvfølgelig nemt at stille spørgsmål til, hvad vi kunne have gjort bedre. For at komme et skridt foran som sikkerhedsteam er vi nødt til at instrumentere vores sikkerhedsdriftsplatform. Heldigvis er orkestreringsaspektet i forbindelse med sikkerhedsautomatisering den kritiske kilde til forbedring af sikkerhedsdriften.

Playbooks har en genvej til EDR’er, firewalls og proxy’er samt trusselsintelligente platforme. Efterhånden som playbooks modnes med organisationen, og analytikere fortsætter med at finjustere dem, øges synligheden af sikkerhedsoperationer.

For at komme et skridt foran som sikkerhedsteam er vi nødt til at instrumentere vores sikkerhedsdriftsplatform.

Hvis vi har en god EDR på plads, hvorfor opdager den så ikke Conti? Har vi konfigureret den forkert? Formodede vi at få det udrullet på alle de rigtige steder?

Antag, at en anden trusselsintelligensleverandør, som vi kender, påstår at kunne registrere Conti. I det tilfælde ved vi, at vi kunne have markeret adfærd meget tidligere og forhindret lateral movement med den rigtige TI-kapacitet.

Når sikkerhedsteams evaluerer en ny løsning, f.eks. EDR, kan de sætte processerne i gang på den med eksisterende playbooks og det eksisterende økosystem af sikkerhedskontroller. Resultaterne giver os en standardmetode til at evaluere den måde, vi implementerer teknologien på, og selvfølgelig selve teknologien.

Fremtiden for LogPoint SOAR

Egenskaberne i SOAR driver skiftet fra sikkerhedsanalyse til sikkerhedsdrift hos LogPoint. SIEM’er, der står over for en alarm, er fantastiske, men en løsning, der giver en holistisk tilgang til sikkerhedsoperationer, foretrækkes. Sikkerhedsdrift er mere end blot automatisering af gentagne opgaver, orkestrering af, hvordan sikkerhedskontroller fungerer, og playbooks, der binder alt sammen. Med en holistisk tilgang bruger du dataene fra udførelsen af playbooks til at afdække huller i kontrolelementer, processer og endda hvordan sikkerhedspersonalet klarer sig.

Med de identificerede mangler og en datadrevet måde at evaluere sikkerhedspræstationer på, har CISO’er nu et fælles grundlag for at diskutere investeringer i Produkt X vs. Produkt Y vs. MDR vs. Service Z. CISO’er kan understøtte deres drøftelser med data, som de kan præsentere for sikkerhedsteamet og de budgetterende interessenter.

Med en holistisk tilgang bruger du dataene fra udførelsen af playbooks til at afdække huller i kontrolelementer, processer og endda hvordan sikkerhedspersonalet klarer sig.

Mangedobling af teknologi gennem integration

På teknologisiden investerer vi i at sammensmelte SIEM-, SOAR-, UEBA- og EDR-funktioner for at understøtte vores bestræbelser på at opnå holistiske sikkerhedsaktiviteter. I øjeblikket kan LogPoint SOAR integreres med mere end 800 forskellige teknologiplatforme og udføre mange handlinger i hvert produkt. Integration er det fundament, der muliggør kvantitativ evaluering, men naturligvis også den automatisering og orkestrering, som vi designer playbooks omkring.

Hvad sker der nu?

Vi implementerer LogPoint AI med kunder nu, og vi ser allerede en betydelig reduktion i den tid, som teams bruger på at undersøge sikkerhedsbrud. Teams kan også kvantificere den måde, de reagerer på hændelser.

I løbet af de kommende måneder vil vi fortælle mere om, hvordan vi vil fremskynde vores holistiske tilgang endnu mere med SaaS-initiativer, vi arbejder på, og yderligere produktmeddelelser. Hold dig opdateret!

 

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser