Af Nils Krumrey, UK Presales Lead, LogPoint

Cyberangreb bliver mere og mere sofistikerede, og angriberne formår at omgås selv de bedste sikkerhedskontroller og -politikker. Når modstanderne får adgang til et system, er det afgørende at stoppe dem så hurtigt som muligt for at reducere skaden. Udfordringen er, at sikkerhedsdriftsteams skal administrere tusindvis af indikatorer på kompromitteringer og flere forskellige sikkerhedsværktøjer, men har begrænset tid, hvilket gør det vanskeligt at opdage og reagere på skadelige aktiviteter. En effektiv løsning er at prioritere indikatorer på kompromitteringer ved at forbedre din SIEM-løsning med ATT&CK-frameworket fra MITRE Corporation.

ATT&CK ved toppen af pyramiden

ATT&CK-frameworket er en branchestandardiseret klassificering af modstandernes taktikker og teknikker baseret på observationer fra den virkelige verden af forskellige cyberangreb. Frameworket er leverandør-agnostisk og community-drevet, hvilket giver en fælles klassifikation på tværs af flere forskellige produkter og brugere. ATT&CK er et akronym for Adversarial Tactics, Techniques & Common Knowledge, som angiver de forskellige dele af frameworket. Taktikker er trusselsaktørernes målsætninger eller mål, og teknikker er de specifikke metoder, de bruger til at opnå deres mål. Sikkerhedsanalytikere kan bruge frameworket til at forstå modstandernes adfærd, og hvordan angriberne udfører deres angreb.

Sikkerhedsekspert David Bianco introducerede pyramid of pain for at beskrive de forskellige indikatorer på kompromittering for at opdage skadelig aktivitet. Jo længere oppe i pyramiden du identificerer og reagerer, desto vanskeligere eller mere udfordrende er det for angriberen at gennemføre et angreb. Forsvar, der er baseret på indikatorer på kompromitteringer i den nederste halvdel af pyramiden, hashværdier, IP-adresser og domænenavne er enkle for en angriber at omgås og derfor ikke særlig værdifulde for analytikere.

David Bianco's Pyramid of Pain

Det er derfor en god ide at forsvare sig på baggrund af indikatorerne i den øverste halvdel af pyramiden. Netværks- og værtsartefakter, værktøjer og især taktikker, teknikker og procedurer (TTP’er) udgør en større udfordring for angriberne. ATT&CK-frameworket gør det muligt at identificere og reagere på TTP’er, hvilket giver det mest robuste forsvar. Når du forsvarer dit netværk mod TTP’er, forhindrer det angriberne i at bruge deres tilgang og tvinger dem til enten at bruge en masse tid og kræfter på at udvikle nye teknikker eller gå videre til næste mål. Angriberne vil højst sandsynligt vælge sidstnævnte.

Forbedring af din SIEM-løsning med ATT&CK-frameworket

ATT&CK-frameworket indeholder praktisk talt en spilbog med mulige cyberangreb, som fungerer effektivt sammen med SIEM-løsninger. SIEM’er leverer overvågning, identifikation og alarmering af sikkerhedshændelser i et IT-miljø. Ved at forbedre SIEM-funktionerne med den threat intelligence, som ATT&CK-frameworket rummer, kan analytikerne bedre forstå detaljerne ved et angreb.

Når din SIEM-løsning genererer en alarm, forstår du, hvorfor den går i gang. Kortlægning af alarmen i forhold til ATT&CK-frameworket giver dig mulighed for at forstå, hvad alarmen betyder. Analytikere kan f.eks. se, om en alarm hænger sammen med en specifik ATT&CK-teknik, en kendt trusselsgruppe, eller om der er tale om alarmer, der tilsyneladende ikke er relaterede, for at danne sig et bedre billede.

Det er f.eks. muligt at identificere, om en hændelse er et røgslør for noget andet, der sker i miljøet. En forbedring af din SIEM-løsning med ATT&CK-frameworket giver tydeligere indikatorer, så du kan opdage en trussel hurtigere og reagere derefter.

Sådan bruger LogPoint MITRE ATT&CK

LogPoints SIEM-løsning dækker en væsentlig del af ATT&CK-frameworkets use cases. LogPoint kortlægger f.eks. alle sine søgninger omkring frameworket for at gøre det nemmere for analytikere at indsamle solid threat intelligence og identificere indikatorer på en kompromittering i forhold til TTP’er. Et andet eksempel på, hvordan LogPoint bruger ATT&CK-frameworket, er alarmregler. ATT&CK-modellen tildeler et unikt ID til hver af modstandernes taktikker, og alle aktiverede alarmregler i LogPoint returnerer en alarm med et ATT&CK-ID vedhæftet. ID’et gør det nemt for en analytiker at se, om forskellige alarmer matcher et enkelt angreb, der følger en fastlagt sekvens.

LogPoints UEBA-modul bruger machine learning til at registrere mistænkelig bruger- og enhedsadfærd. Teknologien bag UEBA supplerer identifikationsfunktionerne perfekt med de taktiske metoder i frameworket. I stedet for rigide søgninger eller andre datakonstruktioner, der typisk kombineres med en SIEM-løsning, matcher LogPoints UEBA machine learning-algoritmerne med faktiske praktiske scenarier i stedet for ikke-sammenhængende, enkeltstående interessepunkter.

Mitre ATT&CK framework

LogPoint ATT&CK Navigator

Mange SIEM-udbydere tilbyder en specifik dækning af ATT&CK-frameworket, men kun få kan sætte et præcist tal på de use cases, der er omfattet af frameworket. Det er nemmere at danne sig et komplet billede af den faktiske værdi af SIEM-løsningen, når det er muligt at se, hvor mange use cases der er omfattet af ATT&CK. LogPoint giver fuld gennemsigtighed i, hvilke taktikker og teknikker der er dækket med LogPoint ATT&CK Navigator.

Du kan læse mere om, hvordan du bruger MITRE ATTA&CK i LogPoint på vores websted.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser