Av Christian Have, LogPoint CTO

SOARs funksjoner bidrar til at LogPoint tar skrittet fra sikkerhetsanalyser til sikkerhetsoperasjoner. I dette blogginnlegget beskriver LogPoint CTO Christian Have veien fra deteksjon til helhetlig respons.

Det er ikke nok å bare oppdage et angrep. Inntrengerne øker hastigheten og raffinementet på sine ubarmgjertige nettangrep (på lavt til middels nivå), og kveler effektivt organisasjoner tiil døde gjennom tusenvis av avbrudd. Og hvordan identifiserer dagens sikkerhetsledelse sikkerhetshull for å kunne reagere på de konstante angrepene bare ved hjelp av deteksjon?

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt

CISO-er står overfor et bombardement av angrep som svekker og utfordrer selskapets mulighet til å overleve. CISO-er under konstant angrep. De utsettes for alt fra å få stjålet sensitiv informasjon til påvirkning av virksomheten og løspengekrav for å unngå lekkasjer til offentligheten. Med alle disse nettangrepene som forsøker å svekke forsvaret, er det ikke lenger nok bare å oppdage hendelsene. En helhetlig tilnærming blir viktigere enn noen gang.

Inntrengerne øker hastigheten og raffinementet på sine ubarmgjertige nettangrep (på lavt til middels nivå), og kveler effektivt organisasjoner til døde gjennom tusenvis av avbrudd

Overgangen fra sikkerhetsanalyser til sikkerhetsoperasjoner

Jeg er veldig stolt og fornøyd over at LogPoint kjøpte Universal XDR-leverandøren SecBI for et par måneder siden. Oppkjøpet er et naturlig skritt videre for å forbedre hendelsesundersøkelser som startet for mange år siden med LogPoints Automatic Investigations (AI)-plattform.

Vi utviklet LogPoint AI til å ha en datadrevet tilnærming til undersøkelser ved å:

  • Analysere hvordan brukere av systemet handlet og gjenta de riktige handlingene neste gang en hendelse dukket opp
  • Analysere hvilke data som vanligvis var knyttet til en hendelse og knytte til lignende data neste gang en hendelse fant sted
  • Lære fra aktive og lukkede hendelser og bruke de relevante metadataene ved andre hendelser

Samtidig undersøkte og utviklet SecBI opp en evne til autonome undersøkelser, som også hadde som formål å prioritere og undersøke raskere.

Med kunngjøringen av vår nye løsning LogPoint SOAR, har forskningen og videreutviklingen av disse mer avanserte funksjonene for undersøkelser resultert i en konkret løsning.

Jeg er glad for å kunne dele vår visjon for sikkerhetsoperasjoner og refleksjoner om hvordan LogPoints overgang fra sikkerhetsanalyse til sikkerhetsoperasjoner vil påvirke kundene våre i årene som kommer.

Datadrevet beslutningstaking for analytikere og CISO-er

En stadig mer kritisk balanse som sikkerhetsteam, spesielt sikkerhetsledere, må strebe etter, er ressursbruken.

For CISO er det av uvurderlig betydning å ha muligheten til å avgjøre om en bestemt sikkerhetskontroll er verdifull og vil gi nyttig informasjon, samtidig som den begrunner kostnaden sammenlignet med en annen kontroll eller en ekstern leverandør av eksperttjenester.

Sikkerhetsanalytikeren må finne den samme balansen. Arbeider analytikeren med riktig hendelse, som viser riktig omfang og mengde kontekstuell informasjon om trusselaktørenes taktikker, teknikker og prosedyrer (TTP-er)?

Overvåke og validere beskyttelsen til mennesker, prosesser og kontroller som forsvarer organisasjonen

Dessverre er det også slik at innen sikkerhet vet du aldri når du har gjort nok. Dette er en naturlig følge av alle endringer vi ser i trussellandskap, trusselaktøratferd og fremskritt innen deteksjons- og responsteknologi. Dette er noe vi er nødt til å forholde oss til, og vi må derfor vurdere sikkerhetsstillingen vår kvantitativt. Med evalueringen kan vi få innsikt i om stillingen vår er blitt bedre eller ikke. Kvantitativ validering av sikkerhetsstilling høres avansert og komplisert ut, men i virkeligheten er det ganske enkelt.

 

Større organisasjoner kjenner til og bruker teknologi for angrepssimulering (BAS) til å instrumentere sikkerhetskontrollene og simulere angrepsatferden samtidig som de nøye overvåker hvordan sikkerhetskontrollene fungerer. Hvis organisasjonen din er klar til å arbeide strukturert med validering av sikkerhetsstillinger – flott! Men for å maksimere ytelsen til sikkerhetsteamet, prosedyrene og kontrollene er det imidlertid nødvendig å validere mot faktiske angrep.

Dessverre vet du aldri når du har gjort nok innen sikkerhet. Men det har vi nå tenkt å gjøre noe med.

I LogPoint samarbeider vi med hundrevis av organisasjoner for å kvantifisere ytelsen til sikkerhetskontroller, ikke gjennom instrumentering av sikkerhetskontrollene, men ved å måle hvor godt sikkerhetskontrollene faktisk fungerer i det daglige.

Gjennom våre virkelighetsbaserte målinger, bidrar vi til å revolusjonere hvordan sikkerhetsteamene snakker om kontrollenes egenskaper og prosesser. Vi gir CISO-er en datadrevet metode for å evaluere hvor de skal investere i infrastruktur, prosesslandskap eller kompetansedomene.

Administrere kvantitativ evaluering av sikkerhetskontroller

LogPoint AI måler analytikerens atferd, strategi, orchestration-resultater og kan trekke sine konklusjoner – la oss se på et eksempel:

Din SIEM genererer en løspengealarm fra Conti

  1. Et varsel ble utløst og antydet WMI-svindel (T1047)
    1. Samler kontekst automatisk
    2. Kobler varselet til ATT&CK-teknikken
  2. En strategi for å utbedre skadene starter umiddelbart
    1. Setter maskinen i karantene
    2. Klargjør maskinen for fjernsletting
    3. Kontrollerer SIEM for lignende varsler og logger for å begrense sikkerhetsbruddet
    •  

Conti har ulike måter å komme inn i nettverket på, de vanligste måtene er å utnytte Microsoft Exchange-serverens webplattform.

Så hva skjedde? Vel, det var skadelig aktivitet før kontrollene våre ble så effektive. Ved å evaluere TTP-ene til angriperen har vi lært at Conti oppretter et nettskall og kjører PowerShell-skript for å sikre mer permanent tilgang. Deretter starter Conti intern reconnaissance og beveger seg til og med sideveis i nettverket osv. SophosLabs har en utmerket verktøyoversikt som gir oss innsikt i Contis atferd.

Conti Randsomware Tools

Legg merke til hvor sent i kjeden av hendelser og verktøy som er tatt i bruk (Lateral Movement) vi legger merke til wmic – det som utløser SIEM-varselet.

Fra et sikkerhetsoperasjonsperspektiv er det flott at vi oppdaget og muligens klarte å forhindre eksfiltrering og påfølgende datakryptering – og forhindre et løspengevirusangrep. Vi oppdaget imidlertid angrepet sent, og oppryddingen var dyr. Hvilke forbedringer må vi gjøre som sikkerhetsorganisasjon for å oppdage hendelsen tidligere?

  • Manglet vi tilstrekkelige funksjoner for å identifisere og respondere (EDR)?
  • Sviktet proxy- og brannmurfunksjonene oss?
  • Hvorfor var ikke trusseletterretningsplattformen vår i stand til å identifisere Metasploit eller mimikatz på maskinene med sikkerhetsbrudd?

Orchestration er nøkkelen til tidligere deteksjon

I etterkant er det selvfølgelig lett å stille spørsmål om hva vi kunne ha gjort bedre. For at sikkerhetsteamet skal kunne ligge i forkant av utviklingen, må vi instrumentere sikkerhetsoperasjonsplattformen vår. Heldigvis er orchestration-aspektet ved sikkerhetsautomatisering det kritiske punktet for å forbedre sikkerhetsoperasjoner.

Strategiene vil ha tilgang til EDR-er, brannmurer og proxy-er, samt plattformer for trusselundersøkelser. I takt med at strategiene modnes med organisasjonen og analytikerne fortsetter å forbedre dem, ser vi resultatene av sikkerhetsoperasjonene bedre.

For å komme i forkant av utviklingen som sikkerhetsteam må vi instrumentere sikkerhetsoperasjonsplattformen vår.

Hvis vi har en god EDR på plass, hvorfor oppdager den ikke Conti? Har vi feilkonfigurert den? Antok vi at den ble distribuert alle de riktige stedene?

Tenk deg at vi kjenner til en annen trussel som leverandøren av undersøkelsen hevder har Conti-deteksjon. I så fall vet vi at vi kunne ha flagget atferden mye tidligere og hindret lateral movement med riktig TI-kapasitet.

Når sikkerhetsteamene evaluerer en ny løsning, for eksempel EDR, kan de sette den i gang med sine nåværende strategier og økosystemet av sikkerhetskontroller. Resultatene gir oss en standard måte å evaluere hvordan vi bruker teknologien på, og selvfølgelig også selve teknologien.

Fremtiden til LogPoint SOAR

SOARs funksjoner bidrar til at LogPoint tar skrittet fra sikkerhetsanalyser til sikkerhetsoperasjoner. SIEM-er som utløser et varsel er bra, men en løsning som gir en helhetlig tilnærming til sikkerhetsoperasjoner er å foretrekke.

Sikkerhetsoperasjoner handler om mer enn bare å automatisere repeterende oppgaver, organisere hvordan sikkerhetskontroller fungerer og strategiene binder det hele sammen. Med en helhetlig tilnærming bruker du dataene fra bruken av strategier til å avdekke hull i kontrollene, prosessene og til og med i forhold til hvordan sikkerhetspersonalet har prestert.

Når hullene er identifisert og det er utført en datadrevet måte å evaluere sikkerhetsytelsen på, har CISO-er et felles grunnlag for å diskutere investeringer i produkt X vs. Produkt Y vs. MDR vs. Service Z. CISO-er kan støtte opp under diskusjonene med data som de kan presentere for sikkerhetsteamet og budsjetteringsinteressenter.

Med en helhetlig tilnærming bruker du dataene fra bruken av strategier til å avdekke hull i kontrollene, prosessene og til og med i forhold til hvordan sikkerhetspersonalet har prestert.

Multiplisering av teknologien gjennom integrasjon

På teknologisiden investerer vi i å forene SIEM-, SOAR-, UEBA- og EDR-funksjoner for å støtte arbeidet mot helhetlige sikkerhetsoperasjoner. I dag er LogPoint SOAR integrert med mer enn 800 forskjellige teknologiplattformer og kan utføre mange handlinger i hvert produkt. Integrasjon er selve grunnlaget for kvantitativ evaluering, men det muliggjør selvfølgelig også automatisering og orchestration som vi utvikler strategiene våre rundt.

Hva er det neste?

I dag distribuerer vi LogPoint AI med kundene, og vi ser allerede en betydelig reduksjon i tiden teamene bruker på å undersøke sikkerhetsbrudd. Teamene kan også kvantifisere måten de reagerer på hendelsene på.

I løpet av de kommende månedene vil vi dele mer om hvordan vi kan fremskynde en helhetlig tilnærming ytterligere med SaaS-tiltak vi jobber med samt andre produktannonseringer. Følg med!

 

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser