Av Christian Have, LogPoint CTO

LogPoints uppdrag handlar om att ”skapa världens bästa SIEM”, där ”skapa” är en tydlig referens till vårt mantra att snabba på identifiering och respons. Under det senaste året och under de nästkommande åren hjälper vi företag att upptäcka och reagera snabbare än någonsin tidigare. Om vi blickar framåt ser vi att även de bästa verktygen inte hjälper företag att upptäcka eller reagera snabbare utan en gedigen säkerhetsgrund.

En tillbakablick på 2020

Under 2020 publicerade vi många artiklar som belyser hur man identifierar skadlig kod och skadliga aktiviteter i nätverk. Vi lanserade också flera produktfunktioner och förbättringar, inklusive ökad täckning av UEBA-källor, ökad detekteringskapacitet för molnet och stöd för MITRE ATT&CK-ramverket. Vi portade dessutom hela detekteringskatalogen till ATT&CK-taxonomin.

Utöver produktegenskaper och artiklar utökade vi vårt Customer Success-team i LogPoint. Teamet hjälper till att påskynda kundanpassningen av nya funktioner genom att vägleda kunderna och tillhandahålla mer innehåll, såsom enhetskonfiguration och dokumentation för att införliva MITRE. När våra kunder använder de senaste funktionerna kan de snabbt identifiera attacker och reagera på dem.

Det är fortfarande viktigt att använda de senaste säkerhetsförbättringarna som skydd mot yttre attacker. Som NSA nämnde i årsrapporten NSA Cybersecurity 2020 är många aktörer beredda och kapabla att lansera störande cyberverksamhet på kritisk infrastruktur, bedriva desinformationskrigföring samt stjäla immateriella tillgångar för att främja sin ekonomi och militär. 2020 Verizon Data Breach Investigations Report konstaterar att externa aktörer genomför 70 % av alla attacker och av dessa är 86 % ekonomiskt motiverade.

Oavsett vilken hotaktör din hotmodell identifierar som farligast så gäller fortfarande principen om snabbare detektering och respons. Acceleration är grundpelaren. Vi ser en förbättring hos våra kunder avseende upptäckt och begränsning av intrång. Oavsett om det är ett resultat av de många högprofilerade och omfattande ransomware-attackerna på senare tid, ökat fokus på lagstiftning eller det faktum att fler kunder söker expertkunskap och detekteringskapacitet hos MSSP:er så kvarstår trenden – tidsramarna för identifiering och respons minskar.

Framåt under 2021

Vår forsknings- och utvecklingsavdelning arbetar för att lösa de tidskrävande stegen och utmaningarna i samband med prioritering så att vi kan förstå vilka bevis som är knutna till en viss incident. Vi utvecklar även vi ett analyslager som omfattar olika detektions- och analysfunktioner som sammanställer och kondenserar observationer, larm och incidenter. Vi kommer att lansera dessa funktioner under 2021 och 2022. När vi tar klivet ut från forsknings- och utvecklingsbubblan och tittar på vilken riktning våra användare tar så förväntar vi oss att se flera trender.

Få ut mer av det du har

Vi börjar med att konstatera en viktig punkt avseende cybersäkerhet: Den minst sexiga lösningen på ett komplext problem är ofta den mest effektiva. Att lägga till mer säkerhetsteknik kan öka komplexiteten och innebär inte nödvändigtvis ett säkrare system. Oavsett hur trivialt MAC (Mandatory Access Control) kan verka så har konceptet Zero Trust fått ett uppsving som omprofilerad MAC – och det med goda skäl. Att hantera informationsflödet genom att säkerställa att paket inte kan korsa säkerhetszoner i nätverket utan att passera en brandvägg eller en innehållsinspektionsprodukt är ett grundläggande men ändå underutnyttjat koncept. Samma sak gäller för att säkerställa att exekveringsflöden har förståtts.

Sannolikheten för ett intrång (och eventuella följder) minskar avsevärt när företag gör sig av med implicita kontroller och i stället tvingar explicita kontroller av nätverkspaket och explicita beteenden hos operativsystem och applikationer. Aktivering av loggning av explicita kontroller ger insyn i vad som händer. Det möjliggör prestandaövervakning av effektiviteten hos säkerhetsarkitekturen som helhet och den specifika kontrollen i detalj.

Slutsats: Vi förväntar oss att fler organisationer tar en ordentlig titt på sin befintliga arkitektur. Istället för att implementera massor med ny teknik kommer de att hitta sätt att vidta enkla åtgärder som begränsar intrångens effekter.

Uppnå situationsmedvetenhet

När ett larm går börjar du som säkerhetsanalytiker analysera situationen: Kräver det en omedelbar åtgärd, en akut åtgärd eller en senare åtgärd?

För att kunna hantera larm på ett effektivt sätt måste du känna att du litar på infrastrukturen, enheten som har utlöst larmet och att alla data finns tillgängliga. Du måste veta att dina kontroller fungerar och att de data som du behöver finns tillgängliga.

Anta att du följer dina säkerhetsprioriteringsrutiner. I såna fall behöver du inte oroa dig särskilt mycket för falska positiva resultat eftersom kontrollerna är explicita och nätverkstrafiken upphör vid proxyservrarna eller brandväggarna. Vad behöver du för att leverera effektiva analysfunktioner?

Du kan ställa dig själv frågor som:

  • Vilken riskmodell har vi att göra med?

    • Vilken riskgrupp tillhör enheten, loggkällan, loggmeddelandet, användargruppen och ATT&CK-teknikens ID?

      • Proffstips: I LogPoint kan du konfigurera statiska och dynamiska listor och korsreferera dessa som en del av larmgenereringen helt automatiskt.

    • Har du rätt underlag för att göra fatta ett beslut?

      • Har UEBA flaggat en användare eller en nätverksenhet som är knuten till larmet som illasinnad?

      • Hur ofta har detta larm utlösts tidigare?

        • För den här användaren?

        • För denna IP-adress?

        • Vilka andra larm har utlösts för användaren eller systemet?

      • Har din MISP eller STIX Threat Intel-feed flaggat något associerat loggmeddelande?

      • Använde din Windows-infrastruktur Sysmon och en specialanpassad config-fil?

      • Ligger det berörda systemet efter i säkerhetsuppdateringar?

      • Har din Malware Sandbox, EDR eller XDR tillhandahållit stödjande bevis?

Efter att ha besvarat dessa frågor blir det uppenbart att enbart teknik inte kan lösa allt. Du måste ha ditt säkerhetsfundament i ordning.

Slutsats: Robusta kontroller som är förankrade i ett ramverk för säkerhetsarkitektur frigör analytikernas tid så att de kan fokusera på vad som är viktigast. Och det är riskmodeller och insamling av stödjande bevis för att kunna analysera och prioritera situationen effektivt.

Beslutsunderlag genom data

Insamling av telemetri från system, konsumtion av TI-flöden, berikning av data med kontextuell information från CMDB:er, AD, sårbarhetshantering och rankning av användar-/enhetsbeteenden är viktiga steg mot att hantera en säkerhetsincident.

Det är viktigt att fatta beslut om åtgärder samt vilken typ av beredskapsplan eller vilken typ av eskalering och organisatorisk procedur som ska tillämpas. Det är också viktigt att säkerställa att rätt fokus och prioritet tilldelas, och det är dessutom minst lika viktigt att säkerställa att klassificering och åtgärder är lämpliga.

Analytiker måste beakta flera faktorer för respons och åtgärder:

  • Hur pass allvarlig är påverkan i det aktuella skedet av intrånget?
  • Är finkornig inneslutning en genomförbar metod i detta skede?

Om Zero Trust, tjänstavgränsning och mikrosegmentering används, är det då möjligt att begränsa intrånget samtidigt som merparten av infrastrukturen kan hållas i drift?

Finns det en risk att fokusera på en för smal respons om man tar aktuella insikter i detekterings- och kontrolltäckning i beaktning (med tanke på kunskapen om vilka TTP:er hotaktören använder samt dess riskaptit)?

  • Finns personalresurser, processer och teknik tillgängliga och är de beprövade för att automatisera och orkestrera gällande åtgärder?

Med händelsedata, kontextuella data, hotaktörsdata och situationsmedvetenhet på plats, är organisationen förberedd och redo att potentiellt låsa hundratals konton, isolera system i nätverket, validera integriteten av operativsystem och applikationer och på ett kontrollerat sätt påbörja en kontrollerad återgång till normal drift?

Införandet av verktyg för säkerhetsorkestrering och automation (SOAR) ser lovande ut. SOAR hjälper säkerhetsteam att automatisera repetitiva uppgifter i stor skala, orkestrera sekvenser med automatiserade uppgifter och vidta åtgärder via regler och feedback-loops till input från SIEM- och EDR/NDR-verktyg. Med MITRE ATT&CK-ramverket gör en taxonomi av hotaktörens beteende det möjligt för olika tekniker att utbyta information om TTP:er och telemetri. Vi betraktar MITRE ATT&CK-ramverket som ett sätt att integrera SIEM, SOAR, EDR, NDR, Sandbox och IAM-verktyg via öppna och väldefinierade API:er.

Slutsats: För att uppnå automatisering eller orkestrering av säkerheten måste säkerhetsteamen finjustera säkerhetsarkitekturen och kontrollerna, eller annars riskera att systemen antingen missar eller agerar otillräckligt för att åtgärda intrång. Detta kan leda till en falsk känsla av säkerhet för de team som förlitar sig på dessa funktioner.

Hotaktörer bryr sig inte om din hotmodell eller organisationens byråkrati

Angripare navigerar efter en kurva och försvarare navigerar punktlösningar. En hotaktör tar den enklaste vägen till målet med så få avancerade trick som möjligt, och lämnar så få spår efter sig som möjligt. Hotaktörer har många metoder för att nå sina mål. Därför minskar ett företags avkastning på investeringar i säkerhetsteknik relativt snabbt.

Om din organisation till exempel skaffar en EDR-plattform kommer din hotaktör att angripa via din ERP-plattform. I takt med att antalet säkerhetskontroller ökar, så ökar även komplexiteten, kostnaderna och den utökade angreppsytan för dessa nya kontroller. Detta resulterar i en nettoförändring av säkerheten som närmar sig noll.

Det finns även punktlösningar som Zero Trust för både SAP och molnet. Zero Trust för SAP och molnet har ett värde för företag med genomtänkta beredskapsplaner, analysprocedurer och säkerhetsarkitektur – men det kan finnas bättre ställen att investera i för att få övergripande insyn.

Kontinuerlig övervakning av molnsystem, ERP- och CRM-plattformar och affärsapplikationer med domänspecifik detektering, ATT&CK-mappad larmhantering och samordnad incidenthantering är ett bättre val för de flesta organisationer än att använda punktlösningar. Genom att koppla samman data från dessa applikationer och tillämpa ML- och AI-funktionerna i en SIEM, med UEBA och SOAR, kan organisationer inte bara att använda exempelvis UEBA på data från ERP-systemet, utan även bygga detekteringsdiagram som tar hänsyn till aktiviteter i nätverket, slutpunkter och applikationer.

Slutsats: Hotbilden är verklig, medan punktlösningar tillför mer komplexitet än ökad nätverkssäkerhet om inte fundamentet och arkitekturen är noggrant definierade och följs.

2021 outlook graphic

Sammanfattningsvis: Du kan förvänta dig att dina verktyg hjälper till, men det är fortfarande du som bestämmer.

Under 2021 kommer branschen att trycka på automatisering och incidentorkestrering som en patentlösning. Automatisering och orkestrering är naturligtvis relevant, och vi ser att fler leverantörer lägger till dessa funktioner i såväl befintliga som nya produkter. För att snabba på detektering och respons ytterligare kommer dessa produkter att hävda att de använder ML och AI för att minska analytikernas arbetsbörda.

Om man tittar på var kritiska beslut fattas under analys och respons samt tittar på hur detektering sker så spelar AI och ML en viss roll. Så är även fallet för automatisering. Men viktigast av allt är ändå själva fundamentet. Säkerhetsteamen måste kunna lita på att det finns en fullständig medvetenhet om den rådande situationen, med kontextuell information om att de kontroller och antaganden som vidtas riktar in sig på TTP:erna på rätt sätt.

För oss på LogPoint bygger vi upp möjligheter att exakt avslöja hur angriparen navigerar den enklaste vägen till målet. Vi ger insyn oavsett vilken väg som angreppet tar, med hjälp av detektion och undersökning av varje angreppssteg. Det är det vi kallar accelererad detektion och respons.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews