Detekteringsutmaningen

Som vi alla vet är perfekt säkerhet en omöjlighet… Säkerhetsexperter bör inte utgå från att de kan förhindra alla intrångsförsök och bör snarare planera för möjligheten att intrång kommer att ske. Säkerhetsexpertens mål bör i stället vara att så snabbt som möjligt upptäcka och återställa systemen efter intrång för att minimera deras påverkan.

För att uppnå detta bör man tillämpa djupförsvarsprincipen och använda överlappande kontroller för att minimera antalet möjliga enskilda intrångsvägar. Man bör i första hand ha en riskbaserad syn på säkerhet där man identifierar de viktigaste tillgångarna och var den största risken finns, för att sedan skydda dem genom att tilldela resurserna därefter. Förebyggande kontroller bör användas där så är möjligt, men detekteringskontroller bör användas där prevention inte är möjlig.

Det faktum att digitala resurser är baserade på programvara gör att loggdata ofta är lättillgängliga, och med en kompletterande SIEM-lösning kan man i princip knyta en detekteringskontroll till varje enhet eller applikation som kan generera loggar.

Vi kan utnyttja Threat Intelligence för listor över kända IOC:er (Indicators of Compromise) för att underlätta identifiering av hot. Denna metod har använts framgångsrikt i årtionden med verktyg som antivirus, IDS, skräppostfilter osv. Men metoden medför dock vissa utmaningar:

För det första växer hotbilden ständigt, vilket innebär att det alltid kommer nya hotindikatorer (IOC:er) som man behöver söka utöver de gamla. Detta leder till utmaningar när det gäller att upprätthålla allt större förteckningar över hotindikatorer. Dessutom kan angripare enkelt ändra vissa attribut för attacken, till exempel källans IP-adress för nätverksbaserade attacker eller bara en enda bit i skadeprogrammets kod så att det inte längre matchar befintliga IOC:er.

Det viktigaste är dock att även om denna metod är tämligen effektiv mot kända hot så kräver den att någon tidigare har identifierat och skapat en signatur för hotet. Så därför fungerar den inte mot zero-day-sårbarheter eller okända hot.

När man planerar en detekteringsstrategi måste man ta hänsyn till både kända och okända hot. Hur ska man identifiera okända hot, med tanke på att man behöver förlita sig på detekteringskontroller?

Man ser inte skogen för alla träd

Beteendeanalys inom säkerhet är en metod för att upptäcka hot som föreskriver ett fokus på att förstå beteendena hos användare och entiteter (servrar, filresurser osv.) inom din miljö samt beteenden hos dina angripare, inklusive deras motiv och metoder. Med denna insikt kan du identifiera potentiellt illasinnade aktiviteter – inte bara genom att kunna identifiera kända illasinnade beteenden utan även genom att kunna upptäcka subtila förändringar i användarnas och entiteternas kända beteenden i din miljö. Och dessa förändringar kan vara en biprodukt av skadliga aktiviteter.

Beteendeanalys skiljer sig från traditionell IOC-detektering genom att det dikterar att du tar en helhetssyn på makroskopisk nivå av din miljö jämfört med en mikroskopisk vy när du bara fokuserar på signaturdetektering. Denna metod minskar en av de främsta svårigheterna med traditionell signaturdetektering eftersom det handlar om att hantera den ständigt växande listan över kända skadliga objekt som du behöver söka efter. Med beteendeanalys kan du fokusera på ett begränsat antal angreppsbeteenden jämfört med ett oändligt antal signaturer från traditionella signaturbaserade metoder.

Den andra viktiga fördelen med beteendeanalys jämfört med traditionella signaturbaserade detekteringsmetoder inom säkerhet är att den är effektiv mot såväl kända som okända hot. Anledningen till detta är att beteendeförändringar kan fungera som en indikation på att något är fel även om beteendet aldrig tidigare har observerats.

Det är svårt att spåra angripares beteenden

Att söka efter beteendemönster i IT-miljön är i vissa avseenden svårare än att leta efter signaturer från kända skadeprogram, men det kan vara mycket mer givande. Idén föreslogs först av David Bianco, en incidenthanterare hos FireEye redan 2014, som beskrev det som han kallade ”smärtpyramiden”.

Pyramiden representerar de styrkorna och svagheterna med att använda olika IOC:er i två dimensioner: en stapel som rangordnar olika IOC-typer vad gäller hur enkla de är att implementera och den relativa storleken på omfånget hos varje IOC-typ. Längst ned i pyramiden finns hashvärden som är rikliga och lätta att upptäcka och högst upp i pyramiden finns TTP (taktik, tekniker och procedurer, dvs. beteenden) som är betydligt mindre vanliga och även de som är svårast att identifiera och spåra.

Pyramid of pain David Bianco

Källa: Pyramid of pain, David J. Bianco

Även om det är mycket enkelt att identifiera filhasher från känd skadlig kod så är det lika enkelt för en angripare att ändra hash-värdet för den skadliga koden genom att helt enkelt ändra en enda bit i koden. Det gör det mycket enkelt för angripare att ta sig igenom skydd som förlitar sig på signaturer.

Lyckligtvis så finns det en korrelation mellan svårigheten att implementera detektering och svårigheten för en angripare att ändra ett IOC när vi rör oss uppåt i pyramiden. Även om det är svårt att spåra angripares beteenden så är det också svårt för angripare att ändra dessa beteenden, och det finns också betydligt färre av dem att spåra jämfört med filhashar.

Vi kan konstatera att även om en djupförsvarsstrategi är bästa praxis, så bör kontrollerna som implementeras högst upp i pyramiden vara mer effektiva än de som finns längst ned. Vi bör med andra ord försöka implementera dem där det är rimligt. Detta leder naturligtvis till frågan: hur kan vi börja implementera beteendemetoder i vårt säkerhetsprogram?

Nedan kommer jag att diskutera två sätt som LogPoint kan hjälpa dig att implementera beteendeanalys i ditt säkerhetsprogram: genom att utnyttja MITRE ATT&CK-ramverket och UEBA (User and Entity Behavior Analytics).

MITRE ATT&CK

MITRE ATT&CK® är en community-driven kunskapsbas med angreppstaktiker och -metoder som bygger på verkliga observationer. Den upprätthålls av organisationen MITRE, som är en privat ideell organisation finansierad av den amerikanska regeringen för att bedriva forskning inom cybersäkerhet. ATT&CK-kunskapsbasen används som en grund för utveckling av specifika hotmodeller och metoder inom den privata sektorn, inom den offentliga sektorn och i produkt- och tjänstecommunityn för cybersäkerhet.

ATT&CK-ramverket gör det möjligt för säkerhetsteam att utnyttja angreppskunskaper som har samlats in av tusentals säkerhetsforskare över hela världen. Ramverket hjälper dem att både förbereda sig för och reagera på cybersäkerhetshot. Genom att integrera ATT&CK i detekterings- och åtgärdsprogram kan säkerhetsteam identifiera angreppsmönster i till synes godartade aktiviteter.

Genom att anpassa sina produkter efter ATT&CK-ramverket kan LogPoint utnyttja alla kända metoder för att upptäcka och spåra olika taktiker, tekniker och procedurer som används av angripare. LogPoint kan utnyttja beteendesignaturer från open source-projekt som Sigma SIEM-projektet. LogPoint-användare kan överlagra detekteringar i ramverket för att bättre förstå potentiella sårbarheter i sitt försvar och förutse potentiella nästa steg från angriparen.

Förstå din miljö

Medan Mitre ATT&CK-ramverket möjliggör en outside-in-metod för att förstå angreppsbeteenden, tillhandahåller LogPoint UEBA inside-out-metoder för beteendesäkerhet för att förstå din miljö så pass bra att du kan upptäcka subtila förändringar som kan tyda på ett angreppsbeteende.

UEBA använder oövervakad maskininlärning för att komplettera SIEM:s traditionella regelbaserade och signaturbaserade detekteringskapacitet. UEBA modellerar varje användares och entitets beteende i din miljö vid olika tidpunkter på dagen, veckodagar och veckor i månaden. Sedan används dessa basnivåer som basis för att identifiera avvikelser som den kan tillämpa heuristiska algoritmer på, för att fastställa sannolikheten för att de observerade skillnaderna i beteende kan tyda på ett hot.

Oövervakad maskininlärning kan också användas för att gruppera användare och enheter som har liknande beteendemönster. Dessa grupperingar kan vara mycket viktiga för att förbättra detekteringsprecisionen. Förutom att jämföra en enskild entitets beteende med dess egen basnivå så kan du även jämföra en enhets nuvarande beteende med gruppens basnivå. Denna jämförelse minskar risken för falska positiva resultat i situationer där en användare gör någonting nytt, vilket annars är ett mycket vanligt beteende hos kollegorna.

Omvandla rådata till användbar information – ”actionable intelligence”

UEBA bygger på användning av datavetenskap för att utnyttja statistiska metoder vid identifiering av avvikelser, även om vi inte bör förvänta oss att våra säkerhetsanalytiker också är dataforskare. Utmaningen ligger sedan i att förstå dessa avvikelser och tillhandahålla sammanhang och domänexpertis kring dem som en säkerhetsanalytiker kan agera utifrån. Istället för att bara varna analytikern om en avvikande händelse utan något sammanhang så kan LogPoint tillhandahålla användbar information på ett mycket tydligt och entydigt sätt.

Justera larm efter riskpoäng

LogPoints UEBA erbjuder två fördelar: Först upptäcker det avvikande beteenden och avgör om de är misstänkta eller legitima med en hög grad av visshet. Analysen bygger på förståelse av sammanhanget och är svår eller i princip omöjlig att automatisera med icke-beteendebaserade metoder.

Den andra fördelen med UEBA är att det tilldelar riskpoäng till varje användare och entitet i organisationen som motsvarar antalet och allvarlighetsgraden av de avvikande händelserna som användaren/entiteten är knuten till.

Dessa riskpoäng ger ytterligare en dimension till regelbaserad analys inom hela SIEM. Istället för att bli varnad när en användare gör något som kan vara harmlöst eller skadligt, som att öppna en fildelningswebbplats, kan ett smartare larm konfigureras så att den bara varnar när användare med höga riskpoäng besöker fildelningswebbplatsen. Detta resulterar i en ökad känslighet för larm med färre falska positiva och negativa resultat.

Beteendeanalys minskar angriparens uppehållstid

Baserat på djupförsvarsprincipen kommer det alltid att finnas ett värde i att utnyttja överlappande kontroller, vilket innebär att det kommer att finnas ett fortsatt värde i att utnyttja traditionella signaturdetekteringsmetoder som IDS, svartlistor och antivirus. Skälet till detta är att de kan vara mycket effektiva för att filtrera bort kända angreppsmetoder och att de är relativt enkla att implementera.

Men med detekteringskontroller måste man vara medveten om att alltför många larm/aviseringar från för många kontroller kan distrahera och överväldiga våra säkerhetsteams begränsade resurser. För att minska angriparens uppehållstid behöver vi hitta sätt att filtrera bort bruset och uppmärksamma våra säkerhetsteam på vad som är viktigast för stunden. Det räcker inte med enbart traditionella, signaturbaserade detekteringsmetoder. Beteendeanalys inom säkerhet kan komplettera dessa metoder och fylla många av de luckor som dessa metoder ger upphov till.

LogPoint erbjuder två sätt att implementera beteendetekniker: För det första innebär anpassningen till MITRE ATT&CK att LogPoint gör det enklare förstå och upptäcka angripares beteenden. För det andra erbjuder UEBA ytterligare en kompletterande teknik för beteendeanalys genom att hjälpa säkerhetsteam att bättre förstå när något utöver det vanliga kan vara en indikation på intrång.

Tillsammans med klassledande loggning och analys gör dessa två metoder det möjligt för organisationer att bearbeta och sammanställa miljardtals säkerhetshändelser och tusentals larm till en prioriterad och hanterbar lista över en handfull säkerhetsincidenter. LogPoints uppdrag är att göra det möjligt för säkerhetsteam att snabbt upptäcka och reagera på hot för att minimera den tid som angripare kan tillbringa i miljön och de skador de kan orsaka.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews