Av Christian Have, LogPoint CTO

Funktionaliteten i SOAR driver på övergången från säkerhetsanalys till säkerhetsdrift på LogPoint I det här blogginlägget beskriver LogPoints CTO Christian Have vägen från identifiering till holistisk respons.

Det räcker inte med att bara identifiera en attack. Angripare ökar hastigheten och komplexiteten på sina ständiga attacker på låg till medelhög nivå och försvagar organisationer genom tusentals angrepp. Och hur identifierar dagens säkerhetsledare luckor i säkerheten för att reagera på de ständiga attackerna enbart genom identifiering?

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

CISO:er står inför en mängd attacker som försvagar och utmanar företagets överlevnad. Från att stjäla hemligheter till att påverka verksamheten och hålla data gisslan med offentliga läckor som straff för utebliven betalning, är CISO:er ständigt under attack. Med cyberattacker som ständigt försöker försvaga försvaret över tid räcker det inte med att bara identifiera incidenter. Ett holistisk metodik blir viktigare än någonsin.

Angripare ökar hastigheten och komplexiteten på sina ständiga attacker på låg till medelhög nivå och försvagar organisationer genom tusentals angrepp

Övergång från säkerhetsanalys till säkerhetsdrift

Jag är mycket stolt över att kunna säga att LogPoint förvärvade Universal XDR-leverantören SecBI för ett par månader sedan. Förvärvet var kulmen på en utveckling inom LogPoint för att förbättra incidentundersökning som startade för flera år sedan med vår Automatic Investigations-plattform (AI).

Vi designade LogPoint AI för att använda en datadriven metod för undersökningar genom att:

  • Analysera hur användare av systemet agerade och upprepa rätt åtgärder nästa gång en incident inträffar
  • Analysera vilka data som vanligtvis var associerade med en incident och associera liknande data nästa gång en incident inträffade
  • Lära från aktiva och avslutade ärenden och användning av relevanta metadata för att tillämpa lärdomarna på andra fall

För övrigt har SecBI forskat fram och byggt upp en Autonomous Investigations-funktion som hade samma syfte med att påskynda analys och undersökning.

I och med lanseringen av vår nya lösning LogPoint SOAR har forskningen och vidareutvecklingen av dessa mer avancerade funktioner för undersökningar hittat ett hem.

Jag är glad över att kunna dela med mig av vår vision för säkerhetsdrift och reflektera över hur LogPoints övergång från säkerhetsanalys till säkerhetsdrift kommer att påverka våra kunder under de kommande åren.

Datadrivet beslutsfattande för analytiker och CISO:er

En allt viktigare balans som säkerhetsteam – i synnerhet säkerhetschefer – måste uppnå är hur resurserna används.

För en CISO är det ovärderligt att ha förmågan att avgöra om en specifik säkerhetskontroll är värdefull och kommer att tillhandahålla användbar information, samtidigt som kostnaden är motiverad jämfört med en annan kontroll eller en extern specialiserad tjänsteleverantör.

Säkerhetsanalytikern måste hitta samma balans. Arbetar analytikern med rätt incident, som täcker rätt omfattning av system och har rätt mängd kontextuell information om hotaktörernas taktiker, tekniker och procedurer (TTP)?

Övervakning och validering av skyddsförmågan hos de personer, processer och kontroller som försvarar organisationen

En förbannelse inom säkerhet är att man aldrig vet om man har gjort tillräckligt. Det är en förbannelse som inte kommer att brytas inom en snar framtid, med förändringar i hotbilden, hotaktörers beteenden och framsteg inom detekterings- och responsteknik. Vi kan inte göra oss kvitt förbannelsen därför tvingas vi att utvärdera vår säkerhetsgrad kvantitativt. Med utvärderingen kan vi få insikt i om vår säkerhetsgrad förbättras eller inte. Kvantitativ validering av säkerhetsgrader låter avancerat och komplext, men i verkligheten är det ganska okomplicerat.

Större organisationer känner till och använder teknik för intrångs- och attacksimulering (BAS) för att instrumentera sina säkerhetskontroller och simulera angripares beteenden samtidigt som de noggrant övervakar hur säkerhetskontrollerna presterar. Om din organisation är redo att arbeta lika strukturerat med validering av säkerhetsgrad – toppen! För att maximera säkerhetsteamens, procedurernas och kontrollernas prestanda är det dock nödvändigt att validera mot faktiska attacker.

En förbannelse inom säkerhet är att man aldrig vet om man har gjort tillräckligt. Det är en förbannelse som inte kommer att brytas inom en snar framtid.

I LogPoint arbetar vi med hundratals organisationer för att kvantifiera säkerhetskontrollernas prestanda – inte genom instrumentering av säkerhetskontroller – utan genom att mäta hur väl säkerhetskontrollerna faktiskt presterar på daglig basis.

Vi revolutionerar hur säkerhetsteam talar om sina säkerhetskontrollers kapacitet och processer med våra verkliga mätningar. Vi ger CISO:er ett datadrivet sätt att utvärdera var de ska investera i infrastruktur, processlandskap eller kompetensdomän.

Hantera kvantitativ utvärdering av säkerhetskontroller

LogPoint AI mäter analytikernas beteende, playbook-prestanda, orkestreringsresultat och kan dra slutsatser. Låt oss titta på ett exempel:

Din SIEM-lösning genererar ett larm för Conti ransomware

  1. Ett larm utlöstes som tyder på WMI spookiness (T1047)
    1. Samlar automatiskt inkontextinformation
    2. Knyter larmet till ATT&CK-tekniken
  2. Din beredskapsplan med åtgärder aktiveras direkt
    1. Sätter maskinen i karantän
    2. Förbereder maskinen för fjärrensning
    3. Kontrollerar SIEM-systemet för liknande larm och loggar som innehåller information om intrånget
    •  

Conti har olika sätt att ta sig in i ditt nätverk, där det vanligaste sättet är att utnyttja sårbarheter i Microsoft Exchange Servers webbplattform.

Så vad hände? Det fanns skadlig aktivitet innan våra kontroller trädde i kraft. Genom att utvärdera angriparens TTP:er har vi lärt oss om Contis beteende – skadeprogrammet genererar en Web shell och exekverar PowerShell-skript för få mer permanent åtkomst. Därefter startar Conti intern rekognosans och rör sig till och med lateralt i nätverket och så vidare. SophosLabs har en utmärkt verktygsöversikt som ger oss en inblick i Contis beteende.

Conti Randsomware Tools

Observera hur sent i händelsekedjan och vilka verktyg som används (Lateral Movement) – vi identifierar wmic som utlöser SIEM-larmet.

Ur ett säkerhetsdriftsperspektiv är det fantastiskt att vi identifierade och möjligen lyckades förhindra exfiltrering och efterföljande datakryptering – och därmed avvärjde en ransomwareattack. Men vi upptäckte attacken sent och återställningsarbetet var dyrt. Vilka förbättringar måste vi som säkerhetsorganisation göra för att kunna identifiera intrång tidigare?

  • Saknade vi tillräckliga funktioner för identifiering och respons på slutpunkterna (EDR)?
  • Misslyckades våra proxy- och brandväggfunktioner?
  • Varför kunde vår Threat Intelligence-plattform inte precisera Metasploit eller mimikatz på de komprometterade maskinerna?

Orkestrering är nyckeln till tidigare identifiering

Självklart är det lätt att ställa frågor om vad vi kunde ha gjort bättre. För att ligga steget före som säkerhetsteam måste vi instrumentera vår säkerhetsdriftplattform. Lyckligtvis är orkestreringsaspekten av säkerhetsautomation den avgörande källan för att förbättra säkerhetsdriften.

Playbooks kommer att ha en koppling till EDR:er, brandväggar och proxies, samt Threat Intelligence-plattformar. I takt med att playbooks mognar med organisationen och analytikerna fortsätter att förfina dem ökar säkerhetsdriftens synlighet.

För att ligga steget före som säkerhetsteam måste vi instrumentera vår säkerhetsdriftplattform.

Om vi har en bra EDR på plats, varför upptäcker den inte Conti? Har vi konfigurerat den fel? Antog vi att den distribuerades till alla rätta platser?

Anta att vi vet att ett annan Threat Intelligence-leverantör påstår att de har Conti-detektering. I så fall vet vi att vi hade kunna identifiera beteendet mycket tidigare och förhindrat lateral movement med rätt TI-kapacitet.

När säkerhetsteam utvärderar en ny lösning, till exempel EDR, kan de dra nytta av befintliga playbooks och det befintliga ekosystemet av säkerhetskontroller. Resultaten ger oss ett standardiserat sätt att utvärdera hur vi driftsätter tekniken och själva tekniken.

Framtiden för LogPoint SOAR

Funktionaliteten i SOAR driver på övergången från säkerhetsanalys till säkerhetsdrift på LogPoint. SIEM-lösningar som larmar är fantastiska, men en lösning som ger en holistisk metodik för säkerhetsdrift är att föredra. Säkerhetsdrift är mer än bara automatisering av repetitiva uppgifter, orkestrering av hur säkerhetskontroller presterar och playbooks som knyter samman allt. Med en holistisk metodik använder du data från exekveringen av playbooks för att upptäcka luckor i kontroller, processer och till och med hur säkerhetspersonalen presterar.

Med de identifierade luckorna och ett datadrivet sätt att utvärdera säkerhetsprestanda har nu CISO:er en gemensam grund för att diskutera investeringar i produkt X jämfört med Produkt Y kontra MDR kontra tjänst Z. CISO:er kan backa sina diskussioner med data som de kan presentera för säkerhetsteamet och budgeteringsintressenterna.

Med en holistisk metodik använder du data från exekveringen av playbooks för att upptäcka luckor i kontroller, processer och till och med hur säkerhetspersonalen presterar.

Multiplicera teknik genom integration

På tekniksidan investerar vi i att sammanföra SIEM-, SOAR-, UEBA- och EDR-funktionalitet för att stödja vår strävan mot holistisk säkerhetsdrift. För närvarande integrerar LogPoint SOAR med fler än 800 olika teknikplattformar och kan exekvera många åtgärder i varje produkt. Integration är grunden som möjliggör kvantitativ utvärdering, men naturligtvis också den automatisering och orkestrering som vi designar playbooks kring.

Vad händer härnäst?

Vi driftsätter nu LogPoint AI hos kunder och vi ser redan en betydande minskning av den tid som teamen lägger på att undersöka intrång. Team kan också kvantifiera hur de reagerar på incidenter.

Under de kommande månaderna kommer vi att berätta mer om hur vi kommer att påskynda vår holistiska metodik ytterligare med SaaS-initiativ som vi arbetar med och ytterligare produktmeddelanden. Håll ögonen öppna!

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner