Wachstum des Geschäfts in turbulenten Zeiten aus der Sicht des CEO von SOC Prime: Teil II

Wie die Fusion von Sigma & MITRE ATT&CK® die kollektive Cyberverteidigung stärkt, um im globalen Cyberkrieg einen Wettbewerbsvorteil zu erlangen

Dieser Artikel basiert auf dem ursprünglichen Interview, das von AIN.UA geführt und im entsprechenden Artikel behandelt wurde.  

Im zweiten Teil des Interviews mit dem Gründer, CEO und Vorsitzenden von SOC Prime, Andrii Bezverkhyi, geben wir Einblicke, wie Sigma in Kombination mit MITRE ATT&CK die Zukunft der Cyberverteidigung gestaltet. Um mehr über SOC Primes Strategie zur Geschäftskontinuität zu erfahren, lesen Sie das erste Interview mit dem CISO von SOC Prime der speziellen Artikelreihe.

Was sind Sigma und MITRE ATT&CK — „Periodensystem“ der Cyber-Bedrohungen

Sigma, eine gemeinsame Sprache für alle Cybersicherheitsexperten weltweit, wurde 2016 geschaffen. Damals machten Florian Roth und Thomas Patzke den allerersten Beitrag zum SigmaHQ GitHub-Repository. Wie funktioniert diese Sprache also?

Traditionell arbeiten Antiviren mit Signaturdatenbanken (der Liste von Indikatoren) für alle bestehenden Bedrohungen. Signaturdatenbanken für proprietäre Antiviren und deren Nachfolger, EDR-Lösungen, sind typischerweise geschlossen, sodass ein normaler Benutzer das Ergebnis der Implementierung beobachtet. Aber mit Sigma-Wissen können Benutzer solche Signaturen für jede bestehende oder aufkommende Bedrohung erstellen und diese Signaturen in eine offene Datenbank hinzufügen, die für jeden zugänglich ist.

Sigma ermöglicht es, die Verhaltenssignatur für jede Sicherheitstechnologie von lokalen Ereignisregistern für Microsoft Windows oder Sysmon bis zu AWS-Telemetrie oder Docker-Containern auszudrücken, was es Detection Engineers ermöglicht, das genaue Problem zu identifizieren und wo es aufgetreten ist. Durch die Nutzung von Sigma kann der Unternehmen-Admin Phishing über Email-URLs identifizieren, Versuche, eine Zero-Day-Sicherheitslücke in der Webanwendung der Organisation auszunutzen, oder potenzielle Multi-Faktor-Authentifizierung (MFA) Angriffe, die den Unternehmens-Slack-Arbeitsbereich betreffen.

SOC Prime-Experten gehören zu den Pionieren im Einsatz von Sigma-Regeln für effektive Bedrohungserkennung und proaktive Cyberabwehr. Außerdem hat das Unternehmen bei der Kennzeichnung von Sigma-Regeln mit dem MITRE ATT&CK Framework pioniert, das als weltweit zugängliche Wissensbasis von Angreifer-TTPs fungiert, die von allen Cyber-Verteidigern genutzt werden, unabhängig von ihrer Rolle in der Cybersicherheit und dem verwendeten Technologiestack. Das Framework wurde von MITRE erstellt und ist ähnlich wie Sigma ein Open-Source-Projekt, das von der globalen Gemeinschaft von Experten gepflegt und entwickelt wird.

Sigma-Regeln sind weitgehend empfohlen als effektive Methode zur Identifizierung von Bedrohungen und proaktiven Erkennung von Cyberangriffen durch Organisationen wie das Federal Bureau of Investigation (FBI), die National Security Agency (NSA), das Australian Cyber Security Centre (ACSC) und das Canadian Centre for Cyber Security (CCCS). Die Cybersecurity and Infrastructure Security Agency (CISA) bezieht sich auf ATT&CK als eine „weltweit zugängliche Wissensbasis von Angreifertaktiken und -techniken, basierend auf realen Beobachtungen.“

Vor MITRE ATT&CK war das Reifelevel in der Cybersicherheit dasselbe wie in der Physik und Chemie vor der Erfindung des Periodensystems. Es ist eine kategorisierte Wissensbasis aller weltweit aufkommenden Cyberangriffe. So agiert Sigma als Sprache und das ATT&CK Framework als Methodologie, um Cyberbedrohungen jeglicher Größenordnung zu bekämpfen.

Andrii Bezverkhyi, Gründer, CEO und Vorsitzender von SOC Prime

Wie funktioniert das in der Praxis? Im Fall des berüchtigten NotPetya-Angriffs wurden Sigma-Regeln zur Bedrohungserkennung von einem der Sigma-Erfinder, Florian Roth, und dem Cybersicherheitsexperten Tom Ueltschi erstellt. Gleichzeitig nutzte das SOC Prime-Team diese Sigma-Regeln, um Opfern des NotPetya-Angriffs sofort zu helfen, indem sie Sigma mit ATT&CK und Lockheed Martin Cyber Kill Chain (LMCKC) Technologien kombinierten. Es war der weltweit erste Einsatz von Sigma-Algorithmen in Kombination mit ATT&CK, um die wirkliche Bedrohung zu identifizieren und zuzuordnen.

Während des Sandworm-Angriffs auf die ukrainischen Kraftwerke im April 2022 identifizierte das SOC Prime-Team 9 von 13 Methoden, die von Bedrohungsakteuren eingesetzt wurden, mit denselben Technologien. Bemerkenswert ist, dass Sigma-Regeln für diesen Angriff zwei Jahre zuvor, im Jahr 2020, entwickelt wurden.

SOC Prime ist einer der renommierten Experten im Einsatz von Sigma und MITRE ATT&CK, um Bedrohungen einfacher, schneller und effizienter als je zuvor zu erkennen. Im Mai 2022 präsentierte der CEO von SOC Prime beim Neunten EU MITRE ATT&CK Community Workshop in Brüssel. Während seiner Präsentation sprach Andrii Bezverkhyi über den Einsatz von Sigma und ATT&CK, um der russischen Aggression an der Cyberfront standzuhalten, indem er das Framework als einen der Hauptpfeiler der kollektiven Cyberabwehr und seine wesentliche Rolle im Kampf gegen globale Cyberbedrohungen anwendete. Von nun an dienen diese Technologien der ukrainischen Nation.

Wie die Kombination von Sigma und MITRE ATT&CK der Ukraine hilft, den Feind zu bekämpfen

Seit dem Ausbruch des umfassenden Krieges wandte sich Andrii Bezverkhyi an das SSSCIP mit dem Angebot, Sigma in Verbindung mit ATT&CK als eine auf dem realen Schlachtfeld bereits getestete Technologie anzuwenden.

Wir haben das weltweit größte Repositorium von Signaturen zur Erkennung von Angreiferangriffen und sind bereit, diese Signaturen Organisationen in der Ukraine bereitzustellen. Zudem helfen wir bei der Installation und den Einstellungen, schulen Mitarbeitende, und 99% davon machen wir kostenlos. So begannen wir mit den Teams von SSSCIP und CERT-UA zu arbeiten.

Andrii Bezverkhyi, Gründer, CEO und Vorsitzender von SOC Prime

SOC Prime bietet dem Staatlichen Zentrum für Cybersicherheit und den CERT-UA Teams kostenlosen Zugang zu seinen Cyberverteidigungstechnologien und bedarfsbezogene professionelle Schulungen. Wenn sich Vertreter der kritischen Infrastruktur der Ukraine (Energieunternehmen, Transportunternehmen, Post- oder Kommunikationsdienstleister usw.) auf Empfehlung von SSSCIP an SOC Prime wenden, versorgt das Team sie mit grundlegenden Technologien, um sich gegen den Feind zu verteidigen.

SSSCIP entspricht nicht dem typischen Bild der bürokratischen Regierungsinstitution. Arbeitsabläufe und Kommunikation sind rein demokratisch: Der Dienst berät, drängt nicht, und sein Team leitet, zwingt nicht. Und das ist wahrscheinlich unser großer Unterschied zu den Russen. Zusätzlich zur Nutzung innovativer Technologie agieren wir als Berater. Das ist wichtig, da es leider in den lokalen Verwaltungen oder Kliniken einen großen Mangel an Cybersicherheitsexperten gibt.

Andrii Bezverkhyi, Gründer, CEO und Vorsitzender von SOC Prime

Außerdem agiert SSSCIP als Regulierungsbehörde im Bereich des Datenschutzes und der Kommunikation, die durch das Gesetz definiert sind. Der Dienst unterstützt auch ukrainische Unternehmen unter Berücksichtigung, dass alle Vermögenswerte im ganzen Land geschützt sein sollten. Es ist eine wesentliche Voraussetzung für die Cyber-Resilienz des Staates.

Die vom Feind im Cyberspace eingesetzten modernsten Technologien sind nur Fiktion. Der Aggressor nutzt, was die Welt seit Jahren verwendet. Wenn alle öffentlichen und privaten Organisationen Sigma und ATT&CK nutzen, die am häufigsten verwendeten Methoden der lateralen Bewegung automatisch blockieren und die Details zur Infrastruktur des Angreifers teilen würden – jeder Cyberangriff wäre in Sekunden leicht zu erkennen. Allerdings ist dies nur eine Vision für die ideale Zukunft, die in drei oder fünf Jahren möglich ist.

Um diese Vision der Zukunft zu verwirklichen, sollte die Cybersicherheitsgemeinschaft die nächste Generation von Cybersicherheitsexperten ausbilden und unterstützen, die in neuen Technologien geschult sind. Unter den Wegen, dieses ehrgeizige Ziel zu erreichen, ist SOC Primes Threat Bounty Program. 

Der erste Schritt bei der Bekämpfung einer Cyberbedrohung ist ihre Identifizierung. Ohne sie können Cyberabwehroperationen nicht effizient sein. Seit über 30 Jahren bietet die Branche Geldprämien (Bounties) für Spezialisten, die die entdeckten Sicherheitslücken in Netzwerken, Websites und Diensten melden. Jetzt ist es höchste Zeit für Programme, die diejenigen belohnen, die die Logik des Angriffs identifizieren und beschreiben können. Es ist lediglich die andere Seite der Medaille. Um effektiv gegen Cyberbedrohungen zu verteidigen, sollte die Anzahl der Menschen, die die Verteidigung beschreiben, nicht geringer sein als diejenigen, die den Angriff beschreiben.

Die Threat Bounty Community verbindet derzeit über 620 Mitglieder, und diese Zahl wächst ständig. Seit dem Start des Programms hat die Gesamthöhe der gezahlten Prämien bereits 377.000 $ erreicht. In bestimmten Fällen beliefen sich die monatlichen Prämien für ein Mitglied auf 2.700 $ — , was mit einem Vollzeit-Gehalt vergleichbar ist. Bevor SOC Prime die Series A Finanzierung erhielt, wurde die Prämie aus dem Einkommen des Unternehmens gezahlt, aber bald unterstützte der Investor die Initiative. Auch diskutiert SOC Prime mit Google und Microsoft die Möglichkeiten, sich als Sponsoren anzuschließen.

Um die kollektive Cyberverteidigung zu stärken, benötigt die Branche mehr Experten, die in innovativen Cybersicherheitstechnologien versiert sind und jede Bedrohung in Sekunden identifizieren und klassifizieren können. Und die Nachfrage nach solchen Experten in der Ukraine ist hoch, da das Land an der Frontlinie des Krieges verteidigt – in allen Bereichen, von Land bis Cyberspace.

Selbst wenn Mordor sich morgen selbst zerstören würde, würde der Cyberkrieg weitergehen. Daher sollte die Ukraine in der Lage sein, sich selbst zu verteidigen. Und deshalb müssen wir Menschen ausbilden, die in der Cyberverteidigung tätig sein werden, um eine sicherere Zukunft zu gewährleisten.

Andrii Bezverkhyi, Gründer, CEO und Vorsitzender von SOC Prime