Die Zukunft der Bedrohungserkennung liegt in der Gemeinschaft
Inhaltsverzeichnis:
Abhängigkeit von öffentlichen Informationsquellen
Denken Sie darüber nach – jedes Mal, wenn wir einen Blogbeitrag mit der neuesten Malware-Analyse öffnen und ihn durchforsten, um die IoCs zu finden, die unsere Bedrohungsteams so dringend benötigen – fühlt es sich nicht ein wenig träge an?
Daumen drücken, dass unser bevorzugter Sicherheitsanbieter dies bereits getan hat und die Bedrohungsdaten-Feeds mit den Hashes, Dateinamen und bekannten bösartigen IP-Adressen aktualisiert wurden.
Aber erscheint es nicht zumindest ein wenig seltsam, dass wir ohne die hochspezialisierte und hochopportunistische Arbeit einiger der Reaktionsteams, die das Privileg haben, an neuesten Malware-Beispielen zu arbeiten, nicht überleben können? Nur so viele Sicherheitsforscher bekommen die Chance, einen Fehler zu analysieren, der vor gerade einmal 12 Stunden die Hälfte des Stromnetzes in Osteuropa lahmgelegt hat, und doch benötigen wir alle die Ergebnisse dieser Analyse.
Unnütze Standard-Erkennungsinhalte
Sind Sie „glücklich“ genug, sich daran zu erinnern, wie gut die Bedrohungserkennung vor CTI funktioniert hat? Damals war der erste Hinweis auf eine Kompromittierung der Netzwerkverkehr zu einer bekannten Botnet-CC-IP-Adresse. zweifelsfrei eine Kompromittierung stattgefunden hatte. Es war unnötig zu sagen, weniger als genau.
Die Standard-SIEM-Inhalte waren allenfalls ehrgeizig. Ich erinnere mich noch beschämt daran, ArcSight-Regeln in den späten 2000er Jahren von etwas wie „Kompromittierter Host“ in etwas umzubenennen, das eher „Potentiell verdächtige Aktivität“ entsprach. Die Branche hat einen langen Weg zurückgelegt, seit die Begriffe „Alarm“ und „Vorfall“ dasselbe bedeuteten. Heute sind wir zufrieden, uns mit einem „Signal“ zufrieden zu geben, gefolgt von einer automatischen Triage oder sogar Clusterbildung.
Die Quintessenz ist – die Verhaltensregeln von gestern haben im Allgemeinen versagt, Ergebnisse zu liefern. Warum? Der Hauptgrund könnte sein, dass Sicherheitssoftwareanbieter NICHT tatsächlich im Bedrohungsforschungsgeschäft tätig sind. Sie sind im Geschäft mit der Herstellung und dem Verkauf von Software (schockierend, ich weiß). Um fair zu sein, die meisten SIEM-Anbieter haben sich echte Fachkenntnisse im eigenen Haus aufgebaut, aber in der Praxis hat die meiste Standard-Erkennungsinhalte die realen Anforderungen nicht erfüllt. Anbietervorschriften wurden schnell von SecOps-Teams verworfen und durch selbst entwickelte ersetzt.
Gescheiterte Versuche der Community-Zusammenarbeit
Um dieses Problem anzugehen, haben die meisten Anbieter eigene „Community-Portale“ gestartet, auf denen die Kunden ihre „Anwendungsfälle“ teilen konnten. Von ArcSight Protect247 bis SplunkBase schien die Idee, dass sich Benutzer als Gemeinschaft zusammenfinden und ihr Neuestes und Größtes beitragen, attraktiv, wenn nicht gar offensichtlich.
Leider kann man mit Sicherheit sagen, dass bis heute keiner dieser Versuche erfolgreich war. Ich weiß aus eigener Erfahrung, dass es unglaublich schwierig ist, eine Gemeinschaft von Grund auf aufzubauen (erinnert sich jemand an @SIEMguru?). Aber vielleicht am wichtigsten, um Jon Stewart zu paraphrasieren, die „Haltbarkeit“ von Bedrohungserkennungsinhalten ist in etwa wie die eines Eiersandwichs. Und ohne wirklich motivierte Pflege und Wartung ist es nahezu unmöglich, den Fluss neuer Regeln aufrechtzuerhalten.
Es hilft auch nicht, dass diese Bemühungen spezifisch für Anbieter sind. Während also QRadar-Benutzer Regeln für Mimikatz erstellten, mussten ihre Kollegen, die Elastic verwendeten, dasselbe tun, aber mit einer anderen Syntax. Es brauchte den Sigma Standard, um endlich die Erkennungsregeln über alle SIEM und EDR/XDR-Plattformen hinweg zu formalisieren.
Der richtige Ansatz
Zugegeben, der Sigma-Standard ist nicht perfekt. Die Unterstützung der Regelübersetzung in alle Abfrageerkennungssprachen ist einfach unrealistisch. Aber vielleicht ist es auch nicht so wichtig, dass alle auf einen Standard vormatischen. to Wenn Cybersicherheitsforscher Sigma für verhaltensbasierte Bedrohungserkennungsregeln annehmen können, sie einmal zur Verfügung stellen und dann in der Lage sind, Regeln und Abfragen genau in die richtige Syntax automatisch zu übersetzen, warum nicht? Die Vorteile dieses Ansatzes liegen auf der Hand – unabhängig von der Technik hat Ihr hauseigenes Bedrohungserkennungsteam gerade eine neue Superkraft erlangt.
Und so cool Sigma auch ist, es brauchte den von SOC Prime öffentlich betriebenen, anbieterneutralen Threat Detection Marketplace, um die Sterne endlich in Sachen Verhaltensanalysen auszurichten. Und heute kann jeder Cybersicherheitspraktiker weltweit von den Ergebnissen der Arbeit der Top-Forscher profitieren, sobald sie veröffentlicht werden. Das ist die Kraft der globalen Gemeinschaft, und deshalb ist die verhaltensbasierte Bedrohungserkennung endlich an dem Punkt angelangt, an dem sie eine unverzichtbare Fähigkeit im Arsenal eines jeden Cyber-Verteidigers darstellt.
