Cybersoc

Modernes CyberSOC - Eine kurze Implementierung des Aufbaus einer kollaborativen Cyber-Sicherheitsinfrastruktur

In früheren Jahren hing jeder vom SOC ab (einschließlich Firewalls, WAF, SIEM usw.) und die Priorität beim Aufbau des SOC sorgt für Sicherheit, und die CIA wurde beibehalten.
Später jedoch wird das Auftauchen der Angriffe und der Bedrohungsakteure zu einer größeren Herausforderung, und das bestehende SOC wird nicht in der Lage sein, eine bessere Sicherheit gegenüber der CIA zu gewährleisten. Es gibt viele Gründe für das Scheitern des bestehenden SOC, wo es nur vom SIEM abhängt.
Viele Organisationen waren der Meinung, dass die Integration aller Sicherheitsvorrichtungen wie Firewall, Router, AV- und DB-Lösungen in das SIEM und die Korrelation der Anwendungsfälle ihnen 100%ige Sicherheit über die CIA der Daten bieten wird. Doch alles scheitert, da die APT auftaucht.
Die APT-Angriffe in diesen Jahren zeigen bewusst, dass Organisationen im Cyberspace ein 0-Trust-Verteidigungsmodell implementieren sollten. Die Hauptgründe für das Scheitern der bestehenden SOC, wir kümmern uns hauptsächlich um die Anwendungsfälle von Brute-Force-Anmeldeversuchen, fehlgeschlagenen Logins, fehlgeschlagenen http-Anforderungen und der Verbreitung von Malware.
Dennoch müssen wir verstehen, wann die Verteidiger begannen zu lernen, und wann die Täter sich auch besser entwickelten. APT-Gruppen entwickeln sich weiter und missbrauchen echte Anwendungen, die wir oft benutzen und die jahrelang in der Verweilzeit bleiben, ohne erwischt zu werden.

Entstehung von APT

Fortgeschrittene Persistenz-Bedrohung, diese Gruppen stellen keine individuelle Identität dar. Es handelt sich meist um Organisationen oder Länder (auf der Grundlage der Agenda/politischer Gründe) mit Expertenteams. Sie sind keine normalen Experten, sondern ausgebildete Fachleute und haben das Potenzial, in beliebige Systeme einzubrechen und sich seitlich in einem LAN zu bewegen, ohne jahrelang gefangen zu werden.
Selbst Ihr Antivirenprogramm kann diese Bewegung nicht erkennen, da sie keine Malware erstellen, sondern nur echte Anwendungen (wie PowerShell) missbrauchen und sich wie ein echter Prozess seitlich bewegen.
Die Schlüsselkomponenten eines APT ist, sich seitlich zu bewegen, Persistenz zu sein, einen CnC-Kanal zu schaffen, Nutzlast mit nur einer DNS-Anfrage zu erhalten und vieles mehr. Alle bisher aufgezeichneten APT-Angriffe haben einzigartige Möglichkeiten, ein Netzwerk zu verbreiten, und sie sind in hohem Maße auf offene Ports, ungeschützte Netzwerkzonen, vulgäre Anwendungen, Netzwerkfreigaben usw. angewiesen. Wenn sie einmal eingebrochen sind, tun sie, was immer sie vorhaben.

Proaktives Verteidigungsmodell

Ihre Wahrnehmung gegenüber der Verteidigung gegen moderne Cyber-Angriffe und APT-Angriffe ist so, dass Sie einen Verteidigungsmechanismus genau wie ein "Gegner" denken und aufbauen sollten. Um ein Verteidigungsmodell aufzubauen, sollten Sie die gegnerischen Taktiken kennen und wissen, wie sie eindringen. Wie sie sich ausbreiten? Wie sie exfiltrieren?
Für diese Fragen gibt Lock Martins Cyber-Tötungskette und Mitre ATT&CK ein besseres Verständnis über die Angriffe. Genau, wie sich ein Gegner in Ihr Netzwerk einschleicht und wie er sich aus dem Netzwerk herausbewegt, ohne erwischt zu werden. Sie können auch, basierend auf den Stufen der Cyber-Kill-Kette, Anwendungsfälle in Ihrem bestehenden SOC implementieren, was Ihnen einen Einblick in die Cyber-Angriffe gibt.

Cyber-Bedrohungsintelligenz

Das Blockieren der IOCs und Ips bietet Ihnen keine 100%ige Sicherheit über die Cyber-Angriffe. Die jüngsten APT-Angriffe entwickeln sich stark weiter, verwenden DGA-Algorithmen und ändern oft die Domäne, die Quell-IP-Adresse über VPN- und TOR-Knoten (DarkNet), Spoofing usw. Wie aus den Aufzeichnungen hervorgeht, wurden bisher weltweit 5 Millionen IP-Adressen aufgrund von Malware-Angriffen, Cyber-Spionage, APT, TOR usw. auf die schwarze Liste gesetzt.
Nehmen wir unser bestehendes SOC an; werden wir eine Watchlist zur Überwachung von 5 Millionen auf der schwarzen Liste stehenden IPS im SIEM aufstellen? Werden wir andererseits die 5 Millionen auf der schwarzen Liste stehenden IPS in den Perimeter-Firewalls blockieren?
Beides wurde als Aktionsplan und nicht als Reaktion auf einen Vorfall betrachtet.
Die APT-Gruppen verwenden verschiedene Techniken und verbergen ihre Spuren für immer, so dass nur die Abhängigkeiten von IOCs (IP, Domain, Hashes, URLs) nicht mehr funktionieren. Sie sollten über TTP's (Taktiken, Techniken und Verfahren, die auch manchmal als Tools, Techniken und Verfahren bezeichnet werden) nachdenken.
Diese TTP's spielen eine wichtige Rolle beim Sammeln von Informationen über das Betriebssystem und die Netzwerkartefakte, die von den Gegnern verwendet werden. Basierend auf diesen Informationen wird ein Anwendungsfall für Fälle mit einer bestimmten Art des Datenverkehrs oder einer bestimmten "dll" oder "exe" erstellt, der Einblick in die Angriffe gibt. Es wurden auch DarkNet-Informationen benötigt, wo die meisten oder gestohlenen Daten auf dem DarkNet-Markt entweder für Geld oder für weiteres Asyl verkauft werden.
Die Bedrohungsaufklärung liefert auch die globalen Bedrohungsinformationen auf der Grundlage der verfügbaren Ressourcen. Viele OEMs stellen auch verschiedene Bedrohungsmatrix-Informationen, verwendete Werkzeuge, verwendete Artefakte usw. zur Verfügung. Jeden Tag sollte Ihr Geheimdienstteam nicht nur Informationen über die IOCs sammeln, sondern auch Details über neu entstehende IOAs und IOEs.
APT-Gruppen sind gut darin geschult, die Schwachstelle auszunutzen. Deshalb müssen wir mehr Informationen über die Anzeichen für Ausbeutungen in den Organisationen sammeln und sicherstellen, dass diese behoben werden, bevor der Gegner sie ausnutzt.
Bei einem Cyber-Aufklärungsprogramm geht es darum, das Wer, Was, Wo, Wann, Warum und Wie hinter einem Cyberattack aufzudecken. Taktische und operative Aufklärung kann dabei helfen, das Was und Wie eines Angriffs und manchmal auch das Wo und Wann zu identifizieren.

Cyber-Bedrohungsjagd

Nachdem wir die Informationen gesammelt haben, müssen wir jagen. Die Jagd auf Cyber-Bedrohungen ist die moderne Methodik, um eine Vorstellung von Cyber-Tötungsketten oder dem Mitra-Angriff zu haben und die unbekannten Varianten von Angriffen zu jagen. Wenn Sie wissen, was in Ihrem LAN geschieht, können Sie direkt in die Reaktion auf den Vorfall einsteigen.
Wenn Sie jedoch ein Ereignis vermuten, dass Sie in Ihrem LAN nach den Spuren unbekannter Varianten (APT) jagen wollen, kommt die Bedrohungsjagd ins Spiel. Die Bedrohungsjagd bietet Ihnen eine eingehende Analyse der Bedrohungsvektoren und Sie können die Ereignisse eingrenzen, bevor sie zu einem Vorfall werden.
In jeder Organisation sollten Teams zur Bedrohungsjagd eingestellt werden, die proaktiv nach verdächtigen Ereignissen jagen und sicherstellen, dass es nicht zu einem Vorfall oder zum Bruch des Gegners wird. Sie sollten die Geschichte der APT-Angriffe verstehen und nach den Artefakten in ihrem Netzwerk suchen. Sie sollten nicht nach bekannten IOCs suchen, sondern die von ihnen propagierten Methoden aufschlüsseln.

Was genau soll man jagen? - Beispiele

  • Jagd nach Network Beaconing
  • Jagd auf die Eskalation von Insider-Privilegien
  • Jagd nach ungewöhnlichen DNS-Anfragen
  • Jagd nach ungewöhnlichen Netzwerk-Shares
  • Jagd auf die Netzwerk-Aufklärung
  • Jagd auf Fensterdienste (Eltern/Kind-Prozesse)
  • Jagd nach Privileg-Eskalation - Manipulation von Zugriffstoken
  • Jagd nach UAC-Bypass Jagd auf Dumping von Berechtigungsnachweisen
  • Jagd nach dem Leuchtfeuer über SMB-Rohre
  • Jagd nach verdeckten Kanälen
  • Jagd auf CnC-Verkehr
  • Jagd auf Schattenwurf
  • Jagd nach verdächtigen Tunneln
Ebenso gibt es mehrere Bedingungen, um in einem LAN zu jagen. Wir können das Mitre ATT&CK-Rahmenwerk und die Überprüfung der APT-Geschichte nutzen und sie verstehen. Das wird uns ein besseres Verständnis ermöglichen, und wir können die Jagdmethoden auf den Rahmen abbilden und sehen, wie weit wir kommen können.
Verweilzeit, die Zeit, in der die Gegner in Ihrem Netzwerk bleiben und jede einzelne Zone, jede Freigabe, Datenbank, Netzwerkprotokolle, Kartierung, Routen, gefährdete Endpunkte usw. kennen lernen. Bedrohungsjagd, hilft Ihnen, die seitliche Bewegung und das Ausdauerverhalten von Cyber-Angriffen zu finden.

Reaktion auf Vorfälle

Die traditionelle Reaktion auf einen Vorfall bietet eine Milderung und Abhilfe bei Vorfällen (verletzte Ereignisse), während die Bedrohungsjagd das Verständnis für verdächtige oder seltsame Ereignisse und eine Milderung ermöglicht, bevor es zu einem Vorfall wird.
Aber die Reaktion auf einen Vorfall und das Eingreifteam wird in jedem SOC definitiv benötigt, wenn sie helfen, den aktuellen Vorfall abzuschwächen und die offenen Schwachstellen zu beheben, wodurch die Angriffskette unterbrochen und die Möglichkeit einer Cyber-Bedrohung verringert wird.
Das IR-Team sollte sicherstellen, dass die CIA nicht verletzt wurde und keine Daten ausgefiltert wurden. Reaktionsteams können das Modell der Cyber-Kill-Kette auch in ihre Checklisten aufnehmen und die Angriffe aufzeichnen.
Ein Plan zur Reaktion auf einen Vorfall kann einem Unternehmen zu Gute kommen, indem er darlegt, wie die Dauer eines Sicherheitsvorfalls und der durch ihn verursachte Schaden minimiert, die beteiligten Interessengruppen identifiziert, die forensische Analyse rationalisiert, die Wiederherstellungszeit beschleunigt, negative Publicity verringert und schließlich das Vertrauen von Unternehmensleitern, Eigentümern und Aktionären stärkt.

Modernes SOC und die Fachkompetenz

Da wir verschiedene APT-Angriffe und die modernen Cyber-Spionageaktivitäten gesehen und erlebt haben, sollten wir uns weiterentwickeln und eine verbesserte Cyber-Sicherheitsstrategie entwickeln. Dieses Modell bietet Einblicke in Cyber-Angriffe, daher brauchen wir ein Expertenteam mit verschiedenen Fähigkeiten.
Die spezifischen Fähigkeiten der Bedrohungsjagd, Open-Source-Bedrohungsaufklärung und DarkNet-Aufklärung, proaktive Vorfallbehandler und First Responder, Malware-Forscher und die die Windows-Architektur und das Verhalten von Malware verstehen können. Diese Fähigkeiten werden vor allem benötigt, um ein Netzwerk gegen die heutigen Cyber-Angriffe zu verteidigen.

Ein Beispiel, wie ein modernes CyberSOC-Team geplant werden sollte.

Schlussfolgerung

Cyber-Resilienz ist eine sich entwickelnde Perspektive, die schnell Anerkennung findet. Das Konzept bringt im Wesentlichen die Bereiche Informationssicherheit, Business Continuity und (organisatorische) Resilienz zusammen.
Dieses Modell hat die konzeptionelle Idee, die Bereiche Bedrohungsintelligenz, Jagd, Reaktion und SOC zusammenzubringen, um die komplexe Palette an Sicherheitsstrukturen für eine Organisation bereitzustellen. Es wird hilfreicher sein, Prioritäten zu setzen, und wir können uns leicht gegen moderne Angriffe verteidigen.
Dieses Modell umfasst die Schlüsselelemente "Anpassungsfähige Reaktion, analytische Überwachung, Täuschung, Aufklärung, Vielfalt, dynamische Positionierung, Einschränkung von Privilegien auf der Grundlage bestehender Richtlinien, Neuausrichtung der missionskritischen und unkritischen Dienste/Server, Korrelation von Ereignissen und schnelle Reaktionen". Er befasst sich hauptsächlich mit den APT-Bedrohungen und bietet einen detaillierten Einblick in den Angriff und die möglichen Vektoren.

Denken Sie daran,

Früher: "Malware oder bösartig", wurden als Skripte klassifiziert, die etwas tun wollen. Aber im POV eines APT oder eines Gegners sind sie sich der aktuellen Antiviren-Funktionen und ihrer Abwehrmechanismen sehr wohl bewusst. Daher verlassen sie sich nicht so sehr auf Skripte oder Malware, sondern missbrauchen echte Programme und bewegen sich seitlich, ohne entdeckt zu werden.
Cyber Threat Hunter POV - Was auch immer für eine Person, an einem Endpunkt oder in einer Organisation nicht benötigt wird, diese anfälligen Schlüssel sind die entscheidenden Vorteile eines APT. Daher werden diese in der Wahrnehmung eines Bedrohungsjägers als Malware betrachtet. Z.B.: "PowerShell wird nicht von jedem verwendet, es sei denn, sie wird vom Administrator in Servern benötigt. Die Ausführung von PowerShells in Endpunkten nicht zu deaktivieren, ist also ein Schlupfloch, das von Gegnern ausgenutzt werden kann.
Dieses Modell hat eine Fünf-Punkte-Sicht auf den Einsatz der einzelnen Module, wobei "Threat Intelligence", "Cyber hunting", "SOC", "Incident Response" und "kill chain models".
Dies sind die Säulen des CyberSOC, und es kann separat gewartet oder gemäß den Richtlinien einer Organisation verwendet werden. Allerdings sollte alles logisch synchronisiert werden und jedes Modul effektiv genutzt werden, wenn ein verdächtiges Ereignis eintritt.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen