Vereinheitlichte SASE-Rolle Cyber-Bedrohungsjagd

Was ist die Bedrohungsjagd?

Threat Hunting ist ein proaktiver Verteidigungsansatz zur Erkennung von Bedrohungen, die sich bestehenden Sicherheitslösungen entziehen.

Warum die Jagd auf Bedrohungen?

Firewall-, IDS/IPS-, SWG-, ZTNA- und CASB-Funktionen helfen beim Schutz der Unternehmensressourcen vor bekannten Bedrohungen. Sicherheitsanbieter entwickeln einen Schutz für bekannte Bedrohungen und setzen diese Schutzmaßnahmen ein, indem sie die Sicherheitsdienste regelmäßig mit verschiedenen Schutz-Feeds aktualisieren. Zu den Schutzmaßnahmen gehören das Verhindern des Besuchs böser Websites, das Unterbinden von Exploits durch Signaturen und das Unterbinden von Verbindungen zu/von IP-Adressen, Domänen, die bekanntermaßen C&C hosten oder einen schlechten Ruf haben. Fast alle Sicherheitsfunktionen schützen auch Assets, indem sie unerwünschte Datenströme über ACLs (Access Control Lists) stoppen. Die Raffinesse der Bedrohungsakteure nimmt aufgrund von staatlichem Sponsoring und finanziellen Gewinnen von Jahr zu Jahr deutlich zu. Unternehmen, die von unbekannten Bedrohungen betroffen sind, sollten eine Möglichkeit haben, Kompromittierungen zu erkennen, um den Schaden einzudämmen. Laut dem M-Trends-Bericht von 2022 beträgt die durchschnittliche Verweildauer (die Verweildauer ist die Anzahl der Tage, die ein Angreifer in der Umgebung eines Opfers verweilt, ohne entdeckt zu werden) 21 Tage im Jahr 2021. In einigen geografischen Regionen liegt der Durchschnitt bei bis zu 40 Tagen. Besonders besorgniserregend ist, dass die Opfer in 47 % der Fälle durch externe Benachrichtigungen von den Bedrohungen erfahren. Die Opfer erfahren von den Kompromittierungen durch Erpressungen seitens der Angreifer, durch die Veröffentlichung vertraulicher Informationen und in einigen Fällen auch durch ihre Kunden. Für Unternehmen ist es wichtig, das Vorhandensein von Bedrohungen proaktiv und intern zu erkennen, um den Schaden zu verringern und früher Abhilfemaßnahmen zu ergreifen. Dieser Prozess der Erkennung von Bedrohungen in der Umgebung wird als ‚Threat Hunting‘ bezeichnet.

Was sind die Methoden der Bedrohungsjäger?

Die Suche nach Bedrohungen wird von Sicherheitsanalysten durchgeführt. Die Praxis der Bedrohungsjagd gibt es zwar schon seit einiger Zeit, aber theoretisch ist sie nicht neu. Jäger neigen dazu, nach Anomalien zu suchen, Hypothesen aufzustellen und tiefergehende Analysen durchzuführen, um Anzeichen für eine Kompromittierung zu erkennen. Was sich in den letzten Jahren wirklich verändert hat, ist die verstärkte Zusammenarbeit zwischen Jägern aus verschiedenen Unternehmen, wie z.B. der Austausch von Taktiken, Techniken und Verfahren (TTPs) und der Zugang zu Open-Source- und kommerziellen Bedrohungsdaten. Diese Fülle an Informationen hilft Jägern, effizienter zu jagen. Bedrohungsdaten sind wertvoll, aber die riesige Menge an Daten kann für Jäger überwältigend sein, um sie zu sichten. Es ist wichtig, dass Jäger die relevantesten Berichte herausfiltern, die auf den Assets, der Software, den Hardwaresystemen und den Cloud-Diensten basieren, die das Unternehmen nutzt. Einmal gefiltert, können Bedrohungsjäger TTPs verwenden, um Muster in ihrer Umgebung zu erkennen. Bedrohungsjäger sammeln Informationen mit einer Kombination von Methoden, darunter:

  • Analyse-gesteuert: Anomalien, die im Netzwerkverkehr, im Protokollverkehr, im benutzerinitiierten Verkehr, im Anwendungsverkehr, im Benutzeranmeldeverhalten, im Benutzerzugriffsverhalten, im Endpunkt und im Anwendungsverhalten beobachtet werden, können gute Indikatoren sein, um die Suche zu beginnen.
  • Intelligenzgesteuert: Bedrohungsdaten wie IP-/Domain-/Datei-/URL-Reputation von Open-Source- und kommerziellen Anbietern helfen Jägern, nach diesen Indikatoren in ihrer Umgebung zu suchen und bei Beobachtung die Jagd zu starten.
  • Situationsbezogenes Bewusstsein: Die Ergebnisse regelmäßiger Unternehmensrisikobewertungen und Kronjuwelen-Analysen der Vermögenswerte können den Jägern helfen, Hypothesen aufzustellen und die Jagd zu beginnen.

Bedrohungsjäger verwenden eine Kombination der oben genannten Methoden, um die zu startenden Jagden einzugrenzen. Als Teil des Jagdprozesses verlassen sich die Analysten auf Beobachtungssysteme, um eine tiefere Analyse durchzuführen, um jegliche Kompromittierung zu identifizieren. Wenn Bedrohungen gefunden werden, können erfolgreiche Jäger TTPs veröffentlichen, um anderen Jägern zu helfen.

Welche Rolle spielt SASE bei der Jagd nach Bedrohungen?

Indicators of Compromise (IoCs) sind Hinweise, die zur Identifizierung und Erkennung bösartiger Aktivitäten in einem Netzwerk oder auf einem Endpunkt verwendet werden können. Sie werden häufig von Bedrohungsjägern verwendet, um Hypothesen über potenzielle Sicherheitsvorfälle aufzustellen und ihre Untersuchungen zu fokussieren. Zu den IoCs gehören Dinge wie IP-Adressen, Domainnamen, URLs, Dateien und E-Mail-Adressen, die mit bekannten bösartigen Akteuren oder bekannter Malware in Verbindung gebracht werden. Verschiedene Anomalien wie Datenverkehr, Benutzerverhalten, Dienstverhalten und andere sind ebenfalls gute Indikatoren für die Jäger, um Hypothesen über mögliche Sicherheitsvorfälle aufzustellen. Die Tiefenanalyse ist der nächste Schritt bei der Bedrohungsjagd und wird verwendet, um mehr Informationen über einen potenziellen Vorfall zu sammeln, z. B. über den Umfang, die Auswirkungen und den Ursprung des Angriffs. Bei dieser Art von Analyse werden häufig verschiedene Tools und Techniken eingesetzt, um Daten aus verschiedenen Quellen zu extrahieren und zu analysieren, z. B. Netzwerkverkehr, Systemprotokolle und Endpunktdaten. SASE-Lösungen sollen Bedrohungsjägern sowohl in der Identifizierungs- als auch in der Ermittlungsphase der Bedrohungsjagd helfen. Und es wird erwartet, dass ein Teil zukünftiger SASE-Lösungen mit Funktionen wie Verhaltensanalyse, Echtzeitüberwachung und Alarmierung eine umfassendere Beobachtungsmöglichkeit bietet.

Identifizierung über Kompromiss- und Besorgnisindikatoren

Nachfolgend finden Sie einige der Anomalien und Bedrohungs-IoCs, bei denen SASE-Lösungen den Bedrohungsjägern bei der Jagd helfen können. Im Folgenden finden Sie einige Beispiele dafür, wie SASE/SDWAN beim Aufspüren von Verkehrsanomalien helfen kann.

  • Ungewöhnliche Verkehrsmuster im Vergleich zu vorher beobachteten Verkehrsmustern. Sie können Anomalien im Verkehrsaufkommen und in der Anzahl der Verbindungen für Folgendes umfassen.
    • Unternehmensverkehr von Standort zu Standort
    • Verkehr zu/von Websites im Internet
    • Verkehr zu/von Anwendungen
    • Verkehr auf verschiedenen Protokollen
    • Verkehr zu/von Benutzern
    • Verkehr zu/von Segmenten
    • Und mit der Kombination von oben – Website + Anwendung + Benutzer + Protokoll + Segment.

SASE-Lösungen mit Netzwerksicherheit können bei der Suche nach verschiedenen Arten von Anomalien und Exploits helfen:

  • Anomalien bei den Zugriffen auf Unternehmensanwendungen gegenüber früheren Mustern oder Basismustern, wie z.B.
    • Zugriff auf interne Anwendungen von bisher unbekannten geografischen Standorten aus
    • Zugriff auf interne Anwendungen von Benutzern, die nur selten darauf zugreifen
    • Zugriff auf interne Anwendungen von Benutzern zu ungeraden Zeiten
    • Zugriff auf verschiedene kritische Anwendungsressourcen (z. B. Verwaltungsressourcen) durch privilegierte Benutzer von bisher unbekannten geografischen Standorten aus, durch Benutzer, die sie nur selten verwalten, zu seltsamen Zeiten
    • Verweigerte Zugriffe von Benutzern auf Anwendungen und Ressourcen.
  • Anomalien von Internet- und SaaS-Zugriffen gegenüber früheren Mustern oder Basismustern wie die oben beschriebenen Zugriffsanomalien.
    • Zugriff auf verschiedene URL-Kategorien durch einzelne Benutzer
    • Zugang zu Internet-Seiten, die vorher nicht von den Benutzern besucht wurden
    • Bandbreitennutzung und Anzahl der HTTP-Transaktionsanomalien auf einer Benutzerbasis
    • Zugang zu Websites außerhalb der Geschäftszeiten durch Benutzer.
    • Verweigerte Zugriffe auf Internet-Seiten/Kategorien
    • Zugang zu verschiedenen Funktionen verschiedener SaaS-Dienste auf Benutzerbasis.
  • Verschiedene Arten von Exploits: Laut dem M-Trends-Bericht ist der von Angreifern verwendete „Erstinfektionsvektor“ die Ausnutzung von Schwachstellen in Software und Konfiguration. Viele Bedrohungsakteure installieren zunächst verschiedene Arten von Malware, indem sie die Software-Schwachstellen ausnutzen. Beliebte Exploit-Frameworks wie Metasploit und BEACON bündeln mehrere bekannte Exploit-Skripte. Diese Frameworks scheinen bei den Bedrohungsakteuren beliebt zu sein. Jede im Datenverkehr beobachtete Schwachstelle kann ein guter Indikator dafür sein, dass etwas Schlimmes passieren wird.
  • Protokollanomalien: Alle abnormalen Protokolldaten, auch wenn sie aus Sicht der Protokollspezifikation legitim sind, können ein guter Hinweis auf ein Problem sein. Beispiele für DNS- und HTTP-Protokollanomalien finden Sie unten.
    • Im Falle von DNS
      • Es ist nicht normal, dass in der abgefragten Domäne viele Subdomänen zu sehen sind
      • Es ist nicht normal, eine sehr lange Domain zu sehen
      • Eine Mischung aus Groß- und Kleinbuchstaben im Domänennamen ist nicht normal.
      • Es ist nicht normal, nicht alphanumerische Zeichen zu sehen.
      • Es ist nicht normal, andere Abfragen als A, AAAA, PTR zu sehen.
    • Im Falle von HTTP:
      • Es ist nicht normal, sehr lange URI und eine große Anzahl von Abfrageparametern zu sehen.
      • URI-Kodierungen, die nicht häufig verwendet werden.
      • Es ist nicht normal, viele Anfrage-Header und Antwort-Header zu sehen.
      • Es ist nicht normal, SQL-Anweisungen, Shell-Befehle und Skripte in URI-Abfrageparametern, Anfrage-Headern und Anfragekörpern zu sehen.
      • Es ist nicht normal, dass HTTP-Transaktionen ohne einen Host-Request-Header angezeigt werden.
      • Es ist nicht normal, CRLF-Zeichen in URIs und Kopfzeilen zu sehen.
      • Es ist nicht normal, mehrere Parameter mit demselben Namen zu sehen
      • Und viele mehr…
    • Zugriff auf Websites mit schlechtem Ruf: Ein einzelner Zugriff oder mehrere Zugriffe auf Websites mit schlechten IP-Adressen, Domänen und URLs sind ebenfalls gute Indikatoren für Bedenken, um die Jagd zu beginnen.

Nachforschungen

Als Teil der Jagd erwarten Jäger, dass SASE-Systeme ihnen helfen, für weitere Untersuchungen tiefer zu graben, zumindest aus der Netzwerkperspektive. Für eine umfassende End-to-End-Sichtbarkeit und -Untersuchung müssen Jäger möglicherweise auch mit Systemen zur Beobachtung von Endpunkten, Anwendungen, Virtualisierungs- und Containerisierungsplattformen arbeiten. Die Erwartungen von Jägern an die Beobachtbarkeit von SASE beziehen sich hauptsächlich auf tiefere Suchmöglichkeiten. Bei der Entdeckung von Exploit-Datenverkehr könnten Jäger beispielsweise untersuchen, ob der Rechner/die Software, der/die ausgenutzt wurde, Verbindungen zu anderen internen Systemen herstellt, die normalerweise nicht von diesem System hergestellt werden, oder ob er/sie Dateien von anderen Systemen heruntergeladen hat, die normalerweise nicht erwartet werden, und ob dieses System Malware auf andere Systeme hochlädt usw.

Zusammenfassung

Die Bedrohungsjagd wird in vielen Unternehmen zur normalen Praxis. In der Regel geht es dabei um die Erkennung von Indikatoren für Sicherheitslücken (Indicators of Compromise, IoCs) und die Untersuchung mithilfe von Beobachtungsplattformen für Endpunkte, Anwendungen, Virtualisierung und Secure Access Service Edge (SASE). Eine einheitliche SASE, die Software-Defined Wide Area Network (SDWAN), verschiedene Netzwerk- und Bedrohungssicherheitsfunktionen und umfassende Beobachtungsmöglichkeiten kombiniert, ist erforderlich, um ein umfassendes Lebenszyklusmanagement für die Bedrohungsjagd zu ermöglichen.

  • CTO Insights Blog

    Die Blogserie Aryaka CTO Insights bietet Denkanstöße zu Netzwerk-, Sicherheits- und SASE-Themen.
    Aryaka Produktspezifikationen finden Sie in den Aryaka Datenblättern.