In der letzten Zeit ist es jedem klar geworden, dass auch die besten Schutzmechanismen in der heutigen IT-Security niemals einen 100% Schutz gewährleisten können. Immer wieder werden neue Schwachstellen und Angriffsmethoden entdeckt oder aber alte werden neu kombiniert. Der Hacker findet immer einen Weg ins Unternehmen, die Frage ist nur, wie schnell.

Für den «Verteidiger» wird – nebst der optimalen Stärkung der Schutzmassnahmen (Prävention) – der letzte „Schutzwall“, sprich die rechtzeitige Erkennung der Angreifer immer wichtiger. Je früher man die Hacker im internen Netzwerk entdecken bzw. deren Absichten erkennen kann, desto rascher kann man darauf reagieren und desto besser stehen die Chancen auf eine erfolgreiche Verteidigung.


Wie finde ich die Nadel im Heuhaufen?

Zum raschen Finden der Nadel im Heuhaufen gehört zunächst ein umfassender Datenbestand der eigenen Umgebung. Natürlich muss man die eigenen Systeme «verstehen» bzw. das normale Verhalten der Kommunikation untereinander. Nur so erkennt man rasch Abweichungen von der Norm.

Ich würde vorschlagen, dass man jegliche Daten, die man irgendwie sammelt, analysiert und anschliessend daraus seine Schlüsse zieht. Ob dies manuell oder Script-basiert in einem SIEM (Security Information and Event Management), automatisch mit einem NDR (Network Detection and Response) System oder direkt auf dem Client mittels EDR (Endpoint Detection and Response) geschieht, ist für mich irrelevant. Gemäss Gartner (www.vectra.ai/blogpost/the-three-essential-cornerstones-to-fortify-security-operations) haben alle drei Methoden ihre Vor- und Nachteile und somit ihre Daseinsberechtigung für eine vollständige Erkennung der Angriffe.

SOC Visibility Triad
Quelle: Gartner, Applying Network-Centric Approaches for Threat Detection and Response, 18 March 2019, ID G00373460, www.gartner.com/en/documents/3904768/applying-network-centric-approaches-for-threat-detection, abgerufen am 25.11.2019

Wer soll suchen?

Das SOC (Security Operations Center) profitiert von einer lückenlosen Dokumentation der Systeme und von ihnen generierte Logs. Der Zustand der Systeme wird laufend, meist automatisch, überprüft.

Doch vor was soll das SOC die Systeme eigentlich schützen? Oder anders gefragt, wie sieht der Feind aus und wie verhält er sich meistens? Hier gibt’s ganz verschiedene Tools und Methoden. Ich persönlich finde die freie Datenbank MITRE’s Adversarial Tactics, Techniques & Common Knowledge (ATT&CKTM) eine ganz spannende Option (attack.mitre.org/).


Was ist MITRE ATT&CKTM?

ATT&CK wurde 2013 von MITRE ins Leben gerufen, um eine Klassifizierung der realen Angriffe bzw. deren Methoden zu beschreiben. Die IT-Security Community fand diesen Ansatz optimal und hat ihn stark unterstützt. Heute ist die ATT&CK-Datenbank eine der ersten Anlaufstelle von SOC Security Spezialisten.

Sehr salopp gesagt, ist ATT&CK eine freie Datenbank, in welcher aktuelle Taktiken und Techniken der Hacker aufgelistet und beschrieben werden. In sogenannten «Matrices» werden diese dann zusammengefasst. Aktuell gibt’s folgende Haupt-«Matrices»:

Matrix

    • PRE-ATT&CK
    • Enterprise
      • Windows
      • macOS
      • Linux
      • Cloud
    • Mobile

Taktik

Unter Taktik versteht man die einzelnen Schritte, die ein Hacker bei einem Angriff durchläuft:

    • Initial Access
    • Execution
    • Persistence
    • Privilege Escalation
    • Defense Evasion
    • Credential Access
    • Discovery
    • Lateral Movement
    • Collection
    • Command and Control
    • Exfiltration
    • Impact

Technik

Unter jedem taktischen Schritt werden die Techniken aufgelistet, wie diese Schritte erreicht werden können. Aktuell werden 255 einzigartige Techniken aufgelistet. Einen Überblick gibt’s hier: attack.mitre.org/matrices/

Auch gibt’s bei ATT&CK eine Auflistung der bekanntesten «Hackergruppen». Interessant sind dabei die von der Hackergruppe häufig verwendeten Taktiken und Techniken: attack.mitre.org/groups/

Neuerdings verwenden immer wie mehr IT-Security Hersteller (z.B. Vectra, Fortinet, CrowdStrike, Bromium usw.) die ATT&CK-Datenbank indem sie ihre Produkt-Features abbilden oder diese als Referenzplattform für die Phasen eines Angriffs verwenden.

MITRE ATT&CK hat 2018 auch gewisse Produkte auf die Abdeckung von Angriffstechniken überprüft und die Resultate publiziert: attackevals.mitre.org/

Hier ein interessantes Detail, welches bei den «proactive Detections» gefunden wurde: Die EDR-Lösung von CrowdStrike hat die meisten «Techniken» erkannt/detektiert:

Proactive Detections MITRE ATT&CK
Quelle: CrowdStrike, www.crowdstrike.com/blog/mitre-attck-evaluation-reveals-crowdstrike-as-the-most-effective-edr-solution/, abgerufen am 25.11.2019

Aktuell läuft wieder ein Test, jedoch mit viel mehr Teilnehmern. Es bleibt spannend.

Mehr Informationen über CrowdStrike als EDR-Lösung findet man auf der AVANTEC-Produkteseite:
www.avantec.ch/loesungen/avantec-newcomers/#crowdstrike