Einheitlicher SASE Rolle Cyber ​​Threat Hunting

Was ist Threat Hunting?

Threat Hunting ist ein proaktiver Verteidigungsansatz zur Erkennung von Bedrohungen, die bestehende Sicherheitslösungen umgehen.

Warum Threat Hunting?

Firewall, IDS/IPS, SWG, ZTNA, CASB Funktionen helfen beim Schutz enterpSteigern Sie Vermögenswerte aus bekannten Bedrohungen. Sicherheitsanbieter entwickeln Schutz für bekannte Bedrohungen und stellen diesen Schutz bereit, indem sie die Sicherheitsdienste regelmäßig mit verschiedenen Schutz-Feeds aktualisieren. Zu den Schutzmaßnahmen gehört es, Benutzer daran zu hindern, schädliche Websites zu besuchen, Exploits über Signaturen zu stoppen und Verbindungen zu/von IP-Adressen und Domänen zu unterbinden, die bekanntermaßen C&C hosten oder einen schlechten Ruf haben. Fast alle Sicherheitsfunktionen schützen auch Vermögenswerte, indem sie sie stoppenwanted-Flows über ACLs (Access Control Lists).

Die Komplexität der Bedrohungsakteure nimmt aufgrund staatlicher Förderung und finanzieller Gewinne von Jahr zu Jahr erheblich zu. EnterpAnstiege, die von unbekannten Bedrohungen betroffen sind, sollten eine Möglichkeit haben, etwaige Kompromisse zu erkennen, um den Schaden einzudämmen. Entsprechend M-Trends-Bericht 2022Die durchschnittliche Verweildauer (Verweilzeit ist die Anzahl der Tage, die ein Angreifer unentdeckt in der Umgebung seines Opfers verweilt) beträgt im Jahr 21 2021 Tage. In einigen geografischen Regionen liegt der Durchschnitt bei bis zu 40 Tagen. Am besorgniserregendsten ist, dass die Opfer in 47 % der Fälle über externe Benachrichtigungen von den Bedrohungen erfahren. Opfer erfahren von den Kompromittierungen durch Erpressungen durch Angreifer, durch die öffentliche Offenlegung vertraulicher Informationen und einige Male durch ihre Kunden. Es ist wichtig für enterpsteigt, um das Vorhandensein von Bedrohungen proaktiv und intern zu erkennen, um den Schaden zu reduzieren und schneller Abhilfemaßnahmen einzuleiten. Dieser Prozess zur Erkennung von Bedrohungen in der Umgebung wird „Threat Hunting“ genannt.

Was sind Threat-Hunter-Methoden?

Die Bedrohungssuche wird von Sicherheitsanalysten durchgeführt. Obwohl es die Praxis der Bedrohungssuche schon seit einiger Zeit gibt, ist sie theoretisch nicht neu. Jäger neigen dazu, nach Anomalien zu suchen, Hypothesen aufzustellen und tiefergehende Analysen durchzuführen, um etwaige Anzeichen einer Kompromittierung zu erkennen. Was sich in den letzten Jahren wirklich verändert hat, ist die verstärkte Zusammenarbeit zwischen Jägern verschiedener BranchenerpB. der Austausch von Taktiken, Techniken und Verfahren (TTPs) und der Zugriff auf Open-Source- und kommerzielle Threat-Intelligence-Feeds. Diese Fülle an Informationen hilft Jägern, effizienter zu jagen.

Bedrohungsinformationen sind wertvoll, aber die große Menge an Daten kann für Jäger überwältigend sein. Für Jäger ist es wichtig, herauszufiltern, um die relevantesten Berichte basierend auf den Assets, der Software, den Hardwaresystemen usw. zu erhalten cloud Dienstleistungen, die der enterpAufstieg verwendet. Nach der Filterung können Bedrohungsjäger mithilfe von TTPs Muster in ihrer Umgebung identifizieren.

Bedrohungsjäger sammeln Informationen mithilfe einer Kombination verschiedener Methoden, darunter:

• Analysegesteuert: Beobachtete Anomalien im Netzwerkverkehr, Protokollverkehr, benutzerinitiierten Datenverkehr, Anwendungsverkehr, Benutzeranmeldeverhalten, Benutzerzugriffsverhalten, Endpunkt und Anwendungsverhalten können gute Indikatoren für den Beginn der Suche sein.
• Informationsgesteuert: Threat-Intelligence-Feeds wie IP/Domäne/Datei/URL Der Ruf von Open-Source- und kommerziellen Unternehmen kann Jägern dabei helfen, in ihrer Umgebung nach diesen Indikatoren zu suchen und bei Beobachtung mit der Jagd zu beginnen.
• Situationsbewusstseinsgesteuert: Ergebnisse von regulären EnterpAnstiegsrisikobewertungen und Kronjuwelenanalyse Informationen zu den Vermögenswerten können Jägern dabei helfen, Hypothesen aufzustellen und mit der Jagd zu beginnen.

Bedrohungsjäger verwenden eine Kombination der oben genannten Methoden, um die Jagd einzuschränken, bevor sie beginnen. Im Rahmen des Jagdprozesses verlassen sich Analysten auf Observability-Systeme, um eine tiefergehende Analyse durchzuführen und etwaige Kompromisse zu identifizieren. Wenn Bedrohungen gefunden werden, können erfolgreiche Jäger TTPs veröffentlichen, um anderen Jägern zu helfen.

Was ist die Rolle von SASE bei der Bedrohungsjagd?

Indicators of Compromise (IoCs) sind Hinweise, die zur Identifizierung und Erkennung von Mali verwendet werden könnenciouns Aktivitäten in einem Netzwerk oder Endpunkt. Sie werden häufig von Bedrohungsjägern verwendet, um Hypothesen über potenzielle Sicherheitsvorfälle zu erstellen und ihre Untersuchungen zu fokussieren. Zu IoCs gehören Dinge wie IP-Adressen, Domänennamen, URLs, Dateien und E-Mail-Adressen, die mit bekannten Mali verknüpft sindcioUS-Akteure oder bekannte Malware. Verschiedene Anomalien wie Datenverkehr, Benutzerverhalten, Dienstverhalten und andere miteinander verknüpfte Anomalien sind für Jäger ebenfalls gute Indikatoren für die Besorgnis, um Hypothesen über mögliche Sicherheitsvorfälle aufzustellen.

Eine gründliche Analyse ist der nächste Schritt bei der Bedrohungssuche und wird verwendet, um weitere Informationen über einen potenziellen Vorfall zu sammeln, beispielsweise Umfang, Auswirkungen und Ursprung des Angriffs. Bei dieser Art der Analyse werden häufig verschiedene Tools und Techniken eingesetzt, um Daten aus verschiedenen Quellen zu extrahieren und zu analysieren, z. B. Netzwerkverkehr, Systemprotokolle und Endpunktdaten.

SASE Von den Lösungen wird erwartet, dass sie Bedrohungsjägern sowohl in der Identifizierungs- als auch in der Untersuchungsphase der Bedrohungssuche helfen. Und es wird erwartet, dass es in Zukunft eine umfassendere Beobachtbarkeit geben wird SASE Lösungen mit Funktionen wie Verhaltensanalyse, Echtzeitüberwachung und Alarmierung.

Identifizierung anhand von Indikatoren für Kompromisse und Indikatoren für Besorgnis

Nachfolgend sind einige der Anomalien und Bedrohungs-IoCs aufgeführt SASE-Lösungen kann Bedrohungsjägern helfen, Jagden zu starten.

Einige Beispiele dafür SASE/ SDWAN Nachfolgend finden Sie Hinweise, die bei der Suche nach Verkehrsanomalien hilfreich sein können.

• Ungewöhnliche Verkehrsmuster im Vergleich zu zuvor beobachteten Verkehrsmustern. Dazu können Anomalien im Verkehrsaufkommen und in der Anzahl der Verbindungen für Folgendes gehören.
  • Enterperhöhen Sie den Site-to-Site-Verkehr
  • Verkehr zu/von Websites zum Internet
  • Datenverkehr zu/von Anwendungen
  • Datenverkehr auf verschiedenen Protokollen
  • Datenverkehr zu/von Benutzern
  • Verkehr zu/von Segmenten
  • Und mit der Kombination der oben genannten – Site + Anwendung + Benutzer + Protokoll + Segment.

SASE Lösungen mit Netzwerksicherheit können dabei helfen, verschiedene Arten von Anomalien und Exploits zu finden:

• Anomalien von enterpSteigern Sie Anwendungszugriffe aus früheren Mustern oder Basismustern wie z
  • Zugriffe auf interne Anwendungen von bisher unbekannten geografischen Standorten
  • Zugriff auf interne Anwendungen von Benutzern, die selten darauf zugreifen
  • Zugriff auf interne Anwendungen durch Benutzer zu ungewöhnlichen Zeiten
  • Zugriff auf verschiedene kritische Anwendungsressourcen (z. B. Administratorressourcen) von privilegierten Benutzern aus bisher unbekannten geografischen Standorten, von Benutzern, die sie selten und zu ungewöhnlichen Zeiten verwalten
  • Benutzern wird der Zugriff auf Anwendungen und Ressourcen verweigert.
• Anomalien des Internets und SaaS Zugriffe aus früheren Mustern oder Basismustern wie oben beschriebene Zugriffsanomalien.
  • Zugriff auf diverse URL Kategorien nach einzelnen Benutzern
  • Zugriff auf Internetseiten, die zuvor nicht von Benutzern besucht wurden
  • Bandbreitennutzung und Anzahl von HTTP-Transaktionsanomalien pro Benutzer
  • Zugriff auf Websites außerhalb der Bürozeiten durch Benutzer.
  • Zugriff auf Internetseiten/Kategorien verweigert
  • Zugriff auf verschiedene Funktionen verschiedener SaaS Dienste auf Benutzerbasis.
• Verschiedene Arten von Exploits: Laut dem M-Trends-Bericht nutzt der von Angreifern verwendete „Initial Infection Vector“ die Schwachstellen in Software und Konfiguration aus. Viele Bedrohungsakteure installieren zunächst verschiedene Arten von Malware, indem sie die Schwachstellen der Software ausnutzen. Beliebte Exploit-Frameworks wie Metasploit und BEACON bündeln mehrere bekannte Exploit-Skripte. Diese Frameworks scheinen bei den Bedrohungsakteuren beliebt zu sein. Jeder im Datenverkehr beobachtete Exploit kann ein guter Hinweis darauf sein, dass etwas Schlimmes passieren wird.
• Protokollanomalien: Alle abnormalen Protokolldaten, auch wenn sie aus Sicht der Protokollspezifikation legitim sind, können ein guter Hinweis auf Besorgnis sein.  DNS Beispiele für HTTP-Protokollanomalien finden Sie weiter unten.
  • Im Falle von DNS
    • Es ist nicht normal, dass in der abgefragten Domain viele Subdomains angezeigt werden
    • Es ist nicht normal, eine sehr lange Domain zu sehen
    • Es ist nicht normal, im Domainnamen eine Mischung aus Groß- und Kleinbuchstaben zu sehen.
    • Es ist nicht normal, nicht alphanumerische Zeichen zu sehen.
    • Es ist nicht normal, dass andere Abfragen als A, AAAA, PTR angezeigt werden.
  • Im Falle von HTTP:
    • Es ist nicht normal, einen sehr langen URI und eine große Anzahl von Abfrageparametern zu sehen.
    • URI-Kodierungen, die nicht häufig verwendet werden.
    • Es ist nicht normal, viele Anforderungsheader und Antwortheader zu sehen.
    • Es ist nicht normal, SQL-Anweisungen, Shell-Befehle und Skripte in URI-Abfrageparametern, Anforderungsheadern und Anforderungstexten zu sehen
    • Es ist nicht normal, HTTP-Transaktionen ohne Host-Request-Header zu sehen.
    • Es ist nicht normal, CRLF-Zeichen in URIs und Headern zu sehen.
    • Es ist nicht normal, mehrere Parameter mit demselben Namen zu sehen
    • Und viele mehr…
  • Zugriff auf Websites mit schlechtem Ruf: Ein einzelner Zugriffsvorfall oder mehrere Zugriffe auf Websites mit schlechten IP-Adressen, Domänen usw URLs sind auch gute Indikatoren für Bedenken, mit der Jagd zu beginnen.

Untersuchung

Im Rahmen der Jagd erwarten Jäger SASE Systeme, die ihnen helfen, für weitere Untersuchungen tiefer zu graben, zumindest aus Netzwerkperspektive. Für eine umfassende End-to-End-Sichtbarkeit und -Untersuchung müssen Jäger möglicherweise auch mit Observability-Systemen für Endpunkt-, Anwendungs-, Virtualisierungs- und Containerisierungsplattformen arbeiten.

Erwartungen an SASE Die Beobachtbarkeit durch Jäger für Untersuchungen beruht meist auf tieferen Suchfunktionen. Beispielsweise möchten Jäger beim Erkennen von Exploit-Verkehr möglicherweise untersuchen, ob die Maschine/Software, die ausgenutzt wurde, Verbindungen zu anderen internen Systemen herstellt, die normalerweise nicht von diesem System hergestellt werden, oder ob sie Dateien von anderen Systemen heruntergeladen hat, die normalerweise nicht hergestellt werden erwartet wird und ob dieses System Malware auf andere Systeme hochlädt usw.

Zusammenfassung

Die Suche nach Bedrohungen wird in vielen Unternehmen zur normalen Praxiserperhebt sich. Dabei geht es in der Regel um die Erkennung von Indicators of Compromise (IoCs) und die Untersuchung mithilfe von Observability-Plattformen für Endpunkte, Anwendungen, Virtualisierung und Secure Access Service Edge (SASE). Ein einheitliches SASE das Software-Defined Wide Area Network (SD) kombiniertWAN), verschiedene Netzwerk- und Bedrohungssicherheitsfunktionen und eine umfassende Beobachtbarkeit sind erforderlich, um ein umfassendes Management des Lebenszyklus der Bedrohungssuche zu ermöglichen.

• CTO Insights-Blog

  Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.