Aufbau eines auf Bedrohungen basierenden Schutzes: Kennen Sie Ihren Feind, Ihr Schlachtfeld und sich selbst
Veröffentlicht: 2021-12-28
In der aktuellen Cyber-Bedrohungslandschaft ist es wichtiger denn je, zu verstehen, woher wahrscheinliche Angriffe kommen und wie sie Ihr Unternehmen treffen könnten.
Die weltweite Cyberkriminalität ist so angewachsen, dass sie die Finanzlage des Planeten um etwa eine Billion US-Dollar belastet – eine Zahl, die größer ist als das BIP Belgiens.
Da Unternehmen die große Mehrheit ihrer Informationen und Prozesse digitalisiert haben, sind alle diese elektronischen Daten jetzt eine konzentrierte Chance, die eine größere Angriffsfläche als je zuvor hat.
Produktivität, Komfort und Leistung waren die treibenden Kräfte der elektronischen Revolution und haben eine Welt geformt, in der wir alle miteinander verbunden sind und das Online nahtlos mit dem Offline verschmilzt. Der Ransomware-Angriff auf die koloniale Pipeline Anfang dieses Jahres war eine deutliche Erinnerung daran, wie sich ein Cyberangriff auf den physischen Planeten auswirken kann, wenn er die Benzinquelle an der Ostküste der Vereinigten Staaten ausschaltet.
Sicherheitsgurus warnen aktuell davor, dass sich Hacker auf Herzschrittmacher, Insulinpumpen oder vernetzte Autos konzentrieren könnten. Endpunkte werden immer vielfältiger und verteilter. Sie sind nicht mehr nur PCs und Server, sondern auch Telefone, Kameras, HLK-Alternativen, Drucker, Uhren, intelligente Lautsprecher und vieles mehr. Das Ransomware-Risiko ist jetzt endemisch. Und die Zunahme von Kryptowährungen hat Cyberkriminellen die Möglichkeit gegeben, anonyme, risikofreie Transaktionen durchzuführen.
All dies zusammengenommen hat ein Ökosystem katastrophaler Gefahr wahrscheinlich gemacht. Es wird immer schwieriger, sich von Cyberangriffen zu erholen, und sie haben noch größere Auswirkungen. Unternehmen müssen intelligenter werden und schneller handeln, um proaktiv mit den Bedrohungen umzugehen, mit denen sie zu kämpfen haben.
Investitionen in Sicherheitstechnologien reichen nicht aus. Wir beobachten derzeit ein Erwachen der Annahme von Sicherheitsverletzungen in Unternehmen – eine Transformation in Richtung verstärkter Reaktions- und Wiederherstellungskapazitäten zusätzlich zu den regulären Cyber-Schutzplänen. Im Bewusstsein, dass ein Angriff keine Frage des „Ob“, sondern des „Wann“ ist, müssen Organisationen über zuverlässige Vorfallreaktionen, Krisenmanagement und Disaster-Recovery-Pläne verfügen.
Es ist unerlässlich, in die Lage zu kommen, Bedrohungen zu bestimmen, zu schützen, zu erkennen sowie zu reagieren und besser auf sie zu reagieren: Diese Fähigkeiten sind die Bausteine eines umfassenden Cyber-Resilience-Systems. Bei der Cyber-Resilienz geht es aber auch darum, Bedrohungen zu verringern – zu verstehen, welche Cyber-Sicherheitsaktivitäten die größten Auswirkungen auf Ihr Unternehmen haben würden, und Ihre Schutzmaßnahmen entsprechend zu priorisieren. Sie müssen Ihre potenziellen Angreifer und ihre Techniken sehr gut kennen, um einen Bedrohungs-sachkundigen, bedrohungsabhängigen Sicherheitsplan zu erstellen.
Seien Sie bereit für das Cyber-Schlachtfeld
Der Zufall ist eine Kombination aus Wahrscheinlichkeit und Nebenwirkungen. Eine Funktion, die sehr wahrscheinlich eintritt, aber minimale Auswirkungen hat, bietet insgesamt erheblich weniger Möglichkeiten als eine Funktion, die nicht wahrscheinlich ist, aber zu einer Hauptverletzung führen würde.
Folglich möchten Unternehmen erstens bewerten, welche ihrer Vermögenswerte am wahrscheinlichsten angegriffen werden, und zweitens, wie wertvoll diese Vermögenswerte für sie sind. Sie können Ihren ausbeutbaren Bereich nur dann vollständig erkennen, wenn Sie die Wahrscheinlichkeit eines Angriffs durch einen individuellen Angriffsvektor verstehen. Das Studium Ihres Gegners und seiner Vorgehensweise ist daher ein entscheidender Abschnitt dieses auf Bedrohungen basierenden Ansatzes.
Sie müssen Ihren Feind, Ihr Schlachtfeld und sich selbst kennen. Unternehmen müssen ihren individuellen Bestand sorgfältig analysieren – Informationen, Methoden und Personen, ihr Schlachtfeld – die Gemeinschaft sowie ihre potenziellen Angreifer.
Den Feind zu erkennen ist der schwierigste Abschnitt. Wer sind die Gefahrenakteure, die in Ihrem Unternehmen eine Faszination ausüben, und warum sehen sie Sie als auffälliges Ziel? Was sind ihre Motivationen und Ziele? Wie machen sie die Arbeit – welche Methoden, Ansätze und Behandlungen (TTPs) verwenden sie und wie sind diese auf Ihre individuelle natürliche Umgebung anwendbar? Wo genau würden sie am ehesten angreifen und wie würden sie Ihr Unternehmen oder Ihre Kunden gefährden?
Nachdem eine Organisation diese gründliche Kenntnis erlangt hat, kann sie sich über bedrohungsmodifizierte Prioritäten für die richtigen Sicherheitskontrollen und Investitionen entscheiden. Wenn Sie vorhersehen, was der Angreifer tun könnte, können Sie Lücken in Ihrer Verteidigung erkennen und entscheiden, wo Sie die Sicherheit erhöhen können. Umgekehrt ist es extrem schwierig, eine produktive Cyber-Resilience-Software zu entwickeln, wenn Sie nie verstehen, welche Methoden Angreifer gegen Sie anwenden werden.
Eine offensive Haltung einzunehmen beginnt damit, dass du deinen Feind verstehst
Wie gehen Sie also vor, um Ihren möglichen Angreifer zu lokalisieren und sich mit ihm vertraut zu machen? Threat Intelligence-Tools stellen im Allgemeinen sicher, dass sie die Lösungen liefern, aber wenn sie eine entscheidende Rolle in einem Sicherheitssystem spielen können, sind sie letztendlich reaktive Antworten, die hauptsächlich auf Kompromittierungsindikatoren basieren. Sie neigen dazu, viel zu viele ungefilterte Informationen zu enthalten, wobei sich die Bedrohungsindikatoren ständig ändern. Das Studium der TTPs eines Gegners hingegen muss eine proaktive und zielgerichtete Vorgehensweise sein. Glücklicherweise gibt es eine Reihe von Open-Source-Ressourcen, die Unternehmen dabei helfen, zu verstehen, wie Bedrohungsakteure vorgehen.
Die MITRE ATT&CK-Datenbanken sind eine gute Ausgangsposition, da sie eine recht zugängliche Bibliothek anerkannter gegnerischer Vorgehensweisen und Strategien sind. Es enthält Details zum Verhalten von Cyber-Gegnern, die die verschiedenen Phasen eines Angriffslebenszyklus und die Plattformen widerspiegeln, auf die sie anerkanntermaßen abzielen, und liefert einen Rahmen, der häufig von Gefahrenjägern, Red Teamern und Verteidigern verwendet wird, um Angriffe zu klassifizieren und zu bewerten.
Das ThaiCERT gibt eine andere hilfreiche Enzyklopädie von Gefahrenakteuren. Es gibt jedoch keinen einheitlichen umfassenden Bestand aller Angreifer – und Gegner können häufig unter charakteristischen Deckmänteln agieren.
Für einige der aktuellsten Erkenntnisse überwachen Schutzanbieter die Akteure und veröffentlichen diese Informationen. Zum Beispiel werden Bedrohungsprofile kostenlos auf Dattos Danger Administration Cyber Discussion Board angeboten, wo das Bedrohungsmanagementteam Gefahrenprofile, Signaturen und Details zu Bedrohungen teilt, die sich auf die lokale MSP-Community und ihre SMB-Kunden konzentrieren. Die meisten weiteren Profile betreffen das staatlich geförderte russische Hackerteam APT29, das auch als Cozy Bear und Darkish Halo bekannt ist, die LockBit-Freunde von Ransomware und der berüchtigten Cybercrime-Gruppe Wizard Spider.
Jedes einzelne Profil enthält eine Akteursübersicht, ihre Motive, TTPs, mögliche Minderungs- oder Abwehrmaßnahmen, Erkennungsoptionen und zusätzliche Ressourcen. Die Wissenschaftler haben auch Akteure auf das MITRE ATT&CK-Framework und CIS Vital Protection Safeguards zurückgeführt, um die Informationen leicht umsetzbar zu machen.
Platzieren Sie Cyber-Gegner in ihrem Bereich: verstehen, priorisieren, bewachen, testen
Wenn Sie die erforderlichen Erkenntnisse darüber gewonnen haben, welche Risikoakteure lauern könnten, hilft Ihnen die Simulation ihrer Methoden dabei, herauszufinden, wo in Ihrem Unternehmen die größte potenzielle Publizität besteht – und was Sie tun können, um diese Gefahr zu mindern. Indem Sie ihre früheren Verstöße rückentwickeln, können Sie getrost die effizientesten Sicherheitskontrollen gegenüber verschiedenen Akteuren priorisieren und durchführen.
Um die Überprüfung Ihrer Konfigurationen zu erleichtern, gibt es eine Reihe kostenloser Open-Source-Instrumente, die bestimmte Gegner emulieren, wie z. B. Caldera (das das ATT&CK-Produkt nutzt) oder die Atomic Pink Group von Pink Canary.
Gegnerische Emulation unterscheidet sich von Pen-Testing und Crimson-Teaming darin, dass sie ein Szenario verwendet, um die TTPs eines einzigartigen Gegners zu testen. Können Personentechniken in Ihrer Umgebung sowohl verhindert als auch erkannt werden? Es ist wichtig, technologisches Know-how, Prozesse und Menschen zu untersuchen, um wirklich zu erkennen, wie Ihre Abwehrmechanismen zusammenwirken. Wiederholen Sie dieses System, bis Sie endlich bereit sind, sich den Kampf gegen diesen Gegner zu verdienen.
KMU müssen dies mindestens einmal im Kalenderjahr oder jedes Mal, wenn eine neue Hauptbedrohung auftritt, viel größere Unternehmen und MSPs vierteljährlich tun, obwohl ein auf Bedrohungen basierendes Abwehrprogramm für Unternehmen eine kontinuierliche Anstrengung und harte Arbeit ist.
Darüber hinaus muss sich jede Firma an die CIS Vital Security Controls halten – als Minimum, indem sie genügend Zeit für die Kontrollen der Implementierungsgruppe 1 (IG1) für die entscheidende Cyber-Sauberkeit aufwenden.
Der primäre Faktor ist, einfach loszulegen. Es besteht keine Notwendigkeit, sich durch das Unternehmen verwirrt fühlen zu müssen. Beginnen Sie mit einer Move-by-Action-Lochbewertung in Richtung CIS IG1: Selbst die Investition einer Stunde alle 7 Tage in eine risiko- und bedrohungsbasierte Lösung trägt dazu bei, Ihre allgemeine Stabilität zu erhöhen.
Eine gute Kenntnis der schlechten Akteure im Risikoprofil eines Unternehmens ist entscheidend für die Einrichtung einer produktiven, auf Bedrohungen ausgerichteten Sicherheitssoftware, die Cyber-Resilienz gewährleistet. Wenn Unternehmen beginnen, sich mehr wie Hacker zu fühlen, werden sie bereit sein, weitaus bessere, gefahrenbewusstere Entscheidungen zu treffen, und werden besser gerüstet sein, um sich selbst abzuschirmen.
Ryan Weeks, CISO, Datto