Unsere Bedrohungsforscher bei Lares stoßen auf eine Vielzahl von Sicherheitslücken und Schwachstellen, wenn wir im Auftrag unserer Kunden Purple-Team-Übungen durchführen. Im Laufe der Zeit scheinen dieselben unerzwungenen Fehler so oft aufzutauchen, dass wir Sicherheitsteams warnen, standardisierte Vorgehensweisen zu entwickeln, um sich dagegen zu wehren.
Die Lares Adversarial Collaboration Unit unterstützt Kunden bei defensiven Kooperationsengagements und Purple-Team-Bewertungen, die offensive und defensive Techniken kombinieren, um den Sicherheitsschutz zu stärken. Rote Teams emulieren externe oder interne Angreifer, während blaue Teams als Verteidiger der internen Sicherheit dienen. Lila Teams unterstützen beide Seiten, indem sie die Verteidigungstaktiken des Blauen Teams mit den Bedrohungen des Roten Teams in Einklang bringen.
Wir haben kürzlich neue Forschungsergebnisse veröffentlicht, die die Top 5 der Ergebnisse des Lila Teams hervorheben, denen wir bei Hunderten von Kundenengagements begegnet sind im vergangenen Jahr. Zu den am häufigsten vermeidbaren Fehlern gehörte eine unzureichende oder unnötige Ereignisprotokollierung; Mangel an offensivem Sicherheitswissen; co-abhängige Beziehungen im Security Operations Center (SOC); eine ungesunde Abhängigkeit von Werkzeugen; und gutes Geld schlechtem hinterherwerfen.
Um ihre Organisationen angemessen zu schützen, müssen Sicherheitsexperten die neuesten Bedrohungen kennen und wissen, wie sie darauf reagieren können. Darüber hinaus sollten Verteidiger vermeiden, sich auf Tools zu verlassen, und sich stattdessen auf die Entwicklung grundlegender Fähigkeiten konzentrieren, die nicht ausgelagert werden können oder sollten.
Die 5 wichtigsten Erkenntnisse aus der Lares Purple Teams-Forschung
Unzureichende oder unnötige Ereignisprotokollierung: Ereignisse sind ein kritischer Bestandteil der Sicherheitslage jeder Organisation. Viele Organisationen sollten kritischen Protokollereignissen mehr Aufmerksamkeit schenken, oder sie sammeln zu viele unnötige Ereignisse, die den Speicherplatz füllen und wichtige Daten verschleiern. In ihrer Unaufmerksamkeit übersehen sie möglicherweise wichtige Anzeichen für böswillige Aktivitäten. Organisationen sollten die gesammelten Ereignisse sorgfältig auswählen, um diese Probleme zu vermeiden und sicherzustellen, dass alle gesammelten Datenpunkte für ihre Sicherheitsanforderungen relevant sind. Auf diese Weise können sie ein effektives Erkennungs-und Reaktionssystem aufbauen und ihre allgemeine Sicherheitslage verbessern.
Mangel an anstößigem Sicherheitswissen: Die Überwachung der Umgebung eines Unternehmens auf potenzielle Bedrohungen erfordert mehr als nur ein grundlegendes Verständnis von gegnerischen Taktiken, Techniken und Verfahren (TTPs). Es ist wichtig zu erkennen, wann und wie diese TTPs genutzt werden, um geeignete Maßnahmen zur Verteidigung der Organisation zu ergreifen. Beispielsweise kann die Sicherheitsaufsicht die Überwachung der internen Kommunikation erfordern, um potenzielle Indikatoren für böswillige Aktivitäten zu identifizieren. Durch ein umfassendes Verständnis der Umgebung des Unternehmens und der gegnerischen TTPs können Personen, die mit der Überwachung beauftragt sind, Bedrohungen effektiver erkennen und darauf reagieren.
Koabhängige Beziehungen im SOC: Viele verwaltete Sicherheitsoperationen Zentren (SOCs) führen neue Probleme für defensive Teams ein, anstatt sie zu lösen. Dies geschieht häufig, weil Managed SOCs mit übermäßigen Alarmierungsverzögerungen zu kämpfen haben, kritische Ereignisse unterdrücken und keine wichtigen Telemetriedaten einführen können.
Alarmierungsverzögerungen treten auf, wenn das Managed SOC die Tools und Technologien zur Erkennung und Reaktion nicht richtig konfiguriert zu Sicherheitsvorfällen. Ereignisse, die genutzt werden könnten, um Angriffe zu vereiteln, werden verzögert oder gar nicht erkannt. Darüber hinaus unterdrücken verwaltete SOCs häufig kritische Ereignisse aufgrund des Drucks des oberen Managements oder externer Kunden. Schließlich versäumen es verwaltete SOCs oft, Telemetrie einzuführen, die für den Vorfall von Bedeutung ist. Dies liegt daran, dass sie von Metriken angetrieben werden, die nicht unbedingt die realen Auswirkungen von Sicherheitsvorfällen widerspiegeln. Infolgedessen liefern viele verwaltete SOCs nicht die Erkenntnisse und Daten, die erforderlich sind, um die Ursachen von Sicherheitsbedrohungen zu verstehen und anzugehen.
Ungesunde Abhängigkeit von Tools: Ein weiteres Problem betrifft Verteidiger, die verlassen sich zu sehr auf Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) Lösungen und erwarten, dass sie alle schlechten Akteure finden. Diese Denkweise kann zu Fehlalarmen und falschen Zuschreibungen führen. EDR und XDR sollten als Teil einer umfassenderen Sicherheitslösung betrachtet werden, nicht als einziger Überwachungspunkt. Nur durch einen ganzheitlicheren Sicherheitsansatz können Unternehmen der Bedrohungslandschaft einen Schritt voraus sein.
Gutes Geld schlechtem hinterher werfen: Es ist auch üblich, dass Unternehmen ihr Wissen auslagern, wenn es darum geht kommt zu Abwehrmaßnahmen. Obwohl dies wie die einfachste Lösung erscheinen mag, schadet es mehr als es nützt, indem es Mitarbeiter daran hindert, die wesentlichen Fähigkeiten zu erlernen, die sie benötigen, um effektiv zu sein, und das Unternehmen im Laufe der Zeit mehr Geld kostet. Anstatt das gesamte Sicherheitswissen auszulagern, sollten Unternehmen in ihre Mitarbeiter investieren und ihnen ermöglichen, zu lernen und zu wachsen. Unternehmen sollten auch Erkennungs-und Schutzmaßnahmen implementieren, die direkt auf gegnerische Methoden und Mechanismen abbilden. Dieser Ansatz ermöglicht es Mitarbeitern, die Fähigkeiten zu erwerben, die sie benötigen, um erfolgreich zu sein, während das Unternehmen langfristig mehr Geld spart.
In der heutigen schnelllebigen Cybersicherheitsumgebung ist mehr erforderlich, als nur die Taktiken eines Gegners zu verstehen. Sicherheitsteams müssen auch die potenziellen Probleme im Auge behalten, die sich aus ihren eigenen Abwehrmaßnahmen ergeben können.
Bildnachweis: Wayne Williams
Andrew Hay ist es Chief Operating Officer, Lares.