UEBA und das Mitre Att&ck Framework
Kenne deinen Feind
Fortsetzung des Artikels von Teil 1
Angreiferverhalten analysieren
Die Betrachtung der Umgebung anhand von Verhaltensweisen ist anspruchsvoller als die einfache Suche nach Signaturen. David Bianco, damals Incident Handler bei FireEye, schlug 2014 eine sogenannte „Pyramid of Pain“ (Schmerzpyramide) vor. Sie stellt die relativen Stärken und Schwächen der Verwendung verschiedener IoCs in zwei Dimensionen dar: eine Rangfolge von IoC-Typen in Bezug darauf, wie einfach sie zu implementieren waren, und die relative Verbreitung jedes IoC-Typs. Am unteren Ende der Pyramide befinden sich Hash-Werte, die reichlich vorhanden und leicht zu sichten sind, an der Spitze TTPs (Taktiken, Techniken und Prozeduren, also Verhaltensweisen), die ein Security-Team am schwierigsten erkennen und verfolgen kann. Zwei Möglichkeiten bieten sich an, um Verhaltensanalysen in das Sicherheitsprogramm zu implementieren: die Nutzung des Mitre Att&ck-Frameworks und von UEBA (User and Entity Behavior Analytics).
Das Mitre Att&ck Framework ist eine von der Community bereitgestellte Wissensdatenbank zu Taktiken und Techniken von Angreifern. Die Mitre Corporation pflegt diesen Informationsbestand, der auf realen Beobachtungen basiert. Mit dem Framework steth IT-Sicherheitsfachleuten eine Fülle von Wissen über Angreifer zur Verfügung, das Tausende Sicherheitsforscher auf der ganzen Welt sammeln. Dieses Wissen hilft, sich auf Cybersicherheitsbedrohungen vorzubereiten und darauf zu reagieren. Die Integration der Wissensdatenbank in Erkennungstechnik bringt Licht ins Dunkel der Hacker-Aktivitäten.
Während das Framework Einblicke gibt, um das Verhalten der Angreifer zu verstehen, bietet UEBA den Ausblick: Hier geht es darum, die Umgebung gut zu verstehen, um subtile künstliche Veränderungen zu erkennen. UEBA nutzt unüberwachtes maschinelles Lernen (Unsupervised ML), um die traditionellen regel- und signaturbasierten Erkennungsfunktionen des SIEM-Systems zu ergänzen. UEBA-Software modelliert dazu das Verhalten jedes Benutzers und jeder Entität in der Umgebung zu verschiedenen Tageszeiten, Wochentagen und Wochen des Monats. Sie verwendet diese Referenzwerte dann als Grundlage für die Erkennung von Anomalien und wendet heuristische Algorithmen darauf an. So lässt sich die Wahrscheinlichkeit bestimmen, dass die beobachteten Verhaltensunterschiede auf eine Bedrohung hindeuten.
Mittels des unüberwachten maschinellen Lernens kann die Software Benutzer und Entitäten gruppieren, die ähnliches Verhalten aufweisen. Diese Gruppierungen sind wichtig für höhere Erkennungsgenauigkeit, da sie nicht nur das Verhalten einer einzelnen Entität mit ihrer eigenen Baseline (Referenzwert) vergleichen, sondern auch mit der Baseline ihrer Gruppe. Dieser Vergleich senkt das Risiko von Fehlalarmen in Situationen, in denen ein Benutzer etwas Neues tut, das aber sonst unter den Mitgliedern seiner Gruppe oder Abteilung sehr häufig vorkommt.
- Kenne deinen Feind
- Angreiferverhalten analysieren
- Von Rohdaten zur Information
Lesen Sie mehr zum Thema
