Trennung des Signals vom Rauschen

Zeit ist Geld.
Und Analysten müssen sie optimal nutzen.

Menschen und Maschinen geraten bei der Untersuchung gigantischer Datenmengen an ihre Grenzen. Für die Eindämmung von Cyber-Sicherheitskompromittierungen benötigen die meisten Unternehmen zwischen sechs Stunden und einer Woche. Analysten können Automatisierung, Zusammenarbeit von Mensch und Maschine sowie andere hochentwickelte Analysen nutzen. Aber auch hier müssen sie zunächst einmal wissen, worauf sie sich konzentrieren sollen.

Versetzen Sie sich in die Lage eines Analysten in einem Sicherheitskontrollzentrum, der auf Vorfälle reagieren soll. Testen Sie im folgenden Szenario Ihre Fähigkeiten und Kenntnisse, und stellen Sie fest, ob Sie die besten Signale für die Untersuchung erkennen. Ihre Zeit für den Test wird dabei erfasst, damit Sie sehen, wie schnell Sie reagiert haben.

Einführung

Situation

Die Anmeldeinformationen für das Unternehmensnetzwerk werden in einem „kostenlosen“ WLAN-Hotspot gestohlen und dazu genutzt, auf das geschützte Netzwerk zuzugreifen.

Handlung

Die Anmeldeinformationen sind jetzt in der Hand einer kriminellen Organisation, die nur zu gern in Ihr Unternehmensnetzwerk eindringen und Schäden verursachen, Daten exfiltrieren und den Ruf das Unternehmens beschädigen möchte, um den Aktienwert zu senken.

Der Sicherheitsanalyst der Stufe 1 erhält mehrere Sicherheitswarnungen, die alle zur sofortigen Handlung auffordern, sodass es möglicherweise schwierig ist, die echte Bedrohung zu erkennen. Nachfolgend sehen Sie eine Warnmeldung, die Analysten typischerweise zu Beginn des Arbeitstages sehen.

Entscheidungszeitpunkt

Wenn Sie in diesem Dashboard für Sicherheitsvorfälle eine Warnmeldung über möglicherweise gestohlene Anmeldeinformationen erhalten, welcher Startpunkt wäre für weitere Untersuchungen geeignet?

  • A. Total Events (Ereignisse insgesamt)
  • B. Total Correlated Events (Korrelierte Ereignisse insgesamt)
  • C. Average Severity – Correlated Events (Durchschnittlicher Schweregrad – Korrelierte Ereignisse)
  • D. Event Distribution (Ereignisverteilung)
  • E. Source IPs (Quell-IP-Adressen)
  • F. Destination IPs (Ziel-IP-Adressen)
  • G. Events (Ereignisse)

Die richtige Antwort lautet „Average Severity – Correlated Events (Durchschnittlicher Schweregrad – Korrelierte Ereignisse)“, da Sie nach den Ereignissen suchen, die als besonders riskant eingestuft werden. Alle anderen Indikatoren können an dieser Stelle als „Rauschen“ eingestuft werden.

Bei der Erstuntersuchung nach der Alarmerstellung identifiziert der Sicherheitsanalyst mithilfe von McAfee Enterprise Security Manager und der Ansicht „Suspicious Geo Login Events“ (Anmeldeereignisse an verdächtigen Orten) ungewöhnliche Anmeldungen an verschiedenen Orten weltweit. In der Zwischenzeit wird durch die Integration mit der ServiceNow Security Operations-Lösung ein Fall erstellt, um die Behebung des erkannten Sicherheitsvorfalls nachzuverfolgen.

Der erste Schritt der Untersuchung ergab, dass wahrscheinlich das Konto von Jason Waters kompromittiert wurde, da es innerhalb kurzer Zeit drei erfolgreiche Anmeldungen aus drei verschiedenen Ländern gab.

Muss der Sicherheitsanalyst diese verdächtigen Aktivitäten weiter untersuchen?

  • Ja, untersuchen
  • Nein, das ist nur Rauschen

Die richtige Antwort lautet „Ja“, weil drei Anmeldungen innerhalb kurzer Zeit aus unterschiedlichen Ländern sehr verdächtig sind.

Die Untersuchung der IP-Adresse des kompromittierten Kontos ergibt, dass es scheinbar missbraucht wurde, um über eine Microsoft PowerShell-Injektion einen Angriff mit einer dateilosen Malware durchzuführen und auf diese Weise auf das geschützte Netzwerk zuzugreifen.

Entscheidungszeitpunkt

Mit welchen zwei Aktionen sollten Sie auf die Vorfälle reagieren?

  • A. Alle Endgeräte im Unternehmensnetzwerk herunterfahren
  • B. Die Untersuchung fortsetzen, um Bewegungen innerhalb des Netzwerks zu erkennen und festzustellen, ob durch die PowerShell-Injektion eine Malware-Datei in das System des Opfers gelangen konnte
  • C. Die Firewall-Regeln für eingehenden Datenverkehr ändern, um den Zugang zum Unternehmensnetzwerk von außen zu unterbinden
  • D. Eine Korrelationsregel erstellen, die ausgelöst wird, wenn eine neue erfolgreiche Verbindung aus einem beliebigen registrierten Land hergestellt wird
  • E. Den Zugang des kompromittierten Kontos deaktivieren
0

Bewegungen innerhalb des Netzwerks sind für eine PowerShell-Injektion typisch. Zudem müssen Sie das kompromittierte Konto deaktivieren.

Im Rahmen der detaillierten Untersuchung verwendet der Sicherheitsanalyst McAfee Investigator, um weitere Details zu Prozessen und den Bewegungen aufzurufen. Dabei werden eventuelle laterale Bewegungen des laufenden Angriffs innerhalb des Netzwerks aufgedeckt.

Wenn Sie sich das Video zu den zusätzlichen Untersuchungsmöglichkeiten von McAfee Investigator noch nicht angesehen haben, scrollen Sie bitte nach unten und klicken auf die Schaltfläche „Video ansehen“. Klicken Sie dann auf „Weiter“, um mit dem nächsten Bildschirm fortzufahren.

Im Rahmen der detaillierten Untersuchung verwendet der Sicherheitsanalyst McAfee Investigator, um weitere Details zu Prozessen und den Bewegungen aufzurufen. Dabei werden eventuelle laterale Bewegungen des laufenden Angriffs innerhalb des Netzwerks aufgedeckt.

Entscheidungszeitpunkt

>Welche drei Aktionen werden im Rahmen der Vorfallreaktion empfohlen?

  • A. Diese neue Warnmeldung sowie alle anderen relevanten Sicherheitsereignisse zum offenen Vorfall hinzufügen
  • B. Anhand des Hash-Werts bestimmen, ob die unbekannte Datei böswillig ist
  • C. Anhand der Ausführungsanalyse der Datei in McAfee Advanced Threat Defense bestimmen, ob die unbekannte Datei böswillig ist
  • D. Den Datei-Hash-Wert ändern, um die weitere Verbreitung zu verhindern, wenn die Datei böswillig ist
  • E. Überprüfung, ob alle anderen unbekannten Dateien von McAfee Advanced Threat Defense als böswillig eingestuft werden
0

Sie müssen weitere Telemetriedaten zu diesem Vorfall sammeln, daher ist A eine richtige Antwort. Sie müssen außerdem das Dateiverhalten von ATD prüfen lassen. Daher ist auch C korrekt. Zudem sollten Sie proaktiv prüfen, ob ATD kürzlich ähnliches Verhalten durch andere Dateien festgestellt hat. Daher sind A, C und E die empfohlenen Aktionen.

Der Sicherheitsanalyst wechselt zu McAfee Advanced Threat Defense, wo die während der PowerShell-Injektion eingefügte verdächtige Datei überprüft und ausgeführt wird.

Die Datei wurde im Zuge der Tiefenanalysen in der Sandbox als böswillig identifiziert.

Entscheidungszeitpunkt

Welche Aktionen werden nach diesem Schritt empfohlen?

  • A. Den Hash-Wert der Datei in die Blacklist von McAfee Enterprise Security Manager aufnehmen, damit sie schneller erkannt wird
  • B. Die Standardrichtlinien „Access Protection“ (Zugriffsschutz) und „Exploit Prevention“ (Exploit-Schutz) für alle Unternehmensendgeräte anpassen, um die nicht autorisierte PowerShell-Ausführung zu verhindern
  • C. Die für die Infiltration verwendeten Quell-IP-Adressen in McAfee Enterprise Security Manager-Watchlists aufnehmen, um sie weiter überwachen zu können
  • D. Alle oben genannten Aktionen
  • E. Keine der oben genannten Aktionen

Das Blacklisting des Datei-Hash-Werts, das Anpassen der Endgeräterichtlinien zum Schutz vor nicht autorisierter PowerShell-Ausführung sowie das Hinzufügen der Quell-IP-Adressen in die SIEM-Watchlists sind sinnvolle Aktionen.

Passen Sie die Standardrichtlinien „Access Protection“ (Zugriffsschutz) und „Exploit Prevention“ (Exploit-Schutz) für alle Unternehmensendgeräte an, um die nicht autorisierte PowerShell-Ausführung zu verhindern. Unterstützung erhalten Sie hierfür durch den McAfee ePolicy Orchestrator zusammen mit McAfee Endpoint Security.

Ergebnisse

Metrik

  • Für die Auflösung benötigte Zeit:
  • Genauigkeit der Entscheidungen:

Laut der Ponemon Institute-Studie von 2017 zu den Kosten von Datenkompromittierungen (2017 Ponemon Cost of Data Breach Study) werden böswillige Datenkompromittierungen im Durchschnitt nach 214 Tagen erkannt und innerhalb von 77 Tagen eingedämmt. Jeder Tag, den eine Kompromittierung unerkannt in Ihrer Umgebung verweilt, verursacht Kosten. Wie viel?

Wie wäre es mit 1 Million US-Dollar pro Datenkompromittierung? Dieser Betrag wird vom Ponemon Institute als Durchschnitt für den Fall genannt, dass Kompromittierungen innerhalb von weniger als 100 Tagen erkannt und weniger als 30 Tagen eingedämmt werden.

Im Folgenden sehen Sie Schätzungen von McAfee dazu, welche Einsparungen geschulte Vorfallreaktionsteams durch die Verwendung von McAfee Enterprise Security Manager, McAfee Investigator, McAfee Advanced Threat Defense, McAfee ePolicy Orchestrator, McAfee Active Response und McAfee Dynamic Endpoint erzielen können:

Wert der Zeiteinsparungen bei Vorfalluntersuchungen:
44.000 US-Dollar pro Jahr
Einsparungen durch reduzierte IT-Ausfälle:
47.000 US-Dollar pro Jahr
Reduzierter Verwaltungsaufwand für Protokollkorrelationen:
84.000 US-Dollar pro Jahr
Gesamte jährliche Einsparungen:
175.000 US-Dollar pro Jahr

* Für die Nutzung der Funktionen und Vorteile der McAfee-Technologien muss das System entsprechend konfiguriert werden, und möglicherweise müssen Hard- bzw. Software oder Services aktiviert werden. Demos zeigen die Leistung der Komponenten bei einem konkreten Test mit bestimmten Systemen. Unterschiede bei Hard- und Software oder der Konfiguration können die tatsächliche Leistung beeinflussen. Ziehen Sie zur Bewertung der Leistung für die Kaufentscheidung weitere Informationsquellen hinzu. Die hier genannten Kosten- und Zeiteinsparungen dienen als Beispiele dafür, wie ein bestimmtes McAfee-Produkt bei den beschriebenen Umständen und Konfigurationen zukünftige Kosten vermeiden und Kosten- und Zeiteinsparungen ermöglichen kann. Die tatsächlichen Ergebnisse können davon abweichen. McAfee garantiert keine Kosteneinsparungen. Kein Computersystem kann absolut sicher sein.

Wertschöpfungsanalyse

  • Möchten Sie gern diese Analysen in Ihrer eigenen Umgebung in Aktion sehen?
  • Bitte geben Sie hier Ihre Kontaktinformationen ein, damit ein McAfee-Vertreter Sie kontaktieren und eine Analyse vorbereiten kann, die genau auf Ihr Unternehmen zugeschnitten ist und die Sie mit Ihren Kollegen teilen und besprechen können.
Weiter
Über McAfee | Presse-Center | Jobs | Blog | Kontakt | Rechtliche Hinweise

Copyright © McAfee, LLC