Automatisierte Angriffsuntersuchung: Verbesserung der Cybersecurity-Reaktion
Untersuchung automatisierter Systeme für eine effiziente Untersuchung von Cyberbedrohungen und -verletzungen.
― 11 min Lesedauer
Inhaltsverzeichnis
Unternehmen sehen sich ständigen Bedrohungen durch talentierte Angreifer ausgesetzt, die verschiedene Methoden nutzen, um in ihre Systeme einzudringen, unbemerkt umherzuziehen und Daten zu stehlen oder sie gegen Lösegeld zu halten. Traditionell haben Firmen auf verschiedene Systeme gesetzt, die Geräte und Netzwerke überwachen, um diese Bedrohungen zu finden und zu melden. Allerdings erzeugen diese Systeme oft eine massive Anzahl an Warnmeldungen, was es für Analysten schwierig macht, sie effektiv zu verwalten und darauf zu reagieren. Die überwältigende Menge an Warnungen erhöht die Chance, dass eine echte Bedrohung übersehen wird.
Um dieses Problem anzugehen, haben Forscher automatisierte Systeme vorgeschlagen, die Angriffe effizienter untersuchen. Diese Systeme sammeln Informationen, verfolgen miteinander verbundene Ereignisse und bieten Analysten klare Zusammenfassungen der Situationen. Dieses Papier betrachtet verschiedene automatisierte Systeme zur Angriffsermittlung, vergleicht deren Designs und Ziele und diskutiert die Schwierigkeiten, mit denen sie konfrontiert sind. Die Übersicht endet mit einem Blick auf ungelöste Probleme im Bereich.
Cyberangriffe bestehen oft aus mehreren Schritten und nutzen verschiedene Techniken in jeder Phase. Mehrere bekannte Angriffe in den letzten Jahren verdeutlichen diesen Punkt. Zum Beispiel hat der SolarWinds-Angriff von 2020 Software kompromittiert, die von vielen Organisationen verwendet wird. In einem anderen Fall war der Cash App-Datenleck von 2022 ein ehemaliger Mitarbeiter, der auf vertrauliche Finanzberichte zugreifen konnte. Erst kürzlich, im Jahr 2023, hat der CitrixBleed-Angriff eine Schwachstelle ausgenutzt, um sensible Informationen von Unternehmen, die Citrix-Produkte nutzen, zu sammeln. Das Ausmass und die Raffinesse dieser Angriffe haben im Vergleich zu früheren Jahren erheblich zugenommen.
Sobald Angreifer Zugang zu einem Netzwerk haben, nutzen sie verschiedene Methoden, um sich innerhalb des Netzwerks zu bewegen und Kontrolle über wertvolle Konten und Daten zu erlangen. Sie tarnen oft ihre Aktivitäten, um sich unter legitimen Nutzern zu mischen, indem sie autorisierte Tools verwenden und sporadisch auf Systeme zugreifen. Dieser Prozess kann Wochen oder sogar Monate dauern, währenddessen Angreifer unbemerkt bleiben können. Berichten zufolge benötigten Organisationen im Durchschnitt 204 Tage, um einen Datenleck im Jahr 2023 zu erkennen und einzudämmen.
Um diese Bedrohungen zu bekämpfen, verwenden Unternehmen eine Vielzahl von Systemen, die verschiedene Aspekte ihres Netzwerks und Nutzerverhalten überwachen. Einige Systeme konzentrieren sich auf Endpunkte, während andere den Netzwerkverkehr oder das Verhalten von Nutzern überwachen. Diese Systeme beobachten passiv nach Bedrohungen und alarmieren Analystenteams, die für die Überprüfung und Bearbeitung der generierten Warnmeldungen verantwortlich sind. Dieser Schritt kann jedoch zeitaufwändig und fehleranfällig sein, was oft dazu führt, dass Analysten echte Bedrohungen im Lärm übersehen.
Daher wurden verschiedene Systeme vorgeschlagen, um den Ermittlungsprozess zu erleichtern. Diese Systeme zielen darauf ab, Ereignisse im Zusammenhang mit Bedrohungen zu verfolgen, eine Ursachenanalyse durchzuführen und das Ausmass eines Angriffs zu bestimmen. Sie versuchen, Fehlalarme zu reduzieren und den Untersuchungsprozess zu beschleunigen.
Effektive automatisierte Ermittlungsysteme zu schaffen, ist aufgrund mehrerer Faktoren herausfordernd. Erstens kann die riesige Menge an Daten, die analysiert werden müssen, überwältigend sein. Zweitens sind diese Daten oft unordentlich und stark auf routinemässige, harmlose Aktivitäten konzentriert. Drittens können die Daten über verschiedene Systeme verstreut sein, was es schwierig macht, ein klares kausales Bild der Ereignisse zu formen. Folglich setzen diese Systeme viele Strategien ein, um Fehlalarme zu minimieren und die Ermittlungsarbeit zu straffen.
Beispielsweise können Systeme irrelevante Verbindungen ausschliessen, sich auf die konzentrieren, die für den Angriff am relevantesten sind, oder Warnungen basierend darauf priorisieren, wie ernsthaft eine Bedrohung sein könnte. Sie nutzen auch verschiedene Techniken, um die Anzahl der zu untersuchenden Warnungen zu reduzieren, etwa durch das Prüfen der Eigenschaften von Warnnetzwerken oder das Zuweisen von Seltenheitsbewertungen, um die Bedeutung von Warnungen zu bestimmen.
Automatisierte Systeme arbeiten jedoch oft unter der Annahme, dass sie in einer perfekten Welt existieren. In der Realität haben Analysten möglicherweise nicht vollständigen Zugriff auf alle Daten, und die Zeit, die für die Untersuchung von Bedrohungen aufgebracht wird, kann enorm sein. Daher wird dieses Papier moderne Systeme untersuchen, die diese Herausforderungen bei der Untersuchung von Angriffen angehen. Es wird die Probleme skizzieren, die beim Aufbau solcher Systeme auftreten, und verschiedene Typen von Systemen diskutieren, die vorgeschlagen wurden.
Klassische EDR- und SIEM-Systeme
Endpoint Detection and Response (EDR)-Tools gehören zu den am häufigsten verwendeten Softwarelösungen in modernen Unternehmen und überwachen kontinuierlich Aktivitäten auf Computern oder anderen Geräten. Diese Tools vergleichen Systemereignisse mit einer Reihe vordefinierter Regeln und identifizieren alle Aktionen, die bekannten Bedrohungen entsprechen. Wenn ein Treffer gefunden wird, kann das EDR-Tool zusätzliche Kontexte von dem Gerät sammeln und die Daten an einen zentralen Server zur tiefergehenden Analyse senden.
Viele Organisationen nutzen zusätzlich zu EDR-Tools auch Systeme zur Security Information and Event Management (SIEM). Diese Systeme helfen Analysten, Daten abzufragen, verwandte Ereignisse zusammenzuführen und Warnungen zu analysieren. Während EDR- und SIEM-Systeme systematische Aktivitäten auf niedriger Ebene effektiv verfolgen können, belasten sie oft die Analysten, den Kontext von Angriffen zu interpretieren.
Leider sind die Regeln, die in diesen Systemen verwendet werden, nicht narrensicher und können von Angreifern umgangen werden, die ihre Methoden gerade genug abändern, um nicht entdeckt zu werden. Die schnelle Einführung von EDR-Systemen hat dazu geführt, dass viele Unternehmen diese in ihren Netzwerken implementieren, oft bedingt durch vertragliche Anforderungen oder die Notwendigkeit, die Kosten für Cyberversicherung zu senken. Dennoch haben viele Organisationen Schwierigkeiten, mit dem Volumen an Warnungen, die von diesen Systemen generiert werden, Schritt zu halten.
Infolgedessen wurden in der aktuellen Literatur verschiedene automatisierte Systeme zur Angriffsermittlung vorgeschlagen, um die Belastung bei der Bedrohungsermittlung zu erleichtern.
Ursprünge der automatisierten Untersuchung
Das Konzept der automatisierten Angriffsermittlung kann bis zu frühen Lösungen wie BackTracker zurückverfolgt werden, die Systemaufrufprotokolle verwendeten, um Grafiken zu erstellen und Vorfälle zu analysieren. Die Idee des Protokollierens zur Untersuchung von Angriffen entstand aus Systemen wie ReVirt, die Systemereignisse in einer virtuellen Umgebung erneut abspielten, um Sicherheitsverletzungen zu studieren. Andere Systeme, wie Taser und Back-to-the-Future, nutzten ebenfalls Protokollierung, um frühere Systemzustände wiederherzustellen.
Neuere Ansätze haben kausale Grafiken integriert, um bei den Untersuchungen zu helfen. Indem Informationen aus verschiedenen Überwachungssystemen kombiniert werden, nutzten frühere Technologien wie das System von Sitaraman Protokollierung zur Analyse, und die Gefahrenidentifikation hat zu mehreren modernen Tools geführt, die darauf abzielen, böswillige Ereignisse zu verfolgen.
Moderne Untersuchungssysteme
Die heutigen automatisierten Systeme zur Angriffsermittlung variieren stark in ihren Fähigkeiten, Datenquellen und Techniken, die bei den Ermittlungen verwendet werden. Sie können anhand der Frage klassifiziert werden, ob sie online oder offline arbeiten, wobei Online-Systeme Bedrohungen in Echtzeit erkennen und Offline-Systeme bereits gesammelte Protokolle und Ereignisse analysieren.
Systeme können auch basierend auf ihren Datenquellen organisiert werden, wie denen, die Provenienz ausnutzen oder die sich auf andere Datentypen stützen. Darüber hinaus konzentrieren sich einige Systeme auf Untersuchungen von Einzel-Hosts, während andere mehrere Hosts betrachten, was sie fähiger macht, Bedrohungen zu verfolgen, die über Netzwerke hinweg reichen.
Überblick über eine Angriffskette
Um die verfügbaren Werkzeuge und deren Funktionsweise besser zu verstehen, hilft es, sich ein typisches Angriffsszenario anzusehen. Nehmen wir an, ein Angreifer erhält Zugang durch kompromittierte Anmeldedaten. Einmal drin, sammelt er möglicherweise Informationen und erstellt neue Benutzerkonten, um den Zugang aufrechtzuerhalten, während er weiterhin Schwächen im System ausnutzt. Schliesslich könnte er sensible Daten exfiltrieren, bevor eine Entdeckung erfolgt.
Trotz der Existenz von EDR- und SIEM-Systemen zur Überwachung und Meldung von Bedrohungen haben Analysten oft Schwierigkeiten mit der schieren Menge an Warnmeldungen. Diese Situation führt zu "Alarmmüdigkeit", während Analysten versuchen, zahlreiche Warnungen zu bearbeiten. Jede Warnung zu untersuchen, kann arbeitsintensiv und zeitaufwändig sein, was das Risiko erhöht, echte Bedrohungen zu übersehen.
Daher ist ein zentrales Ziel von Systemen zur automatisierten Angriffsermittlung, Fehlalarme zu reduzieren und gleichzeitig eine genaue Erkennung sicherzustellen. Dennoch kann die Anzahl der Warnmeldungen exponentiell zunehmen, während diese Systeme zunehmend Abhängigkeiten während der Untersuchungen verfolgen. Darüber hinaus können sie Herausforderungen hinsichtlich der Speicherung von Protokollen und der Leistungsfähigkeit haben.
Ansatz zur Angriffsermittlung
Der Ermittlungsprozess beginnt normalerweise mit der Analyse der Ursache eines Angriffs und seines Umfangs. Dies kann durch eine Ursachenanalyse erreicht werden, die abhängige Ereignisse miteinander verknüpft. Durch den Aufbau eines kausalen Graphen basierend auf gesammelten Daten können Systeme besser die Beziehungen zwischen verschiedenen Aktionen verstehen, die zu einem Angriff führen.
Sobald der Graph erstellt ist, können Systeme die Hauptursache und den Umfang der Bedrohung ermitteln. Dies kann beinhalten, von bekannten böswilligen Aktivitäten zurückzuverfolgen, um deren Quelle zu identifizieren, oder zukünftige Verbindungen zu untersuchen, um die Auswirkungen des Ereignisses zu verstehen.
Anomalieerkennung
Während dieser Analyse nutzen Systeme verschiedene Techniken, um ungewöhnliche Pfade zu erkennen, die auf bösartiges Verhalten hindeuten könnten. Diese Methoden können Grafikeigenschaften, Maschinenlernmodelle oder Beziehungen zwischen Ereignissen verwenden, um Punkte basierend auf der Wahrscheinlichkeit, schädlich zu sein, zuzuweisen.
Jedes der diskutierten Systeme hat seine eigenen Strategien, um die Herausforderungen zu bewältigen, die durch herkömmliche EDR-Tools wie Alarmmüdigkeit und Speichereinschränkungen entstehen. Dennoch bleibt die Dringlichkeit, die Effektivität dieser Tools zu verbessern, während die Arbeitslast der Analysten berücksichtigt wird.
Priorisierung von Warnungen
Da automatisierte Systeme mit dem Problem konfrontiert sind, zu viele Warnungen zu erzeugen, wird es entscheidend, zu priorisieren, welche untersucht werden sollen. Einige Systeme, wie PrioTracker, verwenden Algorithmen, um Warnungen basierend auf ihrer Dringlichkeit und der Wahrscheinlichkeit, echte Bedrohungen zu sein, zu bewerten.
Ähnlich werden andere Tools die Zeitbeschränkungen der Analysten berücksichtigen, wenn sie entscheiden, welche Warnungen hervorgehoben werden sollen. Indem sie sich auf die bedeutendsten Warnungen konzentrieren, können Systeme helfen, den Ermittlungsprozess zu straffen und die Chancen zu verringern, wichtige Bedrohungen zu übersehen.
Speicherung minimieren
Die Speicherung von Protokollen und Ereignissen kann überwältigend werden, insbesondere wenn Ermittlungen umfangreiche Daten über längere Zeiträume verfolgen. Daher sind Methoden notwendig, um veraltete oder irrelevante Daten zu entfernen. Beispielsweise können graphbasierte Ansätze den Speicherbedarf reduzieren, indem sie unnötige Knoten und Verbindungen eliminieren.
Solche Strategien können dazu beitragen, dass entscheidende Informationen zugänglich bleiben, während der Speicherbedarf minimiert wird. Diese Balance muss jedoch gewahrt bleiben, um zu vermeiden, dass wertvoller Kontext verloren geht, der zukünftige Ermittlungen unterstützen könnte.
Verständliche Ergebnisse
Letztendlich führen alle Bemühungen um die Automatisierung von Ermittlungen wieder zu menschlichen Analysten für die abschliessende Interpretation. Es ist daher wichtig, Ergebnisse auf eine verständliche Weise zu präsentieren und genügend Kontext zu bieten, damit Analysten bedrohungen validieren können.
Automatisierte Systeme müssen nicht nur die Menge der Warnmeldungen reduzieren, sondern auch sicherstellen, dass Analysten die Ergebnisse leicht interpretieren und Einblicke in potenzielle Probleme gewinnen können.
Offene Probleme
Während dieses Papier die Fortschritte bei automatisierten Systemen zur Angriffsermittlung überprüft, gibt es immer noch mehrere Herausforderungen, die angegangen werden müssen. Ein wichtiger Bereich ist der Drang nach Echtzeitanalysen, um Bedrohungen zu erfassen, während sie auftreten. Viele aktuelle Systeme arbeiten offline, was angesichts der Geschwindigkeit, mit der Angriffe stattfinden können, möglicherweise nicht der beste Ansatz ist.
Darüber hinaus besteht die Notwendigkeit, den Arbeitsaufwand für Analysten zu reduzieren und sicherzustellen, dass Systeme ihre Zeitbeschränkungen und Informationsanforderungen bei der Generierung von Warnmeldungen berücksichtigen.
Während Systeme weiterentwickelt werden, ist es wichtig, unrealistische Annahmen über die Vollständigkeit und Integrität von Daten zu vermeiden. Sicherheitslösungen müssen innerhalb der praktischen Realitäten von Organisationen arbeiten und die bestehenden Einschränkungen berücksichtigen.
Zusätzlich bleibt das Finden hochwertiger Datensätze, die reale Angriffsszenarien genau widerspiegeln, ein erhebliches Hindernis. Die meisten Systeme verlassen sich auf simulierte Angriffe zur Bewertung, was möglicherweise nicht vollständig darstellt, wie Systeme bei tatsächlichen Sicherheitsverletzungen abschneiden.
Abschliessend bewertet dieses Papier eine Vielzahl automatisierter Systeme zur Angriffsermittlung, die darauf abzielen, die Sicherheit von Unternehmen zu verbessern. Während Fortschritte bei der Bewältigung zentraler Herausforderungen wie Abhängigkeitsexplosion, Alarmmüdigkeit und Datenspeicherung erzielt wurden, ist klar, dass eine universelle Lösung noch entwickelt werden muss. Künftig müssen Forscher sich auf Möglichkeiten zur Echtzeitanalyse, Arbeitsreduzierung für Analysten, realistische Bewertungen und ein besseres Verständnis der Herausforderungen konzentrieren, mit denen Organisationen im Bereich Cybersicherheit konfrontiert sind.
Titel: After the Breach: Incident Response within Enterprises
Zusammenfassung: Enterprises are constantly under attack from sophisticated adversaries. These adversaries use a variety of techniques to first gain access to the enterprise, then spread laterally inside its networks, establish persistence, and finally exfiltrate sensitive data, or hold it for ransom. While historically, enterprises have used different Incident Response systems that monitor hosts, servers, or network devices to detect and report threats, these systems often need many analysts to triage and respond to alerts. However, the immense quantity of alerts to sift through, combined with the potential risk of missing a valid threat makes the task of the analyst challenging. To ease this manual and laborious process, researchers have proposed a variety of systems that perform automated attack investigations. These systems collect data, track causally related events, and present the analyst with an interpretable summary of the attack. In this paper, we present a survey of systems that perform automated attack investigation, and compare them based on their designs, goals, and heuristics. We discuss the challenges faced by these systems, and present a comparison in terms of their effectiveness, practicality, and ability to address these challenges. We conclude by discussing the future of these systems, and the open problems in this area.
Autoren: Sumanth Rao
Letzte Aktualisierung: 2024-06-13 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2406.07559
Quell-PDF: https://arxiv.org/pdf/2406.07559
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.
Referenz Links
- https://www.csoonline.com/article/566243/threat-detection-it-s-about-time.html
- https://www.apple.com/newsroom/pdfs/The-Continued-Threat-to-Personal-Data-Key-Factors-Behind-the-2023-Increase.pdf
- https://securityintelligence.com/articles/cost-of-a-data-breach-10-years-in-review/
- https://www.ibm.com/reports/data-breach
- https://www.ibm.com/topics/edr