Heute leben wir in einer zunehmend digitalen Welt, und Cyberkriminelle versuchen, von ihren illegalen Handlungen zu profitieren. Unternehmen müssen bereit sein, auf diese Bedrohungen zu reagieren, die schwerwiegende finanzielle Schäden sowie Reputationsschäden verursachen können. Unternehmen setzen ihre CyberSOC-Teams ein, um Incident Response- und Sicherheitsdienste bereitzustellen.
Vor Jahren waren alle vom SOC abhängig (einschließlich Firewalls, WAF, SIEM usw.), und die Priorität beim Aufbau des SOC bot Sicherheit für das Unternehmen. Mit der Ankunft von Cyberkriminellen wird die Bedrohung jedoch zu einer größeren Herausforderung, und der SOC kann der Organisation keine ausreichende Sicherheit bieten. Es gibt viele Gründe für den Ausfall des vorhandenen SOC, wo dies nur von SIEM abhängt.
Was trägt SIEM zur Sicherheit eines Unternehmens bei?
SIEM steht für Sicherheit Informations- und Eventmanagement. SIEM-Lösungen basieren auf der Erkennung verdächtiger Aktivitäten, die die Systeme eines Unternehmens bedrohen, mit dem Ziel, diese sofort zu lösen. Diese SIEM-Tools können eine große Anzahl von Ereignisprotokollen verarbeiten. Auf diese Weise senden sie dann Warnungen über Sicherheitsverletzungen und verdächtige Aktivitäten, die auftreten.
Ein Problem, das SIEMs haben, ist, dass sie zu viele nutzlose unstrukturierte Daten speichern. Aus diesem Grund ist es nicht möglich, die Ursache zu finden oder einen dringenden Vorfall zu lösen, da die Analyse aller Informationen viel Zeit und Mühe kostet.
Viele Unternehmen glauben, dass die Integration aller Sicherheitsgeräte wie Firewalls, Router, SIEM usw. 100% ige Sicherheit bietet. Dies ist jedoch falsch, da die APTs entstanden sind.
Angriffe von APT-Gruppen
APT steht für Advanced Persistent Threat. Dieses Konzept wurde berühmt, nachdem Angriffe einer chinesischen Militäreinheit namens APT bekannt wurden.
In dem Moment, in dem die Verteidiger zu lernen begannen, entwickelten sich auch die Angreifer besser und griffen in Gruppen an. Diese APT-Gruppen nutzen die von uns häufig verwendeten Anwendungen und nutzen sie jahrelang, bis sie entdeckt werden. In diesem Artikel haben wir ein Tutorial, in dem wir erklären wie wir uns vor APTs schützen können .
Unternehmen müssen ein Advocacy-Modell mit CyberSOC haben
Unternehmen müssen auf diese Angriffe vorbereitet sein. Sie benötigen ein CyberSOC-Team, um auf Vorfälle zu reagieren und Sicherheitsdienste zu kontrollieren. Unsere Verteidigung gegen APT oder andere Angriffe muss aufgebaut werden, indem wir darüber nachdenken, wie unser Gegner handelt. In diesem Sinne müssen wir zur Vorbereitung unseres Verteidigungsmodells wissen, welche Taktiken sie anwenden, wie sie eintreten, wie sie sich verbreiten und wie Daten exfiltriert werden.
Ein weiterer wichtiger Faktor ist die Bedrohungsinformation, die Informationen zu globalen Bedrohungen bereitstellt. Viele Anbieter stellen Informationen zur Bedrohungsmatrix, verwendete Tools, verwendete Artefakte usw. bereit. Daher müssen wir über die Bedrohungen auf dem Laufenden sein, die unsere Unternehmen betreffen können.
Wir wissen, dass APT-Gruppen gut ausgebildet sind, um eine Sicherheitsanfälligkeit auszunutzen. In diesem Sinne sollten diese Informationen, die wir gesammelt haben, verwendet werden, um diese Sicherheitsverletzungen zu korrigieren, bevor Angreifer sie ausnutzen.
Mit all dem würde es nicht ausreichen, es ist notwendig, mehr Arbeit zu leisten, in diesem Fall der Prävention. Jede Organisation sollte Bedrohungssuchteams haben, die nach verdächtigen Ereignissen suchen und sicherstellen, dass sie nicht zu Vorfällen werden. Dazu muss eine umfassende Suche innerhalb unseres Netzwerks durchgeführt werden, unter anderem von:
- Netzwerk-Beacons.
- Eskalation interner Berechtigungen.
- UAC-Ableitung.
- Verdächtige Tunnel.
Ebenso müssen wir darauf achten, dass die Verweilzeit dieser Cyberkriminellen so kurz wie möglich ist, damit ihnen nicht genügend Zeit bleibt, um die am stärksten gefährdeten Punkte des Netzwerks zu finden. Aus diesem Grund ist die Verhärtung der Geräte unerlässlich, um zu verhindern, dass Cyberkriminelle das System gefährden können.
Wenn alles andere fehlschlägt, müssen wir auf den Vorfall reagieren. Wenn wir jedoch mit einem CyberSOC-Team vorbereitet sind und unsere Hausaufgaben gut gemacht haben, sind die Folgen dieses Cyberangriffs zweifellos viel geringer.
