Der raffinierte Solarwinds-Hack zieht weite Kreise. Denn bei dem Angriff wurde nicht nur der IT-Anbieter selbst attackiert. Es war den Hackern auch gelungen, sich Zugang zu den internen Netzwerken zahlreicher Unternehmen und Regierungsbehörden zu verschaffen. Ein Skandal, der Cyber Security-Experten weltweit dazu zwingt, ihre Sicherheitsarchitektur auf den Prüfstand zu stellen. Sicherlich ist es höchst bemerkenswert, dass diese anspruchsvolle Cyber-Attacke staatlich finanziert wurde. Aber was uns hier vor allem interessiert, ist die Dauer der Hacking-Kampagne: 10 Monate vergingen, bis sie endlich aufflog. 10 Monate, in denen die Angreifer sich wiederholt Zugriff zu stark gesicherten internen Netzwerken von Sicherheitsbehörden und IT-Unternehmen verschafften und in diesen Netzwerken bewegen konnten, ohne entdeckt zu werden.

Cyber-Attacken zu stoppen, indem man Zero-Day Vulnerabilities verhindert – also Exploits, die nur Hackern bekannt sind – erscheint nicht sehr aussichtsreich. Vielversprechender ist dagegen der Versuch, Hacking-Kampagnen zu bekämpfen, indem man die Eindringlinge rechtzeitig entdeckt und verhindert, dass sie irreparablen Schaden anrichten.

Security Operation Centers (SOCs) brauchen technologisch jederzeit aktuelle Lösungen, um sich vor immer neuen Bedrohungsszenarien zu schützen, die ihre ständig wachsenden digitalen Umgebungen attackieren.

Azure Sentinel vereint die Vorteile einer Lösung für Security Information & Event Management (SIEM) und die einer Security Orchestration Automated Response (SOAR) in einer skalierbaren, cloudnativen Lösung. Azure Sentinel bietet intelligente Sicherheits- und Bedrohungsanalysen für das ganze Unternehmen und stellt eine zentrale Lösung für die Warnungs- und Bedrohungserkennung, die proaktive Suche sowie die Reaktion auf Bedrohungen bereit. Zusätzlich ermöglicht Sentinel die Integrationen von Sicherheitsanwendungen und Systemen von außerhalb des Microsoft-Ökosystems. Das Resultat: eine einzige kombinierte SIEM/SOAR-Lösung für die gesamte digitale Infrastruktur Ihrer Organisation.

Wie moderne Organisationen Azure Sentinel nutzen können, wie sich diese neueste Generation von cloudnative SIEM/SOAR-Lösungen automatisch an die IT-Infrastruktur anpasst und wie sich damit, im Vergleich zu traditionellen On-Premise-Lösungen, auch noch Kosten sparen lassen – darüber haben wir bereits ein Whitepaper geschrieben.

Heute wollen wir erläutern, um welche vier leistungsstarken Features Azure Sentinel seit der Veröffentlichung unseres Whitepapers ergänzt wurde. Und wir möchten Ihnen erklären, was das für Ihre Sicherheitsorganisation bedeuten könnte.

Entity Behavior

Interne Bedrohungen und aktive Zero-Day-Lücken innerhalb des eigenen Sicherheitsbereichs identifizieren

Interne Cyberbedrohungen werden für Organisationen immer mehr zum Problem. Schließlich gibt es überall böswillige ehemalige oder aktuelle Mitarbeiter, Geschäftspartner oder Zulieferer, die existierende Sicherheitsmaßnahmen bereits gut kennen und auch wissen, wie sie zu umgehen sind. Solche Angreifer entziehen sich leicht den rudimentären Erkennungsmechanismen von Organisationen, die sich hauptsächlich auf die Bedrohung durch Außenstehende konzentrieren. Die zahlreichen internen Risikofaktoren werden dabei vernachlässigt. Dazu gehören die Bereitstellung von Zugangsprivilegien für einen unnötig großen Nutzerkreis, eine wachsende Anzahl von Endgeräten mit Zugang zu sensiblen Daten sowie mangelnde Überprüfung der Datensicherheit. In einer 2018 durchgeführten Umfrage zu internen Bedrohungen haben 53% aller Teilnehmer bestätigt, dass ein interner Angriff auf die Organisation in den letzten 12 Monaten mindestens einmal stattgefunden habe.

Eine Bedrohung innerhalb Ihres Netzwerks bedeutet aber nicht zwangsläufig, dass die Gefahr tatsächlich aus dem Unternehmen selbst stammt. Sicherheitsforscher decken regelmäßig auf, dass sich APT-Akteure (Advanced Persistent Threat) immer wieder unautorisierten Zugang zu internen Netzwerken von Unternehmen verschaffen. Lateral Movement nennt sich die Strategie dieser Angreifer, sich nach dem Eindringen in ein Netzwerk in verschiedenen Bereichen zu bewegen und nach und nach die für die geplanten Aktionen erforderlichen Rechte zu erlangen sowie gleichzeitig Sicherheitskontrollen und -warnungen zu vermeiden.

Azure Sentinel bietet nun ein neues, leistungsfähiges Feature, um diesen Bedrohungen durch interne und APT-Akteure zu begegnen: User and Entity Behavior Analytics (UEBA). Mit dieser Funktion sammelt Azure Sentinel peergruppenübergreifend und über einen bestimmten Zeitraum hinweg Protokolle und Warnungen von allen verbundenen Datenquellen, analysiert sie und erstellt Baselineprofile für das Verhalten von Entitäten (Benutzer, Hosts, IP-Adressen, Anwendungen usw.) einer Organisation. Mit verschiedenen Techniken und Machine Learning-Funktionen kann Sentinel anomale Aktivitäten erkennen und feststellen, ob eine Ressource kompromittiert wurde. Darüber hinaus kann die UEBA-Maschine auch die relative Vertraulichkeitsstufe bestimmter Ressourcen ermitteln, Ressourcenpeergruppen erkennen und die potenzielle Auswirkung einer bestimmten kompromittierten Ressource (deren „Auswirkungsgrad“) bewerten. Dies ermöglicht Sicherheitsteams nicht nur bedrohliche Insider zu identifizieren, sondern auch Bedrohungen zu entdecken, die sich bereits über einen längeren Zeitraum erstrecken. Sogar Zero-Day Exploits von Angreifern, die bereits in den internen Sicherheitsbereich vorgedrungen sind, können auf diese Weise identifiziert werden. Sentinel-Benutzer können UEBA einsetzen, indem sie eine der derzeit unterstützten Datenquellen aktivieren und verbinden:

• Sicherheitsereignisse (Logon events)
• Azure Active Directory Audit logs
• Azure Active Directory Signing logs
• Azure Activity logs

Außerdem können Sie auf die Entity Pages zugreifen, wo viele nützliche Informationen über verdächtige Entitäten hinterlegt sind – z.B. seine grundlegenden Eigenschaften, eine Zeitleiste beachtenswerter Ereignisse, die mit dieser Entität in Verbindung stehen, sowie Einblicke in das Verhalten der Entität. SOCs können auch Advanced Hunting nutzen und die Entity Analytics-Engine direkt abfragen, indem sie die Datenquelle "Behavioral Analytics" im Abschnitt "Hunting" von Sentinel auswählen.

Threat Intelligence

Sicherheitsuntersuchungen mit Bedrohungsindikatoren, die aus integrierten Threat-Intelligence-Plattformen stammen

Der Feed mit Bedrohungsindikatoren stellt Informationen zur Verfügung, die jede große Organisation braucht, um Gefahren zu erkennen, zu entschärfen und Cyberattacken vorzubeugen. Solche real-time Streams geben einen Überblick über die aktuelle Bedrohungslandschaft einer Organisation. Sie bieten aus einer Vielzahl von Quellen relevante Informationen zu Bedrohungsakteuren, ihren Technologien und ihren Vorgehensweisen. Zu diesen Quellen gehören z. B. Open-Source-Datenfeeds, Communitys zum Teilen von Threat Intelligence, kostenpflichtige Intelligence-Feeds sowie Sicherheitsuntersuchungen in Unternehmen. Diese Daten können zudem als Kontext für einen laufenden Angriff auf ein Unternehmen dienen. Dann liefern sie Informationen über verdächtige Domains, Listen bekannter Malware-Hashes, mit gefährlicher Aktivität verbundene IP-Adressen (Botnets, Phishing, etc.), in Pastebins geteilte Codes oder andere relevante Informationen.

SOCs können mithilfe von Azure Sentinel einen Vorteil aus diesen Bedrohungsindikatoren ziehen, indem sie Daten von Anbietern für Threat Intelligence importieren. Dabei nutzen sie die Verknüpfungsmöglichkeiten zu Threat Intelligence-Plattformen wie der ThreatConnect Platform, der MISP Open Source Threat Intelligence Platform und anderen. Sie können Ihre eigene Threat Intelligence Platform verknüpfen, indem Sie Microsoft Graph Security API oder ganz einfach Azure Sentinel mit TAXII-Servern verbinden, um so die Intelligence Feeds zu importieren. Ist der Feed mit Bedrohungsindikatoren in Azure Sentinel importiert, bietet er Sicherheitsmitarbeitern einen grundlegenden Kontext, um bedrohliche Aktivitäten schneller zu identifizieren und auf Cyber-Bedrohungen effizienter zu reagieren. Der kürzlich eingeführte Menüpunkt Threat Intelligence ermöglicht SOCs, alle Bedrohungsindikatoren an einem Ort zu finden, ohne komplexe Suchanfragen schreiben zu müssen.

Bring Your Own Machine Learning

Ein Sicherheitskonzept entwickeln, das zu den Bedrohungsszenarien Ihres Unternehmens passt

Machine Learning (ML) ist das Herzstück der Fusion correlation engine und jetzt auch in die neuentwickelte Plattform Build-Your-Own ML (BYO ML) integriert. Sie ermöglicht Unternehmen, Erkennungsmodelle an ihr spezielles Bedrohungsszenario anzupassen, um falsch positive Ergebnisse zu verringern und Bedrohungen zu identifizieren, die mit einem herkömmlichen Ansatz nicht gefunden würden. Die Plattform nutzt die Azure Databricks/Apache Spark Umgebung sowie Jupyter-Notebooks, um die ML-Umgebung zu erzeugen. Um die Implementierung benutzerdefinierter Modelle für maschinelles Lernen in Azure Sentinel zu unterstützen, können Sicherheitsteams Beispielnotebooks verwenden, mit denen das Modell für maschinelles Lernen trainiert werden kann, indem benutzerdefinierte Daten eingefügt oder eigene benutzerdefinierte Notebooks und Algorithmen von Grund auf neu erstellt werden. Damit sind die Vorteile einer Verwendung von ML-Modellen, die speziell auf das einzigartige Profil eines Unternehmens zugeschnitten sind, nicht mehr länger auf Organisationen beschränkt, die stark in Data Engineering-Funktionen investiert haben. Sicherheitsteams können die vorhandenen ML-Algorithmen von Microsoft und die der umfangreichen Sentinel-Community auf GitHub problemlos trainieren und ändern.

Zum Erstellen eines benutzerdefinierten ML-Modells können Analysten Azure Sentinel Notebooks verwenden, die in die ML-Umgebung geladen sind und direkt über das Menü „Notebooks“ in Azure Sentinel erzeugt werden können. Modelle mit Big-Data-Anforderungen eignen sich allerdings besser für Azure Databricks.

Watchlist

Die eigenen Ereignisse mit importierten externen Daten korrelieren

Zu guter Letzt ermöglicht Azure Sentinel seinen Nutzern jetzt mithilfe von Watchlist, Daten aus externen Quellen direkt in die Azure Sentinel-Umgebung zu importieren. Früher nur in Hunting-Szenarien mit Azure Notebooks möglich, ist der Import externer Informationen jetzt noch intuitiver. Sentinel-Nutzer können einfach das Watchlist-Menü verwenden, um IP-Adressen, Datei-Hashes und andere Daten durch das Hochladen einer CSV-Datei zu importieren. Auf diese Weise können SOCs ihre Untersuchungen mit zusätzlichen Daten korrelieren und eine Alarm-Ermüdung verringern, indem sie falsch positive Ergebnisse herausfiltern, da sie Zulassungslisten importieren können. Durch die Anreicherung der Ereignisdaten aus verbundenen Datenquellen mithilfe von Überwachungslisten können Sicherheitsteams flexibel bleiben und einen noch besseren Überblick auf die ständig wachsende digitale Umgebung erhalten, die sie schützen sollen.

Wenn Sie mehr über die erste cloudnative SIEM / SOAR-Lösung erfahren möchten, lesen Sie unser Azure Sentinel-Whitepaper.

Diese Artikel könnten Sie auch interessieren:

- Azure Side Car Architektur: Die Performance von Altanwendungen optimieren
- Kosteneinsparungen in Public Cloud Umgebungen