Anbieter werden immer besser im Erkennen von bösartigen Ausführungstechniken

Cyber Security News

Mitre Engenuity – die gemeinnützige Tech-Stiftung der Mitre Corporation – hat die Ergebnisse ihrer unabhängigen Evaluierung von 29 Anbietern veröffentlicht, um zu sehen, wie gut deren Produkte in der Lage sind, bekannte Mitre ATT&CK-Techniken zu erkennen und in einigen Fällen zu blockieren. Check Point Software Solutions hatte die meisten Erkennungen: 330 in 174 Teilschritten. (Check Point Software)

Cybersecurity-Lösungen für Unternehmen werden immer besser bei der Erkennung bösartiger Aktivitäten, die über APIs und Windows Management Instrumentation-Tools durchgeführt werden, aber sie müssen immer noch verbessert werden, wenn es darum geht, Techniken zur Umgehung der Verteidigung zu identifizieren und zu stoppen, so Frank Duff, Leiter der ATT&CK-Evaluierungen bei Mitre.

In dieser Woche veröffentlichte Mitre Engenuity – die gemeinnützige Tech-Stiftung der Mitre Corporation – die Ergebnisse ihrer unabhängigen Evaluierung von 29 Anbietern, um zu sehen, wie deren Produkte in der Lage waren, bekannte Mitre ATT&CK-Techniken zu erkennen und in einigen Fällen zu blockieren, die mit den finanziell motivierten Cyberkriminellengruppen FIN7 und Carbanak in Verbindung gebracht werden.

Dies ist die dritte Evaluierung dieser Art, die von Mitre Engenuity durchgeführt wurde, nachdem zuvor die Fähigkeit der Lösungen untersucht wurde, Taktiken zu erkennen, die mit dem chinesischen Bedrohungsakteur Gothic Panda (APT3) und der russischen nationalstaatlichen Gruppe Cozy Bear (APT29) in Verbindung stehen. Es ist jedoch das erste Mal, dass sich die Evaluierungen der Stiftung auf cyberkriminelle Aktivitäten im Finanzbereich konzentrieren, und das erste Mal, dass die Effektivität von Produktlösungen sowohl in Linux-basierten Servern als auch in Windows-Umgebungen getestet wurde.

Die Ergebnisse der einzelnen Anbieter sind hier in diesem Bericht zu finden, obwohl MITRE Engenuity die Lösungen nicht aktiv in eine Rangfolge bringt oder sie miteinander vergleicht. (Für das Protokoll: Check Point Software Solutions hatte die meisten Erkennungen: 330 in 174 Teilschritten.) Aber Duff informierte SC Media über einige wichtige Erkenntnisse aus den gesammelten Daten. Zunächst einmal sagte er, dass die Anbieter das ATT&CK-Framework besser nutzen, indem sie “herausfinden, wie sie ATT&CK auf intelligentere Weise in ihre Dashboards integrieren können, so dass es nicht unbedingt zu einer Alarmmüdigkeit führt, aber die Daten dennoch bereichert.”

Mit anderen Worten, es ist nicht mehr so üblich, dass Benutzer mit Warnungen für jede Aktion bombardiert werden, die mit einer bekannten bösartigen Technik verbunden sein könnte. “Sie sehen also nicht nur, dass ‘dieser Prozess geöffnet wurde’ oder ‘diese Datei gelesen wurde’. Sie erhalten jetzt den Kontext dessen, was [those actions] möglicherweise sein könnte, und zwar auf eine Art und Weise, die Ihnen nicht nur blinkende Lichter ins Gesicht wirft”, so Duff weiter.

Böswillige Akteure, die WMI ausnutzen und direkt auf APIs zugreifen, waren in der Vergangenheit “lautstarke Ereignisse”, die inmitten der großen Datenmengen nur schwer als böswillige Aktivitäten zu identifizieren waren, aber auch hier werden die Lösungen immer besser, so Duff.

“Das ist es, worauf sich der EDR-Markt wirklich zubewegt – zu versuchen, diese umfangreichen Protokolle auf eine effektivere Art und Weise zu sammeln, die es ermöglicht, die Daten zu identifizieren. [malicious actions] aufgedeckt werden können, im Gegensatz zu vor ein paar Jahren, als sie einfach gesagt hätten: ‘So kann ich keine API-Überwachung machen. Das sind viel zu viele Daten. Vielleicht eines Tages.’ Und ich glaube, wir kommen jetzt an den Punkt, an dem es eines Tages so weit ist”, sagt Duff.

Auf der anderen Seite ist die Fähigkeit, Techniken zur Umgehung der Verteidigung zu identifizieren und zu vereiteln, ein Bereich, der “definitiv viel mehr Aufmerksamkeit benötigt”, sagte Duff, insbesondere das “Scannen, welche Software auf Ihrem System ist, so dass sie wissen, wie sie zu vermeiden.”

“Das ist natürlich eine sehr große Sorge, weil wir uns bei unserer Verteidigung sehr auf diese Software verlassen”, sagte Duff. “Und wenn die Gegner wissen, was auf einer Box ist, und sie wissen, was diese Fähigkeiten sind, [then] kennen sie potenziell Wege, um sie zu umgehen. Und so denke ich, dass die Verteidigungsumgehung ein Scheinwerferlicht unter sich haben muss und weiter verbessert werden muss, wie es ist, oder wie diese Erkennungen passieren.”

Mitre bezeichnet Carbanak als eine Finanz-Cybercrime-Gruppe, die es in erster Linie auf Banken abgesehen hat und dabei oft ihre eigene gleichnamige Malware verwendet. FIN7 verwendet ebenfalls Carbanak-Malware, hat es aber hauptsächlich auf den US-Einzelhandel, die Gastronomie und das Hotel- und Gaststättengewerbe abgesehen und setzt dabei auch Point-of-Sale-Malware ein. Diese beiden Gruppen werden manchmal in einen Topf geworfen, werden aber als separate Einheiten betrachtet.

Mitre Engenuity wählte FIN7 und Carbanak aufgrund des großen Interesses in der Geschäftswelt für seine jüngsten Auswertungen aus.

“Beide sind in der Industrie stark dokumentiert. Also [this evaluation] gab uns die Möglichkeit, eine neue Bedrohung zu adressieren, eine, die die Öffentlichkeit als Ganzes betrifft”, sagte Duff. “Das war wirklich der Hauptantrieb.”

Die Einbeziehung von Linux-basierten Umgebungen in die Bewertung war ebenfalls eine bedeutende Entwicklung und repräsentativ für die zunehmend hybride Natur von IT-Umgebungen.

“Es gibt immer noch nicht sehr viele öffentlich verfügbare Informationen darüber, wie [malware is] unter Linux ausgeführt wird, was es für uns sehr schwierig macht, da wir eine Emulation durchführen und es wirklich im Sinne des jeweiligen Angreifers machen wollen”, so Duff. Es gab jedoch einige Hinweise darauf, dass die Carbanak-Bedrohungsgruppe speziell Linux verwendet, und so konnten wir von diesen Techniken profitieren und eine unserer Meinung nach ziemlich getreue Darstellung dessen erstellen, was sie tun könnten.

Das Szenario, das sich Mitre Engenuity ausgedacht hat, sieht vor, dass die imaginären Angreifer zunächst in einen Windows-Rechner eindringen, aber nachdem sie einen Linux-Server entdeckt haben, schwenken sie dorthin und schwenken dann wieder auf einen anderen Windows-Rechner. Das war der Versuch der Stiftung, die Linux-Abdeckung der Hersteller zu verstehen, so Duff.

Die an der Evaluierung beteiligten Anbieter scheinen den Wert der Übung zu verstehen und zu schätzen.

“Wir wissen, dass Cyberkriminelle ihr Handwerk ständig weiterentwickeln”, sagt Ismael Valenzuela, Senior Principal und Leiter von AC3, dem Team für angewandte Gegenmaßnahmen bei McAfee. “In der bisher umfassendsten Evaluierung hat das Mitre ATT&CK-Team seine Expertise in einem viertägigen, strengen Test unter Beweis gestellt. Das ist sowohl für unsere Kunden als auch für unsere Ingenieure für Bedrohungsinhalte von enormem Wert.”

“Fortinet glaubt fest an unabhängige Sicherheitstests aller Art – Effektivität, Leistung und Fähigkeit”, sagte John Maddison, Executive Vice President of Products und Chief Marketing Officer bei Fortinet. “Was uns an den ATT&CK Evaluations by Mitre Engenuity besonders gefällt, ist, dass sie nicht nur zeigen, was ein Sicherheitsprodukt erkennt – und nun schützt – sondern auch, wann, wie und warum. Dieser Einblick “unter die Haube” von Sicherheitsprodukten hilft Unternehmen, die Evaluierungsergebnisse weit über die spezifischen Kampagnen hinaus auf Kampagnen anzuwenden, die ähnliche Techniken verwenden – heute und morgen.”

Gleichzeitig profitieren die Mitglieder der Endbenutzer-Community davon, dass sie jeden einzelnen Anbieter untersuchen können, um zu sehen, welche Produkte am besten gegen bestimmte Bedrohungsakteure und -techniken bestehen, die ihnen am meisten Sorgen bereiten.

Für die Evaluierung wurden den Anbietern gefälschte Host-Umgebungen zur Verfügung gestellt – ein Hospitality Mock-up und ein Bank Mock-up – die auf einer Microsoft Azure Cloud-Plattform eingerichtet wurden. Die Anbieter setzten dann ihre Lösungen auf diesen Umgebungen ein, um zu sehen, wie sie auf die Emulationen des Bedrohungsverhaltens reagierten. Mitre Engenuity diente im Wesentlichen als rotes Team und beobachtete, was die Lösungen übersehen haben und was als Fehlalarm gemeldet wurde.

Im vergangenen Monat hat Mitre ein neues Schulungs- und Zertifizierungsprogramm gestartet, das Sicherheitsexperten endlich die dringend benötigte Anleitung bieten könnte, um das angesehene ATT&CK-Framework effektiver und umfassender in ihre Security Operations Center-Bewertungen und Threat Intelligence-Operationen zu integrieren.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com