MITRE ATT&CK in Skyhigh Security's CASB - Mit Präzision verteidigen

Juni 3, 2022

Von Rodman Ramezanian - Berater für Cloud-Sicherheit für Unternehmen, Skyhigh Security

Wie der antike Militärstratege Sun Tzu bekanntlich sagte: "Wenn man den Feind kennt und sich selbst kennt, braucht man das Ergebnis von hundert Schlachten nicht zu fürchten."

Skyhigh Cloud Access Security Broker (CASB), die Multi-Cloud-Sicherheitsplattform für Unternehmen, integriert MITRE ATT&CK in den Arbeitsablauf, damit SOC-Analysten Cloud-Bedrohungen untersuchen und Sicherheitsmanager künftige Angriffe präzise abwehren können.

Die meisten Unternehmen nutzen über 1.500 Cloud-Dienste, die Millionen von Ereignissen generieren, von der Anmeldung über die Dateifreigabe bis hin zum Download und einer unendlichen Anzahl von Aktionen, die der Produktivität dienen, aber von Angreifern ausgenutzt werden. Bislang war die Suche nach den Aktivitäten von Angreifern in diesem Heuhaufen eine mühsame Angelegenheit, bei der so viel Lärm entstand, dass viele Datenverletzungen unbemerkt blieben, bis es zu spät war.

Skyhigh Security Service Edge (SSE), zu dem auch Skyhigh CASB gehört, verfolgt bei der Untersuchung von Cloud-Bedrohungen einen mehrschichtigen Ansatz, der es Ihnen ermöglicht, die Aktivitäten von Angreifern in Ihren Cloud-Diensten schneller zu erkennen, Lücken zu identifizieren und gezielte Änderungen an Ihren Richtlinien und Ihrer Konfiguration vorzunehmen.

Zunächst wird der Heuhaufen von Ereignissen von User and Entity Behavior Analytics (UEBA) fortlaufend mit einer Basislinie bekannter guter Verhaltensweisen verglichen, um Anomalien und tatsächliche Bedrohungen in Ihrer Umgebung zu identifizieren, wobei das Verhalten über mehrere Dienste und Konten hinweg bewertet wird.

Dadurch wird Ihr Untersuchungsprozess auf eine überschaubare Anzahl von Vorfällen reduziert. Mit dieser Version werden diese Vorfälle jetzt in der gleichen Sprache wie der Rest des SOC dargestellt - MITRE ATT&CK. Jeder Cloud-Sicherheitsvorfall wird den ATT&CK-Taktiken und -Techniken zugeordnet und zeigt Ihnen, welche Aktivitäten der Angreifer derzeit in Ihrer Umgebung ausführt.

Multi-Cloud MITRE ATT&CK-Ansicht der Aktivitäten von Angreifern in Skyhigh Cloud Access Security Broker (CASB)

Sie haben drei Ansichten in Skyhigh CASB:

• Retrospektiv: Anzeige aller gegnerischen Techniken, die bereits in Ihrer Umgebung aufgetreten sind
• Proaktiv: Anzeige von laufenden Angriffen, die Sie durch entsprechende Maßnahmen stoppen können
• Vollständige Kill-Chain: Betrachtung einer Kombination von Vorfällen, Anomalien, Bedrohungen und Schwachstellen in einer ganzheitlichen Kette von Verstößen.

Mehrere Teams in Ihrem Unternehmen profitieren von dieser Ergänzung zu Skyhigh Security Service Edge (SSE):

• SecOps-Teams werden von reaktiv auf proaktiv umgestellt: Mit Skyhigh CASB können Analysten nicht nur ausgeführte Bedrohungen im ATT&CK-Framework visualisieren, sondern auch potenzielle Angriffe, die sie über mehrere Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) Umgebungen hinweg stoppen können.
• SecOps-Teams brechen Silos auf: SecOps-Teams können jetzt vorgefilterte Cloud-Sicherheitsvorfälle über API in ihre Security Information Event Management (SIEM)/Security Orchestration, Automation and Response (SOAR)-Plattformen einbringen, die dem gleichen ATT&CK-Framework zugeordnet sind, das sie für die Untersuchung von Endpunkt- und Netzwerkbedrohungen verwenden.
• Sicherheitsmanager verteidigen mit Präzision: Skyhigh CASB hebt das Cloud Security Posture Management (CSPM) auf eine neue Ebene und bietet Sicherheitsmanagern Empfehlungen für die Konfiguration von Cloud-Diensten für SaaS-, PaaS- und IaaS-Umgebungen, die auf spezifische Techniken von ATT&CK-Angreifern ausgerichtet sind.

Viele SecOps-Teams nutzen wiederholbare Prozesse und Frameworks wie ATT&CK, um Risiken zu mindern und auf Bedrohungen für ihre Endpunkte und Netzwerke zu reagieren, aber bisher waren Cloud-Bedrohungen und -Schwachstellen ein unbekanntes Paradigma. Durch die Übersetzung von Cloud-Bedrohungen und -Schwachstellen in die gemeinsame Sprache von ATT&CK ermöglicht Skyhigh CASB den Sicherheitsteams, ihre Prozesse und Runbooks auf die Cloud auszuweiten, Cloud-Schwachstellen zu verstehen und präventiv darauf zu reagieren und die Unternehmenssicherheit zu verbessern.

Erfahren Sie mehr über Skyhigh SSE.