ThreatQ unterstützt zusätzlich Mobile und Pre-ATT&CK
ThreatQuotient™, ein führender Anbieter für Security-Operations-Plattformen, gibt heute bekannt, dass die ThreatQ™-Integration mit MITRE ATT&CK™ jetzt auch Pre-ATT&CK und Mobile unterstützt wird.
Zusammen mit Enterprise ATT&CK erzeugt das dreistufige Framework eine durchgängige Attack Chain, die die Aktionen eines Gegners untersucht und bewertet. Seit der ersten Integration mit MITRE ATT&CK Anfang 2018 hilft ThreatQuotient Kunden bei der Implementierung des Frameworks in ihre Workflows, um eine ganzheitliche Sicht auf die für ihr Unternehmen spezifischen Angriffsvektoren zu erhalten und sich wirksam gegen Angriffe verteidigen zu können.
Cyberattacken erfolgen mit steigender Geschwindigkeit und die Durchschnittskosten einer Datenschutzverletzung sind laut der von Ponemon2018 durchgeführten Studie ‚Cost of a Data Breach‘
auf US-Dollar 3,86 Millionen gestiegen. Da nun immer mehr Organisationen die Wahrscheinlichkeit eines erfolgreichen Angriffs erkennen, legt die Sicherheitsbranche jetzt größeres Augenmerk auf Technologien, Tools und Prozesse zur Beschleunigung von Erkennung und Reaktion.
In Kombination ermöglichen die ThreatQ-Plattform und das MITREATT&CK Framework ein umfassendes und gemeinsames Verständnis der Teams untereinander und der Technologien, was im Falle eines Angriffs eine schnellere Reaktion ermöglicht.
„Jede Organisation kann aus dem MITRE ATT&CK Framework einen Nutzen ziehen, um die Funktionen ihrer Sicherheitsoperationen zu messen, zu verbessern und zu erweitern. Für den größtmöglichen Erfolg, sollten Sicherheitsteams das Framework als Informationsquelle zu potenziellen Attacken nutzen“, sagt Ryan Trost, CTO & Mitbegründer von ThreatQuotient.
Die Integration des ATT&CK-Frameworks von ThreatQ bietet den Teams eine Out-of-the-box-Funktionalität: Beispielsweise können Angriffsmuster gegen die eigenen Verteidigungsmaßnahmen analysiert werden. Außerdem kann die Gefährdungswahrscheinlichkeit von Unternehmens-Assets besser eingeschätzt werden.
“Die Wissensbasis von MITRE ATT&CK bietet der Cybersicherheits-Community eine gemeinsame Sprache, die zur Beschreibung von feindlichem Verhalten genutzt werden kann“, sagte Katie Nickels, MITRE ATT&CK Threat Intelligence Lead. “Wir lassen uns weiterhin von der Art und Weise, wie die gesamte Community ATT&CK zur Verbesserung ihrer Abwehrmaßnahmen nutzt, inspirieren.“
ThreatQuotient ist seit langem davon überzeugt, dass die Fähigkeit, Sicherheitsoperationen zu beschleunigen, damit beginnt, umfassende und proaktive Kenntnis der Akteure, Kampagnen und TTPs zu erlangen, die eine Organisation angreifen.
Es gibt drei Möglichkeiten, mit denen eine Organisation die Integration von ThreatQ und MITRE ATT&CK zu ihrem Vorteil nutzen kann:
- Referenz- und Datenanreicherung
Daten des Frameworks können in ThreatQ aggregiert und nach Angreiferprofilen gesucht werden, um Fragen wie: „Wer ist dieser Gegner? Welche Techniken und Taktiken setzt er ein? Welche Gegenmaßnahmen kann ich ergreifen?“ beantworten zu können. Sicherheitsanalysten können die Daten aus dem Framework als detaillierte Informationsquelle nutzen, um ihre Analyse von Vorkommnissen und Warnmeldungen manuell anzureichern, ihre Untersuchungen zu unterstützen und die geeigneten Maßnahmen zu bestimmen – je nach Relevanz und den Beobachtungen in ihrer Umgebung.
- Indikator- oder ereignisgesteuerte Reaktionen
Daten aus dem ATT&CK-Framework können mit Ereignissen und zugehörigen Indikatoren aus der Innenwelt der Organisation korreliert werden. Sicherheitsanalysten können dann automatisch nach Relevanz priorisieren und risikoreiche Indicators of Compromise (IoCs) festlegen, die untersucht werden müssen. Durch die Möglichkeit, ATT&CK- Daten einfacher und automatisierter zu nutzen, können Sicherheitsteams Vorfälle untersuchen, entschärfen und Bedrohungsinformationen an Sensoren weiterleiten, um Bedrohungen effektiver zu erkennen und aufzuspüren.
- Proaktive Taktik oder technikgesteuerte Bedrohungssuche
Bei der Suche nach Indikatoren ist es möglich die gesamte Bandbreite der ATT&CK-Daten zu nutzen. Threat-Hunting-Teams können so einen proaktiven Ansatz wählen, beginnend beim Risikoprofil ihres Unternehmens über die Zuordnung der identifizierten Risiken zu bestimmten Angreifergruppen und deren Taktiken, bis hin zu Angriffstechniken. Anschließend kann untersucht werden, ob in der Umgebung entsprechende Daten identifiziert wurden. So könnte sich ein Team beispielsweise mit der Gruppe APT28 beschäftigen und dabei rasch Fragen, wie „Welche Techniken wenden sie an?“ oder „Wurden potentielle IoCs oder damit verbundene mögliche Systemereignisse im Unternehmen bemerkt? Erkennen die vorhandenen Endpunkt-Technologien diese Techniken?“ beantworten.