Nur auf Englisch verfügbar
Simulation von Einbrüchen und Angriffen: Die Roten und die Blauen zusammenbringen
Am 16. April 2020 haben wir unser Webinar "Breach and Attack Simulation" veranstaltet, in dem unser CTO Ralph Moonen und Product Development Manager Robert Meppelink über Breach and Attack Simulation sprachen. Die Teilnehmer stellten einige gute Fragen, die wir unten in einem QandA zusammengefasst haben. Sollten Sie noch weitere Fragen haben, wenden Sie sich bitte an cybersecurity@bureauveritas.com.
Sind Sie neugierig auf unsere anderen Webinare? Besuchen Sie: https://cybersecurity.bureauveritas.com/webinars
QandA
Vielen Dank für all Ihre Fragen während des Webinars, wir haben ziemlich viele erhalten! Unser CTO Ralph Moonen hat sie alle unten beantwortet.
Sollten Sie noch weitere Fragen haben, wenden Sie sich bitte an cybersecurity@bureauveritas.com.
Wie definieren Sie Anwendungsfälle in einem SOC/SIEM? Kann das MITRE-Framework dafür verwendet werden?
Normalerweise definieren Sie sie mit Regeln, aber das hängt von dem SIEM ab, das Sie verwenden. Sie könnten beispielsweise einen Anwendungsfall wie folgt definieren: 'Ich möchte einen Alarm erhalten, wenn sich jemand von einer chinesischen IP-Adresse aus bei unserem VPN anmeldet'. Sie können dafür Regeln definieren, und ja, Sie können dies mit TTPs aus dem Mitre ATTandCK-Framework verknüpfen. Einige SIEMs unterstützen dies mehr als andere, aber es ist definitiv möglich.
Wie funktionieren diese Simulationen in einer Umgebung, die weder vom Netzwerk isoliert noch gestoppt werden kann?
Dieser Ansatz ist für die Durchführung in einer Produktionsumgebung gedacht.
Können Sie mir etwas über die Dauer der Tests von SOC/SIEM sagen? Über welche Art von Investition reden wir im Durchschnitt?
Je nach Anzahl der Anwendungsfälle liegt der Aufwand zwischen 5 und 20 Personentagen.
Werden die Anwendungsfälle der Fallstudie während der Implementierung getestet?
Ja, das werden sie.
Ist die Überprüfung eines SIEM Teil des Standard-IT-Audits?
Nicht in diesem Detailgrad.
Wie würden Sie die "Reaktionsbereitschaft" bei einem Kunden beurteilen. Prüfen Sie die Gestaltung der Unternehmensführung, Prozesse, Techniken, Pläne, Ressourcen usw., um auf Vorfälle zu reagieren?
Um dies zu beurteilen, wäre eher ein Red Teaming-Ansatz erforderlich als der beschriebene Ansatz. Und für eine 'Bereitschaftsbewertung' wären auch einige klassischere Audit-Techniken zur Bewertung der Governance erforderlich,
Ihre Hauptaussage scheint zu sein: Wenn Sie Ihr SIEM-System nicht gut testen, vermittelt es Ihnen ein falsches Gefühl von Sicherheit. Richtig?
Das ist richtig. Aus demselben Grund führen wir auch Brandschutzübungen durch.
Wir haben unsere SOC/SIEM-Lösung ausgelagert. Woher weiß ich, dass sie so funktioniert, wie sie versprochen wurde?
Das wissen Sie nicht. Aber Sie können dies mit Techniken testen, wie wir sie in diesem Webinar beschrieben haben.
Variieren die Angriffe je nach System oder simulieren Sie nur Angriffe, die für jedes System gleich sind?
Die Angriffe variieren von System zu System, ebenso wie die Protokollmeldungen und Ereignisse. Sie benötigen also detaillierte Informationen über die genauen Systeme, um Angriffe genau emulieren zu können.
Was wäre, wenn der Sicherheitschef die Reaktion seines blauen Teams testen wollte? Wie wollen Sie das bewerkstelligen, wenn das blaue Team nicht alarmiert werden kann?
In diesem Fall würde ich vorschlagen, eine Red Teaming-Übung durchzuführen, da diese sich mehr auf die Reaktion konzentriert. Der in diesem Webinar erläuterte Ansatz zielt mehr auf das Testen von Detektivfähigkeiten als auf die Reaktion ab.
Wenn Sie noch Fragen haben, kontaktieren Sie uns bitte unter cybersecurity@bureauveritas.com