MITRE Att&ck, Erik Van Buggenhout, NVISO

Erik Van Buggenhout zu den MITRE Att&ck Evaluierungen

Interviews /

Diese Woche führte Philipp Pelkmann ein Interview mit Erik Van Buggenhout, SANS Instructor & Author und Mitbegründer von NVISO, einem Cybersecurity-Anbieter aus Belgien mit Büros in Deutschland. Wir wollten mehr über die MITRE Att&ck Evaluierungen erfahren, an denen NVISO als Managed Security Service Provider teilnahm und Einblicke und Learnings gewann.

Erik Van Buggenhout, SANS Instructor & Author und Mitbegründer von NVISO
Sie haben NVISO mitbegründet. Könnten Sie Unternehmen kurz vorstellen? Was ist der Kernpunkt Ihres Portfolios?

NVISO ist ein Cybersicherheitsunternehmen, das 2013 in Brüssel von fünf ehemaligen Big-Four-Managern gegründet wurde. Das Bedürfnis, die Dinge anders (und besser) zu machen war schon immer vorhanden und sie beschlossen ihr eigenes Unternehmen zu gründen. Die klare Mission war es, die europäische Gesellschaft vor Cyberangriffen zu schützen. NVISO bietet eine breite Palette professioneller Dienstleistungen an, die die Kundschaft bei der Prävention, Erkennung und Reaktion unterstützen. Darüber hinaus bietet NVISO auch Managed Services an – wie 24×7 Managed Detection and Response. NVISO beschäftigt derzeit rund 220 Mitarbeitende und hat Niederlassungen in Brüssel, Frankfurt, München, Wien und Athen. NVISO expandiert schnell in andere Länder und hat eine aggressive Wachstumsstrategie für die nächsten Jahre. NVISO hat Kundschaft in mehr als 20 Ländern, hauptsächlich in den Bereichen Finanzen, Regierung, Verteidigung und Technologie.

Heute möchten wir hauptsächlich über die MITRE-Bewertung sprechen. Würden Sie sagen, dass der MITRE Att&ck Rahmen in den letzten Jahren zum De-facto-Standard für die Dokumentation von Taktiken und Techniken der Cybersicherheit geworden ist?

Wenn Sie in den letzten Jahren nicht unter einem Felsen gelebt haben, haben Sie wahrscheinlich gesehen, dass MITRE Att&ck sich schnell zum De-facto-Standard für die Dokumentation von Angriffstaktiken und -techniken entwickelt hat. MITRE Att&ck Tools, wie der ATT&CK Navigator, erleichtern die Übernahme durch Unternehmen und ermöglichen einen ganzheitlichen Überblick über Angriffstechniken und die Art und Weise, wie das Unternehmen sie verhindert und aufdeckt. Darüber hinaus stimmen viele Anbietende, Technologien und Open-Source-Initiativen mit ATT&CK überein. Einer der Vorteile des MITRE Att&ck Frameworks ist, dass es einen einfachen Austausch von Angriffstechniken und Erkennungsmöglichkeiten ermöglicht. Die Kundschaft von Cybersicherheitsdiensten hat sich auch an die Verwendung der MITRE Att&ck Techniken in Berichten und Dashboards gewöhnt.

NVISO hat an der Managed Services Evaluation 2022 „OilRig“ teilgenommen (inspiriert durch das reale Szenario). Können Sie ein wenig über den allgemeinen Aufbau eines solchen Tests erzählen?

Mit der MITRE Managed Services Emulation sollte getestet werden, wie gut die Teilnehmenden MITRE ATT&CK-Techniken erkennen und melden. Im Gegensatz zu anderen MITRE Att&ck Evaluierungen handelte es sich um einen „Black Box“-Ansatz, d.h. das Szenario wurde den Teilnehmenden nicht angekündigt. Diese Runde konzentrierte sich auf den Bedrohungsakteur OilRig und seine Verwendung von benutzerdefinierten Web-Shells und Abwehrumgehungstechniken. Im Laufe von 5 Tagen emulierte MITRE verschiedene ATT&CK-Techniken und gutartige Aktivitäten von Benutzenden. Der Emulationsplan begann mit einer Phishing-E-Mail, die einen Link zum Herunterladen eines makroaktivierten Dokuments mit einem Implantat enthielt. Nach der Aktivierung wanderte das Implantat in der Umgebung von Rechner zu Rechner, entdeckte neue Hosts und gab unterwegs Anmeldedaten preis. Schließlich wurde der SQL-Server (die Kronjuwelen) vom MITRE Red Team erreicht und die Datenbankinformationen wurden exfiltriert.

Sie haben Palo Alto Cortex als Sensor verwendet. Können Sie mehr über den technischen Aufbau und die Konfiguration sagen, z. B. über die Anzahl der verwendeten Sensoren?

Die Testumgebung bestand aus vier Rechnern, auf denen NVISO den Cortex XDR Pro-Sensor installierte: ein Domain Controller, ein E-Mail-Server, ein SQL-Server und eine Workstation. Die Cortex XDR Pro-Umgebung wurde dann mit der NITRO SOAR-Plattform verbunden, die die Kommandozentrale für unsere Managed Services ist. Dies ist eine repräsentative Umgebung für unsere MSS-Kundschaft. NVISO hat viel Erfahrung mit dem Cortex-Technologie-Stack von Palo Alto – wir wissen, dass die Kombination des Cortex XDR Pro-Sensors mit unserer NITRO SOAR-Plattform und unseren Fachleuten-Services in der Lage ist, das Wesentliche zu erkennen.

Sie deckten 78% der Schritte ab – was heißt das konkret?

Das bedeutet, dass wir zwar jede einzelne Angriffsphase (anfängliches Eindringen, Privilegienerweiterung, laterale Bewegung, …) erkannten, aber nur 78 % der Schritte von Angreifenden meldeten. Eine Phase umfasst eine große Anzahl an Schritten, die kleinere Teile des Angriffs sind. Unser Ziel war es nicht, 100 % aller kleineren Schritte der Angreifenden zu melden. Wir halten es nicht für sinnvoll, unsere Kundschaft mit Informationen zu überhäufen, sondern berichten und reagieren auf das, was wichtig ist. Wir glauben, dass uns dies sehr gut gelungen ist, und wir laden jeden ein, unsere Ergebnisse etwas detaillierter zu bewerten (siehe https://mitre.nviso.eu). MITRE weist in seinem Blog-Beitrag zur Nachbesprechung der Evaluierung auch ausdrücklich darauf hin, dass es nicht die Absicht der Evaluierung war, dass der Dienst alle Schritte abdeckt:

„Wir haben nicht erwartet (und glauben auch nicht, dass es von Natur aus wertvoll ist), dass jeder Dienstleister über jede Technik/Teiltechnik berichtet, die im Emulationsplan bewertet wurde.“ (Quelle)

Was sind einige, nicht offensichtliche, Aspekte beim Kauf von XDR und/oder MDR, die Ihrer Meinung nach zu berücksichtigen sind, aber manchmal vernachlässigt werden?

XDR ist keine Lösung, die Sie von der Stange kaufen können, sondern eine Reise zur Optimierung und Verbesserung Ihrer Sicherheitsabläufe, um Ihre Cyber-Resilienz zu erhöhen. Die Effektivität Ihres XDR hängt auch von dem Prozess ab, den Sie einsetzen, sowie von der Anzahl der digitalen Oberflächen und der Telemetrie, die Sie anschließen. Der Umfang des Einsatzes sollte mit Blick auf das Endziel erfolgen.

Die Lesenden sind immer an einer Rangliste der Teilnehmenden interessiert, die von MITRE jedoch nicht zur Verfügung gestellt wird. Wie interpretieren Sie Ihre eigenen Leistungen?

Wie bereits erwähnt, gefällt uns der Gedanke einer „Rangfolge“ der Anbietenden nicht. Wir sind der Meinung, dass die folgenden Kriterien für eine korrekte Interpretation der Ergebnisse ausschlaggebend sind:

  • Wurden alle verschiedenen Phasen des Angriffs erkannt und gemeldet?
  • Wurde eine signifikante Anzahl kleinerer Angriffsschritte erkannt und gemeldet?
  • Wie zeitnah wurden die Angriffsschritte gemeldet?
  • Wie qualitativ war die Kommunikation?

Die ersten beiden Kriterien sind leicht zu quantifizieren (und alle Beteiligten werfen gerne mit Prozentzahlen zur Abdeckung um sich 😊), aber wir glauben, dass viel mehr dahintersteckt. Die zuletzt genannten Kriterien sind bei einer Evaluierung wie der von MITRE etwas schwieriger zu beurteilen.

Was sind aus Ihrer Sicht die Grenzen des Tests? Was zeigt er nicht oder wo hat er blinde Flecken?

Die Punktzahl des Tests spiegelt zwar die Anzahl der gemeldeten MITRE ATT&CK-Techniken wider, sagt aber nichts über die Qualität der Berichte aus. Wir sind der Meinung, dass dies ein wichtiger Faktor für jeden ist, der eine (neue) Managed Services-Partnerschaft in Erwägung zieht, und laden alle ein, einen Blick auf die von den Teilnehmenden eingereichten Berichte zu werfen.

Wie sollte z. B. ein CISO die Ergebnisse betrachten, da bei einer konkreten Bewertung immer MSSP oder Produktanbietende fehlen, es unterschiedliche Interpretationen gibt und jeder Anbietende „ausgezeichnete“ Ergebnisse für sich beansprucht? Was ist Ihre Schlussfolgerung aus der Sicht der Kundschaft?

Wir empfehlen jedem, die folgenden Punkte zu berücksichtigen:

  • Nicht alle Techniken sind gleich wertvoll – z. B. war der Phishing-Angriff der Hauptangriffspunkt in diesem Szenario, so dass alle Erkennungen von Techniken, die sich auf diesen Angriff beziehen, wertvoller sein könnten als andere.
  • Schauen Sie sich an, wie die Dienstanbietenden ihre Ergebnisse präsentieren. Einige Anbietende meldeten lediglich Warnmeldungen und gaben den Link zur Konsole an, damit die Kundschaft bei Bedarf weitere Nachforschungen anstellen kann, während andere Anbietenden einen ausführlicheren Bericht mit Kontext und Analystennotizen lieferten.
  • Nicht alle Techniken sind gleich wertvoll – z. B. war der Phishing-Angriff der Hauptangriffspunkt in diesem Szenario, so dass alle Erkennungen von Techniken, die sich auf diesen Angriff beziehen, wertvoller sein könnten als andere.
  • Schauen Sie sich an, wie die Dienstanbietenden ihre Ergebnisse präsentieren. Einige Anbietende meldeten lediglich Warnmeldungen und gaben den Link zur Konsole an, damit die Kundschaft bei Bedarf weitere Nachforschungen anstellen kann, während andere Anbietenden einen ausführlicheren Bericht mit Kontext und Analystennotizen lieferten.
  • Stellen Sie fest, ob Dienstanbietende die Angreifenden korrekt zuordnete. Dies ist oft ein Indikator für den Reifegrad der Bedrohungsanalysefähigkeiten der Anbietenden.
  • Prüfen Sie, ob Dienstanbietende Abhilfemaßnahmen für die festgestellten Aktivitäten empfahlen.
  • Auf Grundlage dieser Elemente sollte jeder, der sich für Dienstanbietende interessiert, in der Lage sein, eine Auswahlliste zu erstellen, mit der ein ausführlicheres Gespräch beginnen kann.

Vielen Dank an Erik Van Buggenhout!

In unserem Tagesgeschäft analysieren wir als unabhängiges Unternehmen die Anforderungen der Kundschaft an die Cybersicherheit und identifizieren geeignete Anbietende von Produkten und Dienstleistungen. Daher haben wir eine ganze Reihe interessanter Anbietenden- und Lösungsprofile gesammelt. Der Beitrag stellt keine Empfehlung für bestimmte Anbietende oder Lösungen dar. CyberCompare erhält keine Vergütung seitens der genannten Anbietenden für diesen Beitrag. Falls Sie Interesse an einem Interview mit uns haben, freuen wir uns über eine kurze Nachricht an cybercompare@bosch.com

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Unverbindlich anfragen

Unverbindlich anfragen

Associations and industry collaboration

Nach oben scrollen