{"id":3767,"date":"2023-05-01T07:32:00","date_gmt":"2023-05-01T07:32:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=3767"},"modified":"2024-03-25T12:49:57","modified_gmt":"2024-03-25T12:49:57","slug":"interview-mit-erik-van-buggenhout-zu-den-mitre-attack-evaluierungen","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/interview-mit-erik-van-buggenhout-zu-den-mitre-attack-evaluierungen\/","title":{"rendered":"Erik Van Buggenhout zu den MITRE Att&ck Evaluierungen"},"content":{"rendered":"\n

Diese Woche f\u00fchrte Philipp Pelkmann<\/a> ein Interview mit Erik Van Buggenhout<\/a>, SANS<\/a> Instructor & Author und Mitbegr\u00fcnder von NVISO<\/a>, einem Cybersecurity-Anbieter aus Belgien mit B\u00fcros in Deutschland. Wir wollten mehr \u00fcber die MITRE Att&ck Evaluierungen erfahren, an denen NVISO als Managed Security Service Provider teilnahm und Einblicke und Learnings gewann.<\/p>\n\n\n\n

\"\"
Erik Van Buggenhout, SANS Instructor & Author und Mitbegr\u00fcnder von NVISO<\/figcaption><\/figure>\n\n\n\n
Sie haben NVISO mitbegr\u00fcndet. K\u00f6nnten Sie Unternehmen kurz vorstellen? Was ist der Kernpunkt Ihres Portfolios?<\/h5>\n\n\n\n

NVISO<\/a> ist ein Cybersicherheitsunternehmen, das 2013 in Br\u00fcssel von f\u00fcnf ehemaligen Big-Four-Managern gegr\u00fcndet wurde. Das Bed\u00fcrfnis, die Dinge anders (und besser) zu machen war schon immer vorhanden und sie beschlossen ihr eigenes Unternehmen zu gr\u00fcnden. Die klare Mission war es, die europ\u00e4ische Gesellschaft vor Cyberangriffen zu sch\u00fctzen. NVISO bietet eine breite Palette professioneller Dienstleistungen an, die die Kundschaft bei der Pr\u00e4vention, Erkennung und Reaktion unterst\u00fctzen. Dar\u00fcber hinaus bietet NVISO auch Managed Services an – wie 24×7 Managed Detection and Response. NVISO besch\u00e4ftigt derzeit rund 220 Mitarbeitende und hat Niederlassungen in Br\u00fcssel, Frankfurt, M\u00fcnchen, Wien und Athen. NVISO expandiert schnell in andere L\u00e4nder und hat eine aggressive Wachstumsstrategie f\u00fcr die n\u00e4chsten Jahre. NVISO hat Kundschaft in mehr als 20 L\u00e4ndern, haupts\u00e4chlich in den Bereichen Finanzen, Regierung, Verteidigung und Technologie.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Heute m\u00f6chten wir haupts\u00e4chlich \u00fcber die MITRE-Bewertung sprechen. W\u00fcrden Sie sagen, dass der MITRE Att&ck Rahmen in den letzten Jahren zum De-facto-Standard f\u00fcr die Dokumentation von Taktiken und Techniken der Cybersicherheit geworden ist?<\/h2>\n\n\n\n

Wenn Sie in den letzten Jahren nicht unter einem Felsen gelebt haben, haben Sie wahrscheinlich gesehen, dass MITRE Att&ck sich schnell zum De-facto-Standard f\u00fcr die Dokumentation von Angriffstaktiken und -techniken entwickelt hat. MITRE Att&ck Tools, wie der ATT&CK Navigator, erleichtern die \u00dcbernahme durch Unternehmen und erm\u00f6glichen einen ganzheitlichen \u00dcberblick \u00fcber Angriffstechniken und die Art und Weise, wie das Unternehmen sie verhindert und aufdeckt. Dar\u00fcber hinaus stimmen viele Anbietende, Technologien und Open-Source-Initiativen mit ATT&CK \u00fcberein. Einer der Vorteile des MITRE Att&ck Frameworks ist, dass es einen einfachen Austausch von Angriffstechniken und Erkennungsm\u00f6glichkeiten erm\u00f6glicht. Die Kundschaft von Cybersicherheitsdiensten hat sich auch an die Verwendung der MITRE Att&ck Techniken in Berichten und Dashboards gew\u00f6hnt.<\/p>\n\n\n\n

<\/p>\n\n\n\n

NVISO hat an der Managed Services Evaluation 2022 „OilRig“ teilgenommen (inspiriert durch das reale Szenario). K\u00f6nnen Sie ein wenig \u00fcber den allgemeinen Aufbau eines solchen Tests erz\u00e4hlen?<\/h5>\n\n\n\n

Mit der MITRE Managed Services Emulation sollte getestet werden, wie gut die Teilnehmenden MITRE ATT&CK-Techniken erkennen und melden. Im Gegensatz zu anderen MITRE Att&ck Evaluierungen handelte es sich um einen „Black Box“-Ansatz, d.h. das Szenario wurde den Teilnehmenden nicht angek\u00fcndigt. Diese Runde konzentrierte sich auf den Bedrohungsakteur OilRig und seine Verwendung von benutzerdefinierten Web-Shells und Abwehrumgehungstechniken. Im Laufe von 5 Tagen emulierte MITRE verschiedene ATT&CK-Techniken und gutartige Aktivit\u00e4ten von Benutzenden. Der Emulationsplan begann mit einer Phishing-E-Mail, die einen Link zum Herunterladen eines makroaktivierten Dokuments mit einem Implantat enthielt. Nach der Aktivierung wanderte das Implantat in der Umgebung von Rechner zu Rechner, entdeckte neue Hosts und gab unterwegs Anmeldedaten preis. Schlie\u00dflich wurde der SQL-Server (die Kronjuwelen) vom MITRE Red Team erreicht und die Datenbankinformationen wurden exfiltriert.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Sie haben Palo Alto Cortex als Sensor verwendet. K\u00f6nnen Sie mehr \u00fcber den technischen Aufbau und die Konfiguration sagen, z. B. \u00fcber die Anzahl der verwendeten Sensoren?<\/h5>\n\n\n\n

Die Testumgebung bestand aus vier Rechnern, auf denen NVISO den Cortex XDR Pro-Sensor installierte: ein Domain Controller, ein E-Mail-Server, ein SQL-Server und eine Workstation. Die Cortex XDR Pro-Umgebung wurde dann mit der NITRO SOAR-Plattform verbunden, die die Kommandozentrale f\u00fcr unsere Managed Services ist. Dies ist eine repr\u00e4sentative Umgebung f\u00fcr unsere MSS-Kundschaft. NVISO hat viel Erfahrung mit dem Cortex-Technologie-Stack von Palo Alto – wir wissen, dass die Kombination des Cortex XDR Pro-Sensors mit unserer NITRO SOAR-Plattform und unseren Fachleuten-Services in der Lage ist, das Wesentliche zu erkennen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Sie deckten 78% der Schritte ab – was hei\u00dft das konkret?<\/h5>\n\n\n\n

Das bedeutet, dass wir zwar jede einzelne Angriffsphase (anf\u00e4ngliches Eindringen, Privilegienerweiterung, laterale Bewegung, …) erkannten, aber nur 78 % der Schritte von Angreifenden meldeten. Eine Phase umfasst eine gro\u00dfe Anzahl an Schritten, die kleinere Teile des Angriffs sind. Unser Ziel war es nicht, 100 % aller kleineren Schritte der Angreifenden zu melden. Wir halten es nicht f\u00fcr sinnvoll, unsere Kundschaft mit Informationen zu \u00fcberh\u00e4ufen, sondern berichten und reagieren auf das, was wichtig ist. Wir glauben, dass uns dies sehr gut gelungen ist, und wir laden jeden ein, unsere Ergebnisse etwas detaillierter zu bewerten (siehe https:\/\/mitre.nviso.eu<\/a>). MITRE weist in seinem Blog-Beitrag zur Nachbesprechung der Evaluierung auch ausdr\u00fccklich darauf hin, dass es nicht die Absicht der Evaluierung war, dass der Dienst alle Schritte abdeckt:<\/p>\n\n\n\n

„Wir haben nicht erwartet (und glauben auch nicht, dass es von Natur aus wertvoll ist), dass jeder Dienstleister \u00fcber jede Technik\/Teiltechnik berichtet, die im Emulationsplan bewertet wurde.“ (Quelle<\/a>)<\/p>\n\n\n\n

<\/p>\n\n\n\n

Was sind einige, nicht offensichtliche, Aspekte beim Kauf von XDR und\/oder MDR, die Ihrer Meinung nach zu ber\u00fccksichtigen sind, aber manchmal vernachl\u00e4ssigt werden?<\/h5>\n\n\n\n

XDR ist keine L\u00f6sung, die Sie von der Stange kaufen k\u00f6nnen, sondern eine Reise zur Optimierung und Verbesserung Ihrer Sicherheitsabl\u00e4ufe, um Ihre Cyber-Resilienz zu erh\u00f6hen. Die Effektivit\u00e4t Ihres XDR h\u00e4ngt auch von dem Prozess ab, den Sie einsetzen, sowie von der Anzahl der digitalen Oberfl\u00e4chen und der Telemetrie, die Sie anschlie\u00dfen. Der Umfang des Einsatzes sollte mit Blick auf das Endziel erfolgen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Die Lesenden sind immer an einer Rangliste der Teilnehmenden interessiert, die von MITRE jedoch nicht zur Verf\u00fcgung gestellt wird. Wie interpretieren Sie Ihre eigenen Leistungen?<\/h5>\n\n\n\n

Wie bereits erw\u00e4hnt, gef\u00e4llt uns der Gedanke einer „Rangfolge“ der Anbietenden nicht. Wir sind der Meinung, dass die folgenden Kriterien f\u00fcr eine korrekte Interpretation der Ergebnisse ausschlaggebend sind:<\/p>\n\n\n\n