Cisco Threat Response White Paper · Snort.org, ClamAV und SpamCop und veröffentlicht viele Open-Source-Tools zur Untersuchung ... Modul optional konfigurieren, um über das Threat

WhitepaperÖffentliche Informationen von Cisco

KurzdarstellungDie Zielgruppe dieses Dokuments sind Sicherheitsanalysten, die an der Reaktion auf Vorfälle beteiligt sind und Cyber-Threat-Intelligence bereits in ihrem Betrieb verwenden oder dies erwägen.

Dieses Whitepaper beschreibt Cisco Threat Response, ein neues Sicherheitstool von Cisco, das die Fähigkeit der für Sicherheitsverfahren zuständigen Teams, insbesondere von Threat-Hunters und Incident-Respondern, verbessert, Bedrohungen in ihrer Infrastruktur zu finden und darauf zu reagieren. Dazu wird globale und lokale Threat-Intelligence von Cisco und Drittanbietern zusammengeführt. Wir werden uns das F3EAD-Modell der Threat-Intelligence-basierten Reaktion ansehen und zeigen, wie Cisco Threat Response die Leistung in jeder der darin enthaltenen Phasen fördert.

© 2018 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten.

Cisco Threat ResponseUnterstützung von Intelligence-gesteuerter Reaktion auf Vorfälle und Nachverfolgung von Bedrohungen.


2

InhaltEinführung in Cisco Threat Response.........................................................................................3

Threat-Intelligence ....................................................................................................................3

Talos Intelligence .............................................................................................................................. 4

AMP-Dateireputation ........................................................................................................................ 4

AMP Global Intelligence .................................................................................................................... 4

Threat Grid ........................................................................................................................................ 4

Umbrella Investigate-Threat-Intelligence ........................................................................................... 4

VirusTotal .......................................................................................................................................... 4

Lokaler Sicherheitskontext und Kontrolle ...................................................................................5

Advanced Malware Protection (AMP) für Endpunkte .......................................................................... 5

Cisco Umbrella-Plattform .................................................................................................................. 5

Cisco Threat Response im Incident-Response- und Intelligence-Zyklus ....................................6

Einführung in F3EAD ......................................................................................................................... 6

Das F3EAD-Modell und Cisco Threat Response in einem Praxisfall ................................................... 8

Fazit ........................................................................................................................................23

Zitierte Werke ..........................................................................................................................23


3

Zum Cybersicherheitsbetrieb gehören Funktionen wie IncidentÜberwachung, Erkennung, Reaktion und Koordination sowie Entwicklung, Betrieb und Wartung von Verteidigungstools für Computernetzwerke. (Zimmerman, 2014)

Einführung in Cisco Threat ResponseIm Mittelpunkt des Cybersicherheitsbetriebs stehen die Mitarbeiter, die für die Überwachung und Verteidigung der Umgebung gegen Cyberbedrohungen verantwortlich sind. Ziel ist es, Cyberbedrohungen abzuwehren und unter Kontrolle zu bringen, bevor sie sich zu einem Vorfall auswachsen, der sich auf den normalen Betrieb eines Unternehmens auswirkt. Dies sind die Hauptbenutzer von Tools für Cybersicherheitsvorgänge.

Daher ist eine einheitliche kontextbezogene Benutzererfahrung bei allen Funktionen im Cyber Security Operations Center besonders wichtig. Die kontextbezogene Benutzererfahrung wird komplizierter, wenn im Operations Center verschiedene Security-Tools vorhanden sind – und somit wahrscheinlich verschiedene Anbieter und Schnittstellen, die möglicherweise nicht alle integriert sind.

Cisco Threat Response wurde entwickelt, um Netzwerkbetriebsteams zu unterstützen und Incident-Respondern dabei zu helfen, Bedrohungen in ihrem Netzwerk zu erkennen. Zu diesem Zweck wird Threat-Intelligence von der Cisco Talos Intelligence Group, aus anderen Cisco Produkten und von Drittanbietern, die ihre Netzwerk- und Sicherheitsdaten aufzeichnen, erfasst, kombiniert und korreliert.

Jede Quelle für globale oder lokale Intelligence wird von einem Modul bereitgestellt. Einige der Threat-Intelligence-Module werden standardmäßig bereitgestellt. Andere müssen von den Benutzern erst hinzugefügt und konfiguriert werden. In der Regel stellen Benutzer in diesen Fällen die Verbindung zwischen ihren Bereitstellungen oder Abonnements und dem Cisco Threat Response-Portal über einen API-Schlüssel her. Wenn Sie sich auf diese Flexibilität des Cisco Threat Response-Service beziehen, betrachten Sie dies als ein „Bring-Your-Own-API“-Modell. Für die Integration mit Cisco Threat Response stellt ein Benutzer die API-Schlüssel der zu integrierenden Services bereit.

Kurz gesagt: Cisco Threat Response vereint Threat-Intelligence mit lokalem Sicherheitskontext und lokaler Kontrolle zu einer zentralen Anlaufstelle für Security-Analysten. In den nächsten beiden Abschnitten wird beschrieben, wie und von wo diese bereitgestellt werden.

Threat-IntelligenceMehrere Threat-Intelligence-Module werden standardmäßig als Teil von Cisco Threat Response bereitgestellt. Andere sind optional und können mit den entsprechenden API-Schlüsseln für die integrierten Services hinzugefügt und konfiguriert werden.


4

Talos IntelligenceCisco Threat Response enthält ein Talos Intelligence-Anreicherungsmodul, das keine manuelle Konfiguration erfordert. Die Cisco Talos Intelligence Group gehört zu den größten kommerziellen Threat-Intelligence-Teams weltweit und setzt sich aus renommierten Forschern, Analysten und Technikern zusammen. Unterstützt werden diese Teams durch beispiellose Telemetriedaten und ausgeklügelte Systeme, mit denen eine genaue, schnelle und aussagekräftige Threat-Intelligence für die Kunden, Produkte und Services von Cisco erstellt werden kann. Talos schützt Cisco Kunden vor bekannten und neuen Bedrohungen, deckt gängige Software-Schwachstellen auf und fängt Bedrohungen ab, bevor sie sich ausbreiten und größeren Schaden anrichten können. Talos befolgt die offiziellen Regelsätze von Snort.org, ClamAV und SpamCop und veröffentlicht viele Open-Source-Tools zur Untersuchung und Analyse. Talos entstand durch den Zusammenschluss des SourceFire Vulnerability Research Teams, der Cisco Threat Research and Communications Group und der Cisco Security Applications Group. Ihr kombiniertes Know-how stützt sich auf eine ausgeklügelte Infrastruktur und die unübertroffene Telemetrie von Cisco Daten, die sich über verschiedene Netzwerke, Endpunkte, Cloud-Umgebungen, virtuelle Systeme und den täglichen Web- und E-Mail-Verkehr erstreckt. Talos nutzt seine umfassende Threat-Intelligence, um das Internet für jeden sicherer zu machen.

AMPDateireputationDie Cisco Advanced Malware Protection-Dateireputationsdatenbank beinhaltet Milliarden von Datei-Hashes und -Dispositionen und wird auch als AMP Protect DB bezeichnet. Dies ist die Datenbank, auf der die leistungsstarken Dateireputationsfunktionen hinter allen AMP-fähigen Produkten beruhen. Sie ist standardmäßig mit Cisco Threat Response integriert.

AMP Global IntelligenceAMP Global Intelligence ist ein weiteres Advanced Malware Protection-Dataset, das aus Dutzenden unabhängiger Datenquellen kuratiert wird. Die Datenbank wurde ursprünglich für die Nutzung durch die AMP-Plattform implementiert, aber auch Cisco Threat Response kann diese leistungsstarke Sammlung standardmäßig nutzen. AMP Global Intelligence beinhaltet Intelligence aus Threat Grid und anderen Intelligence-Quellen von Cisco und Drittanbietern.

Threat GridThreat Grid ist eine fortschrittliche, automatisierte Malware-Analyse- und Malware-Threat-Intelligence-Plattform, auf der verdächtige Dateien oder Web-Ziele ohne Gefährdung der Benutzerumgebung sicher ausgeführt werden können. Bei Integration mit Cisco Threat Response ist Threat Grid ein Referenzmodul, das die im Cisco Threat Response-Diagramm dargestellten Informationen anreichern kann. Mit einem aktiven Threat Grid-Portalabonnement können Security-Analysten dieses Modul optional konfigurieren, um über das Threat Grid-Portal zusätzliche Informationen zu Datei-Hashes, IPs, Domänen und URLs aus dem Wissensspeicher von Threat Grid zu beziehen.

Umbrella InvestigateThreatIntelligence

Cisco Threat Response beinhaltet Umbrella Investigate als Anreicherungsmodul für Beobachtungen. Umbrella Investigate wurde entwickelt, um den Internet-Ursprung von Angriffen vorherzusagen, zu identifizieren und zu untersuchen. Umbrella Investigate nutzt Data Mining und algorithmische Klassifizierungstechniken wie maschinelles Lernen, Graphentheorie, Anomalieerkennung und zeitliche Muster in Kombination mit kontextbezogener Suche, Visualisierung und Scoring. Hinweis: In der Cisco Threat Response-Oberfläche bietet das Umbrella Investigate-Modul eine Aktion zur Anreicherung und eine Aktion zur Reaktion. Für die Anreicherungsaktion ist kein Umbrella-API-Schlüssel für Cisco Threat Response erforderlich. Für die Reaktionsaktion ist ein API-Schlüssel für die Umbrella-Plattform erforderlich.

VirusTotalVirusTotal prüft Elemente mit über 70 AV-Scanner (Antivirus) und URL-/Domänen-Blacklisting-Services sowie einer Vielzahl von Tools, um Signale aus den eingereichten Inhalten zu extrahieren. Im Incident-Response-Prozess können Benutzer eine URL, eine IP-Adresse, eine Domäne oder einen Datei-Hash abfragen, um von den AV-Scannern und Services zusätzlichen Kontext für die mit der Stichprobe verbundenen Bedrohungen zu erhalten.

Benutzer können sich für ein kostenloses VirusTotal-Konto registrieren und erhalten dann einen API-Schlüssel. Wenn Benutzer einen API-Schlüssel haben, kann Threat Response mit diesem optionalen Modul den Schlüssel in ihrem Namen verwenden, um VirusTotal-Abfrageergebnisse in Untersuchungen einzubeziehen.


5

Auf der anderen Seite der Cisco Threat ResponseGleichung steht der lokale Sicherheitskontext, d. h. die Ereignisse in Ihrem Netzwerk. Dieser wird ebenfalls über eine Reihe von Modulen bereitgestellt, die alle optional und einfach von Benutzern per APISchlüssel konfiguriert werden können.

Lokaler Sicherheitskontext und KontrolleAdvanced Malware Protection (AMP) für EndgeräteAMP für Endpunkte ist ein zentraler Bestandteil der Endpunktsicherheitsplattform und wird als Tool zur Prävention und Untersuchung bereitgestellt, das Erkennungs- und/oder Reaktionsfunktionen für Windows-, macOS-, Linux-, Android- und iOS-Geräte unterstützt.

Beim Betrieb von AMP für Endpunkte können Sicherheitsanalysten die folgenden Incident-Response-Funktionen durchführen:

• Durchsuchen der Endpunkttelementrie nach Datei, Host-Name, URL, IP-Adresse, Gerätename, Benutzername und anderen Kriterien

• Blockieren von Dateien auf Windows-, macOS- und Linux-Plattformen durch eine einfache benutzerdefinierte Erkennung (Simple Custom Detection, SCD), die einen oder mehrere SHA 256-Hashes der zu blockierenden Datei umfasst. Sollte der Datei-Hash auf einem Endpunkt mit dem oben genannten Betriebssystem gefunden werden, wird er sofort ohne Benutzereingriff gelöscht.

• Erstellen von Listen mit APKs, die bei Erkennung durch AMP für Android Warnungen auf dem Android-Gerät auslösen, mit denen die Benutzer zum Entfernen der unerwünschten Anwendungen aufgefordert werden

• Anwenden von Listen mit sicheren und zu blockierenden Anwendungen basierend auf dem SHA-256-Hash der ausführbaren Datei

• Durchführen erweiterter benutzerdefinierter Erkennungen, die auf verschiedenen von Benutzern erstellten Arten von schriftlichen Signaturen basieren

Cisco Threat Response unterstützt AMP für Endpunkte als Integrationsmodul, das Sicherheitsanalysten Folgendes ermöglicht:

• Anreichern von Untersuchungen mit relevanten AMP-Ereignissen und lokalem Kontext

• Blockieren von Datei-Hashes und Aufheben von Blockierungen direkt über die Cisco Threat Response-Oberfläche

Cisco UmbrellaPlattformDies ist der rekursive Domain Name Service (DNS) von Cisco, der Benutzern präventive Kontrollen und Untersuchungstools bietet, mit denen sie sich vor bekannten Websites schützen können, die ein Risiko für die Cybersicherheit darstellen. Bei Verwendung der Umbrella-Plattform im Incident-Response-Prozess bietet das Umbrella-Portal Sicherheitsanalysten folgende Möglichkeiten:

• Durchsuchen von DNS-Abfragen nach internen Netzwerkidentitäten, Domänen, URLs und IPs

• Blockieren von Domänen, die derzeit möglicherweise nicht als schädlich bekannt sind

• Durchsetzen der Blockierung und Freigabe von Domänen über eine API

Cisco Threat Response unterstützt die Umbrella-Plattform als Reaktionsmodul. Dabei können Domänen direkt in Cisco Threat Response blockiert oder Blockierungen aufgehoben werden. Umbrella bietet sowohl globale Threat-Intelligence als auch lokalen Kontext und Kontrolle. Alle diese Funktionen werden von einem einzigen Umbrella-Modul verwaltet.

Richtung

Erfassung

Verarbeitung

Analyse

Verbreitung


6

Abbildung 1: Incident-Response-Zyklus – Quelle: NIST SP800-61r2

Cisco Threat Response im Incident-Response- und Intelligence-ZyklusEinführung in F3EADUm zu verstehen, wie Intelligence mit dem Incident-Response-Prozess zusammenhängt, empfiehlt sich die Lektüre von „Intelligence-Driven Incident Response“ von Scott J. Roberts und Rebekah Brown, O'Reilly Media, Inc. ISBN: 978-1-491-93494-4.

Threat-Intelligence und Incident-Response sind ausgereifte Disziplinen, zu denen es jeweils viele definierte Modelle und Frameworks für die Einführung und den Betrieb gibt, an denen sich Bediener orientieren können. Wir sehen uns nun einige repräsentative Modelle an und erfahren, wie diese sich am besten in ein nützliches Framework für die Nachverfolgung von Bedrohungen einbinden lassen.

Der Incident-Response-Zyklus kann folgendermaßen zusammengefasst werden: Vorbereitung, Identifizierung, Eindämmung, Beseitigung, Wiederherstellung und Aktivitäten nach dem Vorfall (Cichonski, Millar, Grance, & Scarfone, 2012). Abbildung 1 zeigt den Incident-Response-Zyklus.

Abbildung 2: Intelligence-Zyklus


7

Der Intelligence-Zyklus lässt sich wie folgt zusammenfassen: Richtung, Erfassung, Verarbeitung, Analyse und Verbreitung (The United States Intelligence Community, 2018). Abbildung 2 veranschaulicht den Intelligence-Zyklus.

Eines der Modelle, die bei der Nachverfolgung von Cyber-Bedrohungen angewendet werden können, ist F3EAD (ausgesprochen wie das englische Wort „Feed“). F3EAD kombiniert Elemente des Incident-Response-Zyklus und des Intelligence-Zyklus miteinander.

Wird das Modell bei der Reaktion auf Cybersicherheitsvorfälle eingesetzt, umfasst es folgende Phasen:

Finden: In dieser Phase wird festgelegt, welche Bedrohungen bei der Nachverfolgung untersucht werden sollen. Diese Informationen können aus vielen Quellen stammen, darunter auch private und Drittanbieter-Intelligence-Feeds. Diese Phase entspricht der Vorbereitungsphase des Incident-Response-Zyklus.

Beheben: In dieser Phase arbeiten die Cybersicherheitsverteidiger daran, die Telemetrie zu ermitteln, die mit der in der vorherigen Phase identifizierten Intelligence in Zusammenhang steht. Diese Phase entspricht der Identifizierungsphase des Incident-Response-Zyklus.

Fertigstellen: Dies ist der Zeitpunkt, an dem die Cybersicherheitserteidiger entschieden gegen den Angreifer vorgehen und die Eindämmungs-, Beseitigungs- und Wiederherstellungsphasen des Incident-Response-Zyklus durchlaufen.

„Finden“, „Beheben“ und „Fertigstellen“ sind die Incident-Response-Teile des F3EAD-Modells. Die folgenden Phasen gehören zu den Intelligence-Teilen des F3EAD-Modells.

Ausnutzen: Dies ist die Erfassungsphase des Intelligence-Zyklus. Dabei können Nachweise aus der Phase „Fertigstellen“ verwendet werden, die für die Verteidiger nützlich sind. Anzeichen für Gefährdungen, Malware-Stichproben und Hinweise auf gängige Schwachstellen und Risiken gehören zu den Informationen, die in dieser Phase erfasst werden.

Analyse: Das Ziel dieser Phase ist es, die gesammelten Informationen auszuarbeiten. Die Ausarbeitung dieser Informationen trägt dazu bei, einen generellen Überblick über die anfänglichen Beobachtungen oder Indikatoren zu erhalten. Dieser wiederum ermöglicht ein eingehenderes Verständnis des Bedrohungsausmaßes, damit die Angreifer und die zugehörigen Indikatoren erkannt, eingedämmt und beseitigt werden können.

Verbreitung: In der Verbreitungsphase werden die Ergebnisse der Untersuchung oder der Nachverfolgung von Bedrohungen veröffentlicht. Diese Informationen werden mit Blick auf die Empfänger der Informationen verbreitet. Auf taktischer Ebene werden diese Informationen für den erneuten Anfang des F3EAD-Modells („Finden“) genutzt. Abbildung 3 zeigt das F3EAD-Modell.

Cisco Threat Response unterstützt Sicherheitsanalysten bei der Intelligence-basierten Incident-Response.

Abbildung 3: F3EAD-Modell

Suchen

Behoben

Fertigstellen

Exploit/Angriff

Analyse

Verbreitung

Incident-Response-Zyklus

Intelligence-Zyklus


8

Abbildung 4: HIDDENCOBRA TYPEFRAME-Indikatoren

Das F3EADModell und Cisco Threat Response in einem PraxisfallBetrachten wir nun eine Branchenmitteilung von einer vertrauenswürdigen Gruppe, in der Unternehmen geraten wird, nach bestimmten Informationen zu suchen. In unserem Beispiel gehen wir davon aus, dass es sich bei der Mitteilung um einen vom United States Computer Emergency Readiness Team (US-CERT) herausgegebenen Malware Analysis Report (MAR) handelt.

„DHS und das FBI verteilen diesen MAR, um die Netzwerkverteidigung zu ermöglichen und die Gefährdung durch schädliche Cyber-Aktivitäten der nordkoreanischen Regierung zu verringern.“

Details finden Sie hier: https://www.us-cert.gov/ncas/analysis-reports/AR18-165A.

Finden

Ihre Organisation kann davon ausgehen, dass US-CERT eine fachkundige und vertrauenswürdige Informationsquelle ist. Daher sollte Ihr Team Mitteilungen dieses Teams beachten und bereit sein, auf diese Intelligence zu reagieren. Im Incident-Response-Zyklus ist dies die Vorbereitung. Es wurden Informationen verbreitet. Sie und Ihr Team sind die Nutzer dieser Informationen.

Beheben

Im Mittelpunkt der „Beheben“-Phase des F3EAD-Modells steht die Suche nach Telemetrie zu den in der Phase „Finden“ identifizierten Informationen.

Cisco Threat Response ermöglicht es den Verteidigern, Indikatoren direkt aus einer Quelle (ohne Bearbeitungen) zu kopieren und sie direkt in das Untersuchungsfenster einzufügen. Der Vorteil dabei ist, dass die Analysten Zeit sparen, weil sie die Indikatoren nicht erst formatieren und bearbeiten müssen.

Die Analysten können diese Informationen direkt in der Untersuchungskonsole von Cisco Threat Response einfügen.

Abbildung 5 zeigt die Indikatoren, die in die Cisco Threat Response-Untersuchungskonsole eingefügt werden.

Abbildung 5: Untersuchungskonsole von Cisco Threat Response

https://www.us-cert.gov/ncas/analysis-reports/AR18-165A


9

In diesem Abschnitt des Diagramms sehen Sie:

1. Ziele: Ein Ziel ist das Gerät, die Identität oder die Ressource, auf die eine Bedrohung abzielt. Ein Ziel wird durch eine oder mehrere Beobachtungen identifiziert. Soweit bekannt, werden auch Typen, Betriebssysteme und andere Metadaten aufgezeichnet. Ziele sind immer Teil einer lokalen Sichtung.

2. Beobachtungen: Cisco Threat Response unterstützt die schnelle Untersuchung von Cyber-Beobachtungen. Dabei kann es sich um Domänennamen, IP-Adressen, Datei-Hashes, Seriennummern von PKI-Zertifikaten und sogar bestimmte Geräte oder Benutzer handeln. Diese Beobachtungen werden aus dem Eingabetext extrahiert und hier gezählt. Als Erstes bestimmt Cisco Threat Response die Disposition einer Beobachtung, indem aggregiert wird, was aus den verschiedenen konfigurierten Anreicherungsmodulen über diese Beobachtung bekannt

Abbildung 6: Erste Hälfte des Ergebnisdiagramms aus Cisco Threat Response. (Rote Zahlen als Referenz hinzugefügt)

Cisco Threat Response fragt alle konfigurierten Module ab und gibt diese Daten in Form eines Diagramms für den Benutzer aus. Abbildung 6 zeigt die erste Hälfte des Ergebnisdiagramms, das bei der anfänglichen Suche zurückgegeben wird.

ist. Die Disposition gibt an, ob die Beobachtung unbedenklich, schädlich, verdächtig, gängig oder unbekannt ist. Diese Dispositionen werden in der Oberfläche intuitiv über die Farbe signalisiert.

3. Indikatoren: Ein Indikator beschreibt ein Verhaltensmuster oder eine Reihe von Bedingungen, die auf schädliches Verhalten hinweisen. Einige Indikatoren weisen stärker auf schädliches Verhalten hin als andere. Deshalb kann es für einen Incident Responder hilfreich sein, genau zu wissen, welche schädlichen Verhaltensweisen eine Beobachtung (z. B. eine Domäne oder IP-Adresse) aufweist, um zu entscheiden, was als Nächstes zu tun ist.

4. Domänen: Im Abschnitt mit den Domänen werden von Cisco Threat Response alle Domänen angezeigt, die aus der Eingabe der Untersuchungskonsole extrahiert wurden. Die Dispositionen der Domänen werden hier angegeben.

5. Datei-Hashes: Cisco Threat Response zeigt die Datei-Hashes an, die aus der Eingabe der Untersuchungskonsole extrahiert wurden. Die Dispositionen der Hashes werden hier angegeben.

6. IP-Adressen: Cisco Threat Response zeigt die IP-Adressen an, die aus der Eingabe der Untersuchungskonsole extrahiert wurden. Die Dispositionen der IP-Adressen werden hier angegeben.

7. URLs: Cisco Threat Response zeigt die URLs an, die aus der Eingabe der Untersuchungskonsole extrahiert wurden. Die Dispositionen der URLs werden hier angegeben.

8. Module: Cisco Threat Response nutzt Integrationsmodule für die Integration in Cisco Security-Produkte und Tools von Drittanbietern. Integrationsmodule bieten ggf. Anreicherungs- und Reaktionsfunktionen.


10

Abbildung 7: Zweite Hälfte des Ergebnisdiagramms aus Cisco Threat Response mit den Zeitrahmen der Sichtungen und den Beobachtungen. (Rote Zahlen als Referenz hinzugefügt)

In diesem Abschnitt des Diagramms sehen Sie:

9. Zeitrahmen der Sichtungen: Dies ist der Zeitrahmen der Sichtungen in der lokalen und globalen Umgebung.

10. Entscheidung: Eine Entscheidung ordnet eine Disposition einer Cyber-Beobachtung zu und gilt für einen expliziten Zeitraum. Entscheidungen können optional mit

Indikatoren verknüpft werden, um weitere Einblicke zu liefern, warum dieser Beobachtung eine bestimmte Disposition zugeordnet wurde.

11. Beurteilung: Die Beurteilung zeigt die aktuellste und relevanteste Disposition für eine bestimmte Cyber-Beobachtung aus den einzelnen Berichtssystemen sowie die Entscheidung, von der die Beurteilung abgeleitet wurde.

12. Sichtungen: Eine Sichtung ist eine Aufzeichnung des Auftretens einer Cyber-Beobachtung zu einem bestimmten Zeitpunkt. Sichtungen können optional mit Indikatoren in Verbindung stehen und einen Threat-Intelligence-Kontext zur Beobachtung bereitstellen.

Die zweite Hälfte des Diagramms, in der die Zeitrahmen der Sichtungen und die Beobachtungen enthalten sind, ist in Abbildung 7 dargestellt.

Im Diagramm sehen wir, dass wir ein Ziel in unserer Umgebung haben, das von der untersuchten Intelligence betroffen ist. Abbildung 8 zeigt die Diagrammbeziehung rund um die Beobachtung, die sich auf ein Ziel auswirkt.

Aus dieser Ansicht können die Analysten Folgendes schließen:

• Der Host mit der IP 172.26.48.22 hat eine Verbindung zur schädlichen IP 80.91.118.45 hergestellt.

• Zwei Programme mit unbedenklichen Dispositionen haben die Verbindung zur schädlichen IP 80.91.118.45 hergestellt.

• Es ist eine unter dieser schädlichen IP gehostete URL vorhanden.

Abbildung 8: Diagramm mit den Beziehungen zwischen Beobachtung, Ziel, URL, Datei-Hashes und IP-Adressen


11

Um der Sache weiter nachzugehen, können die Analysten per Mausklick ermitteln, welche Programme zu den betreffenden unbedenklichen Datei-Hashes gehören. Dabei ist zu beachten, dass diese Datei-Hashes nicht Teil der ursprünglichen Intelligence waren, die in die Cisco Threat Response-Untersuchungskonsole eingefügt wurde.

In der Konsole von AMP für Endpunkte können die Analysten Folgendes sehen:

• Wann die Datei erstmals erkannt wurde

• Wann die Datei zuletzt erkannt wurde

• Einstiegspunkt in die Umgebung

• Der Dateiname, der diesem Hash zugeordnet ist, lautet „putty.exe“ oder „putty[1].exe“.

• Die aktuelle Disposition der Datei ist unbedenklich.

• Die IP-Adresse und der Port, zu denen die Datei eine Verbindung hergestellt hat

• Speicherort der Datei

• Die Anwendungen, die die Datei in die Umgebung heruntergeladen haben

Die Abbildungen 10 bis 13 zeigen den von AMP für Endpunkte angezeigten Dateiverlauf (File Trajectory).

Abbildung 10: Einstiegspunkt des Dateiverlaufs aus AMP für Endpunkte

Abbildung 11: Abschnitt „Erstellt von“ im Dateiverlauf aus AMP für Endpunkte. Hier wird die übergeordnete Datei angezeigt, die den aktuell untersuchten Datei-Hash abgerufen hat.

Abbildung 9: Pivot-Menü zum Datei-Hash mit der Möglichkeit, den Dateiverlauf über AMP für Endpunkte abzurufen


12

Abbildung 12: Dateidetails und Netzwerkprofil aus AMP für Endpunkte

Abbildung 13: Dateiverlauf aus AMP für Endpunkte mit Speicherort


13

Zu diesem Zeitpunkt haben die Analysten die Intelligence aus der Phase „Finden“ verwendet, um zu bestimmen, welche Maßnahmen basierend auf der Unternehmensrichtlinie getroffen werden sollten. Diese Maßnahmen können darin bestehen, die Quell-IP oder die Ziel-IP oder beide zu blockieren oder auch die betreffenden Programme zu sperren, sodass sie nicht ausgeführt werden können. Die nächsten Phasen hängen von der Unternehmensrichtlinie und den IR-Fähigkeiten ab.

Fertigstellen

Mit Cisco Threat Response können Sicherheitsanalysten Domänen- und Datei-Hash-Blockierungen direkt über die Pivot-Menüs veranlassen, wenn der genehmigte organisatorische Verlauf der Reaktion eine dieser Aktionen vorgibt.

Die Abbildungen 14 und 15 zeigen die Möglichkeit, über Cisco Threat Response einen Datei-Hash bzw. eine Domäne zu blockieren.

Abbildung 14: Über Cisco Threat Response wird in AMP für Endpunkte ein Datei-Hash per API-Integration zu einer einfachen benutzerdefinierten Erkennung (Simple Custom Detection, SCD) hinzugefügt.

Abbildung 15: Möglichkeit, über Cisco Threat Response durch die Integration einer Durchsetzungs-API eine Domäne auf der Cisco Umbrella-Plattform zu blockieren

Die Sicherheitsanalysten können jetzt zum Intelligence-Teil des F3EAD-Modells übergehen.


14

Ausnutzen

In der Ausnutzungsphase arbeiten die Analysten Daten aus, die aus der Incident-Response resultieren. Im Ergebnisdiagramm waren Informationen aufgeführt, von denen wir bisher keine Kenntnis hatten. Diese neuen Informationen waren nicht Teil unserer Untersuchungseingaben aus der US-CERT-Mitteilung. Die Abbildungen 16, 17 und 18 zeigen zusätzliche Informationen zu einem Indikator für eine schädliche IP, der von Cisco Threat Response gefunden wurde.

In diesem Beispiel ergeben sich für die Analysten aus der IP-Intelligence folgende Möglichkeiten:

• Verknüpfen zusätzlicher Domänen mit dem anfänglichen Indikator für eine schädliche IP

• Verknüpfen zusätzlicher URLs mit dem anfänglichen Indikator für eine schädliche IP

Abbildung 16: Anreicherungsdaten zu einer schädlichen IP. Informationen vorher nicht bekannt.



15

Ebenfalls Bestandteil der erfassten Intelligence, die Sicherheitsanalysten dank Cisco Threat Response nutzen können, sind die erkannten Ziele. Die Zielerkennung hat einige Informationen zurückgegeben. Abbildung 19 zeigt die Ziel-Beobachtung für das obige Szenario. Die Analysten erfahren Folgendes:

• Host-Name des Systems

• MAC-Adresse des Systems

• IP des Systems

• AMP-Computer-GUID

Auf der Basis dieser Informationen können die Analysten beschließen, diesen Host in den Fokus zu stellen, um zusätzlichen Kontext zu erhalten.

Analysieren

In der Analysephase werden die zuvor genutzten Beweise ausgearbeitet, um festzustellen, ob zusätzliche Informationen erfasst werden können. Die Malware-Analyse in Sandboxes oder Gloveboxes (Cisco Threat Grid gilt als Glovebox, weil Analysten mit der Malware-Stichprobe interagieren können) kann ein Prozess sein, den Sicherheitsteams während der Analysephase nutzen. Dies ist die Phase, in der die Forscher und Cyber-Threat-Hunters durch das Kaninchenloch schlüpfen, um zu sehen, was sie am anderen Ende erwartet. Ziel dieser Phase ist es, einen Überblick zu erhalten, damit die Bedrohung erkannt und gemildert werden kann.

Über Cisco Threat Response können Sicherheitsanalysten und Cyber-Threat-Hunters Zugriff auf weiteren Kontext erhalten, um die zusätzlichen Informationen zu analysieren, die möglicherweise aufgedeckt wurden.


Abbildung 19: Ziel-Ermittlung bei Cisco Threat Response

Ausgehend von Abbildung 18 sehen wir weitere Domänen, die in die schädliche IP aufgelöst wurden. Wir arbeiten nun mit einer der dort angezeigten Domänen, www[dot]nemoshop[dot]ru.


16

Mit Cisco Threat Response können die Analysten diese Domain mithilfe von Talos Intelligence, Threat Grid und Umbrella analysieren.

Abbildung 20: Unterstützung der Analysefunktion von F3EAD durch Cisco Threat Response


17

Abbildung 22: Durchsuchen der Threat Grid-Ergebnisse für die Domäne

Mit nur einem Klick können die Analysten taktische Einblicke in die Domäne gewinnen.

Die Abbildungen 21 bis 23 zeigen die verschiedenen Antworten aus den konfigurierten Modulen.

Abbildung 21: Talos Intelligence-Datenergebnisse für die Domäne


18

Abbildung 23: Umbrella-Ergebnisse für die Domäne

Um die Analyse dieser speziellen Domäne weiter zu vertiefen, ermöglicht Cisco Threat Grid den Analysten, die URL in einer Glovebox sicher auszuführen.


19

Abbildung 24: Übermittlung der URL an Threat Grid

Abbildung 24 zeigt die Übermittlung der URL an die Threat Grid-Glovebox.

Wenn die Analysten festgelegt haben, dass eine E-Mail-Benachrichtigung gesendet werden soll, sieht der Inhalt der E-Mail aus wie in Abbildung 25.


20

Abbildung 25: E-Mail-Benachrichtigung von Threat Grid nach Abschluss der Stichprobenanalyse

In der Threat Grid-Konsole können die Analysten den Datenstrom im Netzwerk, Dateiaktivitäten, Registry-Aktivitäten, Mutex, ar-beitsspeicherbezogene Vorgänge, Thread-Ereignisse und Prozesserstellungsmetriken anzeigen. Außerdem erhalten sie jetzt auch Informationen über MITRE ATT&CK-Kennzahlen (Adversarial Tactics, Techniques and Common Knowledge) zur Stichprobe.


21

Abbildung 26 zeigt die ATT&CK-Klassifizierung für die Verhaltensindikatoren.

Abbildung 26: Ergebnisse der Thread Grid-Stichprobenanalyse mit Klassifizierung nach ATT&CK

Die Analysten analysieren die Informationen weiter, um die Organisation der Ausgabeleistungen mit Tools von Cisco und Drittanbietern vorzubereiten. Cisco Threat Response ermöglicht eine schnelle Analyse unter Verwendung von AMP für Endpunkte, Threat Grid, Talos Intelligence und Umbrella.

Verbreiten

In der Phase „Verbreiten“ erstellen die Sicherheitsteams Leistungen, die für Teammitglieder und externe Organisationen nützlich sind.

Cisco Threat Response unterstützt die Verbreitungsphase mit zwei leistungsstarken Funktionen: Snapshots und Casebooks.

Snapshots unterstützen Analysten, indem sie es ihnen ermöglichen, Snapshots ihrer Untersuchungen zu speichern, damit sie sie im Team überprüfen können, wenn sie ihre Daten zur Veröffentlichung organisieren und sammeln.

In einem Snapshot werden die aktuelle Untersuchung und das Diagramm für nachfolgende Abrufe und Analysen gespeichert. Bei der Erstellung des Snapshots wird eine eindeutige Kennung erstellt. Die Analysten können einen Namen für den Snapshot und eine Beschreibung festlegen.

Snapshots können von Benutzern in derselben Organisation gemeinsam genutzt werden, um den Zustand einer Nachverfolgung und/oder Untersuchung zu einem bestimmten Zeitpunkt zu kommunizieren.


22

Abbildung 28: Cisco Threat Response-Casebook

Casebooks in Cisco Threat Response ähneln einem Notizblock für Analysten. Sie werden mit auf der Cisco Threat Response-Plattform gehosteten bzw. gespeicherten APIs und Daten erstellt. Casebooks sind über mehrere Landing Pages im Security-Portfolio von Cisco verfügbar. Anfangs kann auf die Casebooks über Cisco Threat Response, Threat Grid und AMP für Endpunkte zugegriffen werden. Unabhängig davon, in welchem Produkt ein Casebook erstellt wurde, kann es auch über die anderen Produkte geöffnet und bearbeitet werden. So sind Notizen zum jeweiligen Fall in der gesamten integrierten Suite verfügbar.

Casebooks ermöglichen Analysten Folgendes:

• Zusammenfassen von Beobachtungen in Gruppen (Fällen)

• Zuweisen eines Namens und einer Beschreibung zum Casebook

• Hinzufügen/Entfernen/Aktualisieren von Notizen zum Nachverfolgungs- oder IR-Prozess

• Hinzufügen und Entfernen von Beobachtungen im Casebook

• Sofortiges Anzeigen der Dispositionen der hinzugefügten Beobachtungen

• Ausführen von Aktionen aus dem Casebook heraus

• Untersuchen aller Beobachtungen mit nur einem Mausklick

Durch die Unterstützung dieser Funktionen in Casebooks erhöht Cisco Threat Response die Flexibilität von Incident-Respondern und Threat-Hunters erheblich, da sie so ihr Wissen bei der Arbeit in dieser Phase des F3EAD-Modells besser austauschen können.

Abbildung 27: Cisco Threat Response-Snapshot


23

FazitZusammenfassend lässt sich festhalten, dass Cisco Threat Response Sicherheitsanalysten folgendermaßen beim Intelligence-basierten Incident-Response-Prozess unterstützt:

• Steigerung ihrer Fähigkeit, Bedrohungen in ihrer Umgebung zu erkennen und zu identifizieren

• Korrelierung von Treffern aus mehreren Quellen, um Vorfälle besser zu priorisieren

• Anreicherung von Treffern mit Threat-Intelligence und Benutzer-, Geräte- und Datenkontext, um falsch-positive Meldungen zu reduzieren und die betroffenen Bereiche genau hervorzuheben

• Automatisierung und Orchestrierung von Reaktionsmaßnahmen, um die Problembehebungszeit zu verkürzen

Zusammenfassung der unterstützenden Prozesse von Cisco Threat Response im F3EADModell

1 Cisco Threat Response-Casebooks sind über den gesamten Lebenszyklus der Incident-Response und Nachverfolgung von Cyberbedrohungen verfügbar.

Zitierte WerkeCichonski, P., Millar, T., Grance, T. und Scarfone, K. (August 2012). Computer Security Incident Handling Guide. Abgerufen über das National Institute of Standards and Technology: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

The United States Intelligence Community (August 2018). How Intelligence Works. Abgerufen über Intelligence Careers: https://www.intelligencecareers.gov/icintelligence.html

Zimmerman, C. (2014). Zehn Strategien eines erstklassigen Cybersicherheit-Operations Zentrums. The MITRE Corporation.

© 2018 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Cisco und das Cisco Logo sind Marken oder eingetragene Marken von Cisco und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken finden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begriffs „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)

F3EAD-Prozess Cisco Threat Response-Unterstützung 1

Finden Cisco Talos und andere Intelligence

Beheben Cisco Threat Response Investigate

Fertigstellen Cisco Threat Response Pivot und Aktion

Ausnutzen Cisco Threat Response Pivot

Analysieren Cisco Threat Response Pivot

Verbreiten Cisco Threat-Response-Snapshots und -Casebooks

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

https://www.intelligencecareers.gov/icintelligence.html

http://www.cisco.com/go/trademarks

Documents

Cisco Threat Response White Paper · Snort.org, ClamAV und SpamCop und veröffentlicht viele Open-Source-Tools zur Untersuchung ... Modul optional konfigurieren, um über das Threat