(ATT&CK™) Matrix
LogRhythm erweitert Plattform um SIEM-Modul MITREs Adversarial Tactics
Vorstellung auf der Black Hat
LogRhythm, das Unternehmen, das die weltweit modernsten Enterprise Security Operations Center (SOCs) betreibt, gab heute bekannt, dass es ein kostenloses Modul veröffentlicht hat, das die LogRhythm NextGen SIEM-Plattform um ATT&CK, einer kuratierten Wissensdatenbank und Modell für das Verhalten von Cyber-Gegnern, erweitert.“ Der Inhalt des Moduls entspricht den von ATT&CK festgelegten Taktiken, Techniken und Verfahren (TTPs) und wird auf Black Hat (Stand 614) ausgestellt.
Damit macht es LogRhythm einfach und kostengünstig, den Standard zur Entwicklung einer Sicherheitsstrategie auf Basis von Informationen zu Bedrohungen zu verwenden. Mit ATT&CK können rote und blaue Teams auf der ganzen Welt eine Vielzahl von Bedrohungen auf einheitliche und doch granulare Weise kennenlernen und kommunizieren. Mithilfe des Moduls von LogRhythm können Sicherheitsteams noch einen Schritt weiter gehen, um vorab überprüfte anomale Verhaltensweisen automatisch zu erkennen und die Sicherheitseffektivität zu bewerten.
ATT&CK enthält derzeit über 220 Techniken, die aus öffentlich gemeldeten Vorfällen und offensiver Forschung stammen. Die erste Version des LogRhythm-Moduls enthält vordefinierte Korrelationsregeln und Dashboard-Inhalte, die sich auf eine Untergruppe dieser Techniken konzentrieren. LogRhythm Labs wird das Modul so lange ergänzen, bis der sofort einsatzbereite Inhalt alle verfügbaren Techniken abdeckt.
Um eine zusätzliche Sicherheitsebene zu bieten, kann das Modul zusammen mit ATT&CK-Simulationstools von Drittanbietern verwendet werden, um automatisierte Penetrationstests durchzuführen. Diese Tools replizieren Situationen und Verhaltensweisen, die in der Matrix enthalten sind. Mit diesen Inhalten sind LogRhythm-Kunden in der Lage Lücken in ihrer Umgebung zu identifizieren, wodurch ATT&CK-spezifische Bedrohungen durchbrochen werden können und darüber hinaus überprüft werden kann, ob ihre Inhalte wie gewünscht funktionieren, bevor eine echte Bedrohung Chaos anrichtet.
„Die ATT&CK-Matrix ist die umfassendste Liste von TTPs, die der Branche derzeit zur Verfügung steht. Dies hilft nicht nur bei der schnellen Erkennung und Reaktion von Bedrohungen, sondern ermöglicht es auch Sicherheitsanalysten, diese Bedrohungen bestimmten Akteuren zuzuordnen. Es ist keine Überraschung, dass moderne SOCs die Matrix schnell angenommen haben “, sagte James Carder, CISO, LogRhythm. „Und da LogRhythm die modernsten SOCs versorgt, war es absolut sinnvoll, die Leistung der Plattform mit der von ATT&CK abzustimmen. Wir glauben, dass diese Kombination aus Intelligenz, Inhalt und Funktionen der Cybersicherheit die beste Voraussetzung ist, um sicherzustellen, dass SOCs den Überblick über die sich ständig weiterentwickelnde Bedrohungslandschaft behalten.“
Diese Version unterstützt LogRhythm bei seiner größeren Mission, Unternehmen dabei zu helfen, den aktuellen Reifegrad ihrer Sicherheitsvorgänge zu ermitteln und eine längere Laufzeit zu planen. Zu Beginn dieses Jahres hat LogRhythm das Security Operations Maturity Model (SOMM) eingeführt. Damit können Unternehmen die Wirksamkeit ihres Sicherheitsprogramms quantifizieren – von Level 0: Blind bis Level 4: Resilient. Erweiterte Analysen zur Erkennung von TTP-basierten Szenarien, wie sie im ATT&CK-Modul enthalten sind, sind Voraussetzung für das Erreichen der höchsten Reifegrade.
Black Hat-Teilnehmer können das Modul auf dem Stand von LogRhythm (Nr. 614) testen. Aktuelle LogRhythm-Kunden können das ATT&CK-Modul implementieren, indem sie sicherstellen, dass ihre Wissensdatenbank auf dem neuesten Stand ist. LogRhythm-Kunden, die an RhythmWorld 2019 teilnehmen, können sich für eine von LogRhythm Labs geleitete Sitzung registrieren, um zusätzliche Tipps und Tricks für die Verwendung des Moduls zu erhalten.