Was macht den Unterschied?

Bekanntlicherweise ist die Aufgabe eines SOC die Identifizierung von Angriffsszenarien durch die Analyse von Ereignissen und Datenströmen innerhalb der IT-Infrastruktur.
Angriffsszenarien gibt es viele! Um diese zu strukturieren und in eine zeitliche Reihenfolge zu bringen, wird oft das von Lockheed Martin entwickelte Model der Cyber Kill Chain verwendet.

Demnach beginnt ein typischer Angriff mit der Reconnaisance (Erkundung oder Auskundschaftung des Opfers).

Nachfolgend sehen Sie Beispiele, welche Informationen typischerweise in der Erkundungsphase gesammelt werden (RECON):

Das Problem bei den meisten SOC-Lösungen: Das Ausspionieren des Opfers (RECON) bekommt man nicht mit!
Das wäre aber sehr wichtig, denn je früher man in der Angriffs-Kette interveniert, desto besser! Oder je später, desto größer ist die Gefahr und bei Exfiltration ist es zu spät!

Was kann man also tun, um möglichst schon die Aktivitäten in der Recon-Phase mit zu bekommen?

‍
Die einzige Möglichkeit, die wir sehen ist der kontinuierliche Einsatz von leistungsfähigen OSINT-Tools um die öffentlich verfügbaren Informationen und Schwachstellen einer Organisation einzusammeln und im SOC zu verarbeiten. Bei Bedarf kann man dabei sehr tief ins Darknet eintauchen und in bestimmten Foren nach Schwachstellen und gefährlichen Daten suchen, die dort gehandelt werden. Nur so erreicht man Chancengleichheit gegen Angreifer und kann ihnen im besten Fall zuvor kommen!
Das macht nach unserer Überzeugung auch den Unterschied zwischen einem traditionellen SOC und unserem Angebot aus, das wir zusammen mit unserem Partner Würth Phoenix offerieren:

Zum besseren Verständnis noch ein Beispiel aus der Praxis:
Oft werden zur Vorbereitung von Pishing Angriffen ähnliche Domänen wie die des Opfers angemeldet (siehe Bild 2; domain pishing)
Z. B. wenn wir eine Firma mit der Domäne www.einefirma.de mit einer Pishing-Attacke angreifen möchten, könnten wir www.eine-firma.de oder www.eine.firma.de oder www.einfirma.de oder ähnliche Domänen anmelden.
Diese Informationen würde unser SOC durch kontinuierliche Scans unseres Scanners Satayo erhalten und korreliert diese mit Informationen (Logs) von Gateways, Firewalls, Clients, Endpoints usw. Man würde auch mitbekommen, ob schon E-Mails von diesen Fakeaccounts angekommen sind? Natürlich sollte man dann umgehend Maßnahmen ergreifen, um E-Mails von diesen Pishing-Domänen zu unterbinden!

‍

Haben wir Ihr Interesse geweckt?

Sprechen Sie uns an. Wir beraten Sie gerne! Hier geht es zum Kontaktformular!