Präsentiert von Charles Leaver und geschrieben von Dr. Al Hartmann

Teil 2 in einem 3-Serie

Die Unreasonable Wirksamkeit von Continuous Endpoint-Monitoring

Es ist nichts falsch mit dem Versuch, bösartige Software zu überführen und zu blockieren, bevor sie einen Endpunkt gefährden können. Leider ist diese Technik weitgehend wirkungslos gegen gezielte Angriffe, die sorgfältig auszuarbeiten und Pretest ihre Ausflüchte. Das grundlegende Problem ist, dass der Angriff von Menschen unter der Regie von erfahrenen Angreifern, während Endpoint Defense von Endpoint-Security-Suiten automatisiert ist weitgehend auf traditionelle Antivirus-Technologie beruht. Die menschliche Intelligenz ist flexibler und kreativer als Maschinenintelligenz und wird schließlich immer anpassen und eine automatisierte Abwehr besiegen. Dies ist die Cyber-Sicherheit Version des Turing-Test, wo eine Maschine Verteidigung versucht, auf das geistige Niveau eines qualifizierten Human Hacker zu steigen. Zumindest hier im 21. Jahrhundert, maschinelles Lernen und künstliche Intelligenz ist nicht bis zu der Aufgabe voll und ganz die Cyber-Verteidigung zu automatisieren, die Cyber-Angreifer unweigerlich triumphiert, während die Opfer beklagen und ihre Verluste zu zählen. Nur in Science-Fiction-do denkenMaschinen überwältigen Menschen und den Planeten zu übernehmen. Nicht an den Cyber-fiction abonnieren, die einige autonome Sicherheitssoftware einen menschlichen Hacker Feind auszutricksen und Ihre Organisation zu speichern.

Der einzige Weg, eine bestimmte menschliche Cyber-Angreifer zu stoppen ist, um einen bestimmten menschlichen Cyber-Abwehrspieler. Aber um Ihre IT-Security Operations Center (SOC) Personal effektiv eingreifen, müssen sie Einblick in die Endpunkt- und Netzwerk-Operationen. Traditionelle Endpunkt AV-Produkte bieten keine Sichtbarkeit, sondern sie architected sind still zu bleiben, es sei denn eine Verurteilung zu machen und unter Quarantäne zu stellen Malware. Dieser traditionelle Ansatz lässt die Endpunkte undurchsichtig SOC Personal und die Angreifer setzen auf diesen Endpunkt Opazität ihre Aktivitäten zu verbergen. Und diese Undurchsichtigkeit erstreckt sich vorwärts und rückwärts in Zeit Ihre Mitarbeiter nicht wissen, was in Ihrem Endpunkt Bevölkerung zurück in die Zeit lief, oder zur Zeit, oder, was in Zukunft zu erwarten ist. Wenn fleißig SOC Mitarbeiter Hinweise aufdecken forensischer Lookback erfordern Angreifer Spuren aufzudecken, ist der AV-Lösung gibt es nicht zu helfen. Wenn es an der Zeit zu handeln versäumt es auch nicht, Ereignisse zum Zeitpunkt aufzuzeichnen, und Sie sind völlig im Dunkeln.

Im Gegensatz dazu ist die kontinuierliche Endpunktüberwachung immer bei der Arbeit gebenden Einblick in die Endpunkt-Population Betrieb nun in Echtzeit, Forensic Lookback auf neu entstehenden Beweis des Angriffs zu handeln und älteren Zeichen aufzudecken und normalen Betriebsmuster Baselining zu wissen, was zu erwarten ist und die Flagge was ist in Zukunft nicht normal. Kontinuierliche Endpunktüberwachung bietet nicht nur die Sichtbarkeit, sondern informiert Sichtbarkeit, die Verhaltensanalysen gilt Aktivitäten zu identifizieren, die normale nicht angezeigt werden. Diese Analysen kontinuierlich zu aggregieren und analysieren diese Anomalien immer SOC Personal Oberfläche, über die Unternehmen SIEM-Infrastruktur, die die meisten tellingly verdächtige Anomalien für SOC die Aufmerksamkeit des Personals und der Auflösung. Kontinuierliche Endpunktüberwachung ist es zu verstärken und die menschliche Intelligenz zu skalieren, ist es nicht zu verdrängen. Kontinuierliche Endpunktüberwachung ist ein viel wie die alte Sesamstraße-Spiel "Eines dieser Dinge ist nicht wie die anderen."

Auch kann ein Kind dieses Spiel spielen. Es ist sehr einfach, da die meisten Artikel (sog hohe Prävalenz) ähnlich sind, aber eine oder wenige (bezeichnet als niedrige Prävalenz) als unähnlich abheben. Die Sammlung von unterschiedlichen Aktionen von Hackern genommen haben über Jahrzehnte weitgehend konsequent der Geschichte Hacking. Die Indikatoren des Kompromisses aufgeführt durch die technischen Berichte über die Anunak / Carbanak APT sind gute Beispiele und werden im folgenden abgedeckt werden. Wenn durch kontinuierliche Endpunktüberwachung Sicherheitsanalysen wies darauf hin, es nicht ein Cyber-Genie erfordern etwas ungewöhnliche oder verdächtige zu erkennen. SOC Mitarbeiter können in der Regel tun schnelle Triage auf diesen schnell eine ja / nein / vielleicht Antwort zu bestimmen, die ungewöhnliche, aber bekannt gute Aktivitäten von schlechten Aktivitäten oder von Tätigkeiten unterscheidet, die weitere Überwachung erfordern und tiefere Forensik Untersuchung zu löschen.

Angreifer können nicht ihren Angriff Code gegen diese Verteidigungsstrategie-it Pretest hat sowohl eine nicht-determinisRisikoAnalyse-Komponente (die verdächtige Aktivität über die SIEM Flächen) und eine nicht-determinis menschliche Komponente (das führt Alarm Triage bei der SOC). Je nach Endpunkt Bevölkerung mischen, aktuelle Aktivitäten und SOC Mitarbeiter Erfahrung kann latent Angriff Aktivität oder nicht erkannt werden. Das ist die Natur der Cyber-Krieg, es gibt keine Garantien im Krieg, aber Ihr SOC warfighters sind besser bewaffnet mit kontinuierlichen Endpunkt Überwachung Sichtbarkeit und Analytik-unverhältnismäßig effektive Kombination.