Was ist Detection Engineering?

Arfan Sharif - Februar 15, 2023

Definition von Detection Engineering

Bedrohungsakteure entwickeln ihre Angriffe und Techniken immer weiter. Daher müssen auch die Sicherheitsteams ihre Erkennungsmaßnahmen weiterentwickeln. Dieser zyklische Prozess wird als Detection Engineering bezeichnet und erfordert kontinuierliche Anstrengungen. Gutes Detection Engineering kann die Zeit bis zur Erkennung und Abwehr von Bedrohungen verkürzen sowie die anschließenden Wiederherstellung beschleunigen.

Beim Detection Engineering werden Bedrohungen identifiziert, bevor diese erheblichen Schaden anrichten können. Dazu müssen eine Kultur und ein Prozess geschaffen werden, die die optimale Definition, Weiterentwicklung und Optimierung von Erkennungen ermöglichen, damit aktuelle Angriffe abgewehrt werden können. Dabei arbeiten Content-Entwickler, Threat Hunter, Bedrohungsanalysten, Red Teams, Risikomanager usw. jederzeit zusammen, um ein bedrohungsbasiertes Abwehrsystem aufzubauen.

Ziel der Erkennung

Detection Engineering beginnt mit der Bedrohungsmodellierung, d. h. mit der Identifizierung der für Ihr Unternehmen relevanten Bedrohungen. Sie können das MITRE ATT@CK-Framework nutzen und eine Lückenanalyse durchführen, um zu erkennen, was relevant ist. Am Anfang müssen jedoch immer die folgenden Fragen beantwortet werden:

  • Was müssen wir erkennen?
  • Welche Bedrohungsakteure, Techniken, Tools usw. sind für uns relevant?
  • Wie können wir die Relevanz für unser Unternehmen demonstrieren?

Die Antworten auf diese Fragen können Ihnen helfen, eine Formel für die Bedrohungen aufzustellen, um die sich Ihr Unternehmen kümmern sollte.

Anforderungen an die Erkennung

Wenn Sie die oben genannten Fragen beantworten haben, identifizieren Sie alle verfügbaren Log-Quellen und bestimmen, welche für die Erkennung der von Ihnen identifizierten Bedrohungen benötigten Protokolle oder Datenquellen Ihnen fehlen. Als Nächstes identifizieren Sie Anwendungsszenarien und lesen Schwachstellenberichte, um festzustellen, wo sich Lücken in Ihrer Abwehr befinden. Gehen Sie dabei sorgfältig vor. Untersuchen Sie die relevanten Bedrohungen und stellen Sie dazu Hypothesen auf. An diesem Punkt können Sie damit beginnen, Ihren Erkennungscontent zu definieren.

In dieser Phase beantworten Sie folgende Fragen:

  • Wie können wir X erkennen?
  • Welche Log- oder Datenquellen benötigen wir dafür?
  • Welche Erkennungslogik sollen wir verwenden?

Implementierung der Erkennung

Die Antworten auf diese Fragen führen zur eigentlichen Implementierung, die in einem Zyklus erfolgt und die Frage involviert, wie Sie die Erkennungsfunktionen fortlaufend verwalten. Nachdem Sie diesen konkreten Erkennungscontent definiert haben, müssen Sie ihn fortlaufend optimieren, um falsch positive Erkennungen zu reduzieren und eventuelle andere Feinabstimmungen vorzunehmen. Sie optimieren und stellen die zuvor definierten Erkennungen bereit, prüfen sie aber auch fortwährend. Im Rahmen dieses Prozesses stellen Sie folgende Fragen:

  • Wie können wir die Erkennung automatisieren?
  • Eignet sich diese Erkennung eher für ein Dashboard, eine gespeicherte Suche, einen Bericht oder eine Regel?

Aufgrund des zyklischen Charakters des Detection Engineering-Prozesses muss im Unternehmen eine Unterstützungskultur gepflegt werden. Ohne diese Kultur ist Ihre Mühe vergeblich. Wenn Sie diesen Zyklus befolgen, können Sie die mittlere Zeit bis zur Erkennung einer Bedrohung und bis zur Reaktion auf einen Zwischenfall deutlich verkürzen. Natürlich kann es immer auch zu Zwischenfällen kommen, die von diesem Zyklus nicht abgedeckt werden. Hier kommt die Bedrohungssuche ins Spiel.

Vollständige Protokollierung und Einblicke – kostenlos

Falcon LogScale Community Edition (ehemals Humio) ist eine kostenlose moderne Log-Management-Plattform für die Cloud. Durch die Erfassung von Streaming-Daten erhalten Sie einen sofortigen Überblick über verteilte Systeme und können Zwischenfälle verhindern bzw. beheben.

Falcon LogScale Community Edition ist sofort kostenlos verfügbar und bietet folgende Vorteile:

  • Erfassung von bis zu 16 GB pro Tag
  • Speicherung bis zu 7 Tage
  • Keine Kreditkarte erforderlich
  • Unbegrenzter Zugriff ohne Testzeitraum
  • Indexlose Protokollierung, Echtzeit-Warnungen und Live-Dashboards
  • Zugriff auf unseren Marktplatz und zugehörige Pakete, einschließlich Leitfäden zur Entwicklung neuer Pakete
  • Lernen und Kooperation in einer aktiven Gemeinschaft

KOSTENLOS TESTEN

INFORMATIONEN ZUM AUTOR

Arfan Sharif ist Product Marketing Lead für das Observability-Portfolio bei CrowdStrike. Er verfügt über mehr als 15 Jahre Erfahrung bei der Umsetzung von Lösungen für Log-Management, ITOps, Beobachtbarkeit, Sicherheit und Benutzerunterstützung für Unternehmen wie Splunk, Genesys und Quest Software. Arfan Sharif hat einen Abschluss in Informatik bei der Buckinghamshire New University und blickt auf eine Karriere in den Bereichen Produktmarketing und Sales Engineering zurück.