Nederlands

Verbetering van de cyberveerkracht: Organisatiebeveiliging met het MITRE ATT&CK Framework en Sentinel

Matthijs Kortekaas
Publicatiedatum: 2 januari 2024

In deze blog leggen we uit hoe je inzicht kan krijgen in de huidige status van de cybersecurity van jouw organisatie en hoe je deze kunt verbeteren. Daarnaast delen we meer over Sentinel en het MITRE ATT&CK Framework, wat aanvalsvectoren van hackersgroepen zijn en hoe CloudNation dit samenbrengt om organisaties inzicht te geven in hun cyberweerbaarheid.  

 

SIEM, SOAR en Sentinel 

Binnen de uitgebreide beveiligingssuite van Azure neemt Sentinel een prominente plek in. Niet alleen fungeert het als een Security Information and Event Management (SIEM) oplossing, maar is tevens een Security Orchestration, Automation, and Response (SOAR) platform. Sentinel biedt daardoor de mogelijkheid om data te aggregeren vanuit de Azure omgeving, on-premises, en diverse cloudomgevingen. Het stelt organisaties in staat om use cases te ontwikkelen, alerts te genereren, en playbooks te schrijven voor geautomatiseerde incident response. 

 

MITRE ATT&CK Framework 

Het MITRE ATT&CK Framework is een open source framework dat gebruikt wordt om hackers op een moment in de “killchain” te kunnen identificeren waar ze zitten met hun aanval. 

What Is the MITRE ATT&CK Framework? | Get the 101 Guide | Trellix

De afbeelding dient van links naar rechts en van boven naar beneden te worden gelezen. Een aanvaller of een specifieke groep kan een bepaald aanvalspad volgen, dat zich van links naar rechts beweegt. Met betrekking tot kosten voor mitigatie zijn deze het laagst aan de linkerkant. Naarmate een aanvaller zich meer naar rechts in het framework bevindt, nemen de kosten voor mitigatie toe. 

Dit principe functioneert als volgt: Onder het kopje "Initial Access" aan de linkerkant wordt aangegeven dat phishing een van de methodes is. Om een phishingaanval te mitigeren, kan een organisatie het risico verkleinen door zowel technische als niet-technische activiteiten uit te voeren. De kosten om een phishingaanval te voorkomen zijn aanzienlijk lager dan de kosten die voortvloeien uit de gevolgen van gegevensverzameling. 

Synergie tussen Sentinel en MITRE ATT&CK

Bij het creëren van use cases in Sentinel is het mogelijk om het MITRE ATT&CK Framework te integreren door het unieke MITRE T-nummer toe te voegen. Hierdoor wordt de use case opgenomen in het dekkingsoverzicht, zoals geïllustreerd in het onderstaande voorbeeld. 

A screenshot of a computer
Description automatically generated

Hier geldt: hoe donkerder de tegel, des te meer use cases met die subtechniek aanwezig zijn in Sentinel. Dit geeft echter nog geen duidelijk beeld van de specifieke aanvalsvector die door bepaalde hackergroepen wordt gebruikt. MITRE voorziet in een lijst van bekende hackersgroepen en hun aanvalsvectoren, met een overlay die kan worden geïntegreerd met de huidige verdedigingstechnieken in Sentinel. Deze aanpak biedt inzicht in de locaties van de aanvalsvectoren, onthult waar de huidige verdediging op is gericht en benadrukt daarmee de aandachtsgebieden. 

ActiveOne tooling 

CloudNation je helpen inzicht te krijgen in de huidige status van jouw cybersecurity door middel van de implementatie van de ActiveOne oplossing. Hiermee wordt de Defender suite van Microsoft Azure zo ingesteld dat het voldoet aan compliancy standaarden en best practices opgedaan door ervaren CloudNation consultants gespecialiseerd in Governance en Security. Door de Security as Code deployment krijgen onze klanten het inzicht om de huidige situatie te bepalen, eventuele blinde vlekken te detecteren en door middel van use cases de detectiemogelijkheden te verbeteren. 

Daarnaast houdt CloudNation de vinger aan de pols met betrekking tot aanvalsgroepen. Aanvallersgroepen hanteren diverse methoden, afhankelijk van de specifieke sectoren en branches. Het aanvallen van een bedrijf in de financiële sector vereist bijvoorbeeld andere aanvalstechnieken dan in de gezondheidszorg. Mitre biedt een overzicht van deze groepen en hun meest gebruikte aanvalstechnieken. Door de huidige situatie te vergelijken met de meest gebruikte aanvalsvector van deze groepen, verkrijgt een bedrijf inzicht in waar het meer aandacht aan moet besteden. 


Meer weten over hoe CloudNation jouw bedrijf kan helpen?

 

Let's talk
Ruben van den H-2
Matthijs Kortekaas
Publicatiedatum: 2 januari 2024

Meer kennis, how-to's en inzichten ter inspiratie