In deze blog leggen we uit hoe je inzicht kan krijgen in de huidige status van de cybersecurity van jouw organisatie en hoe je deze kunt verbeteren. Daarnaast delen we meer over Sentinel en het MITRE ATT&CK Framework, wat aanvalsvectoren van hackersgroepen zijn en hoe CloudNation dit samenbrengt om organisaties inzicht te geven in hun cyberweerbaarheid.
Binnen de uitgebreide beveiligingssuite van Azure neemt Sentinel een prominente plek in. Niet alleen fungeert het als een Security Information and Event Management (SIEM) oplossing, maar is tevens een Security Orchestration, Automation, and Response (SOAR) platform. Sentinel biedt daardoor de mogelijkheid om data te aggregeren vanuit de Azure omgeving, on-premises, en diverse cloudomgevingen. Het stelt organisaties in staat om use cases te ontwikkelen, alerts te genereren, en playbooks te schrijven voor geautomatiseerde incident response.
Het MITRE ATT&CK Framework is een open source framework dat gebruikt wordt om hackers op een moment in de “killchain” te kunnen identificeren waar ze zitten met hun aanval.
De afbeelding dient van links naar rechts en van boven naar beneden te worden gelezen. Een aanvaller of een specifieke groep kan een bepaald aanvalspad volgen, dat zich van links naar rechts beweegt. Met betrekking tot kosten voor mitigatie zijn deze het laagst aan de linkerkant. Naarmate een aanvaller zich meer naar rechts in het framework bevindt, nemen de kosten voor mitigatie toe.
Dit principe functioneert als volgt: Onder het kopje "Initial Access" aan de linkerkant wordt aangegeven dat phishing een van de methodes is. Om een phishingaanval te mitigeren, kan een organisatie het risico verkleinen door zowel technische als niet-technische activiteiten uit te voeren. De kosten om een phishingaanval te voorkomen zijn aanzienlijk lager dan de kosten die voortvloeien uit de gevolgen van gegevensverzameling.
Bij het creëren van use cases in Sentinel is het mogelijk om het MITRE ATT&CK Framework te integreren door het unieke MITRE T-nummer toe te voegen. Hierdoor wordt de use case opgenomen in het dekkingsoverzicht, zoals geïllustreerd in het onderstaande voorbeeld.
Hier geldt: hoe donkerder de tegel, des te meer use cases met die subtechniek aanwezig zijn in Sentinel. Dit geeft echter nog geen duidelijk beeld van de specifieke aanvalsvector die door bepaalde hackergroepen wordt gebruikt. MITRE voorziet in een lijst van bekende hackersgroepen en hun aanvalsvectoren, met een overlay die kan worden geïntegreerd met de huidige verdedigingstechnieken in Sentinel. Deze aanpak biedt inzicht in de locaties van de aanvalsvectoren, onthult waar de huidige verdediging op is gericht en benadrukt daarmee de aandachtsgebieden.
CloudNation je helpen inzicht te krijgen in de huidige status van jouw cybersecurity door middel van de implementatie van de ActiveOne oplossing. Hiermee wordt de Defender suite van Microsoft Azure zo ingesteld dat het voldoet aan compliancy standaarden en best practices opgedaan door ervaren CloudNation consultants gespecialiseerd in Governance en Security. Door de Security as Code deployment krijgen onze klanten het inzicht om de huidige situatie te bepalen, eventuele blinde vlekken te detecteren en door middel van use cases de detectiemogelijkheden te verbeteren.
Daarnaast houdt CloudNation de vinger aan de pols met betrekking tot aanvalsgroepen. Aanvallersgroepen hanteren diverse methoden, afhankelijk van de specifieke sectoren en branches. Het aanvallen van een bedrijf in de financiële sector vereist bijvoorbeeld andere aanvalstechnieken dan in de gezondheidszorg. Mitre biedt een overzicht van deze groepen en hun meest gebruikte aanvalstechnieken. Door de huidige situatie te vergelijken met de meest gebruikte aanvalsvector van deze groepen, verkrijgt een bedrijf inzicht in waar het meer aandacht aan moet besteden.