EN

WatchEagle Detection & Response en Mitre Attack Framework

Datum: 01-06-2022

In diverse gesprekken met bestaande klanten en relaties kwam naar voren dat er bij het verzamelen van data van de verschillende bronnen teneinde diepgaande analyses te kunnen uitvoeren om dreigingen op te sporen, veel uitdagingen leven. Hoe vind je de spelt in de hooiberg? Wat is een effectieve manier om te zoeken naar patronen die duiden op iets ongewoons.

In onze diepgaande Cybersecurity assessments passen we al het Mitre Attack Framework toe om het aanvalspad van een aanvaller te duiden en op basis van het aanvalspad te analyseren in hoeverre onze klant weerbaar is tegen een dergelijk aanvalspatroon. In het Mitre Attack Framework staan namelijk enerzijds de mogelijkheden om tegen een bepaald aanvalspatroon te beschermen en anderzijds hoe men een dergelijk patroon kan detecteren. Dit laatste is enorm zinvol gebleken bij het uitvoeren van diepgaande dreigingsanalyses in grote hoeveelheden data (Threat Hunting).

Het agent-framework waarop het Mitre Attack Framework is gebaseerd, is uitermate geschikt om de diversiteit aan patronen te analyseren. In het framework zijn de agents namelijk taakgericht en door nu een patroon op te splitsen in diverse taken, kan op deze wijze de samenwerking tussen de agents worden geconfigureerd en kunnen ze hun werk doen om de patronen te herkennen. Met WatchEagle zijn we in staat om dit nagenoeg realtime te doen op basis van de data dat WatchEagle te verwerken krijgt. Maar WatchEagle kan dit ook indien het nodig blijkt op historische data te analyseren om te zien of het patroon al eerder is voorgekomen.

Kortom: door de adoptie van het Mitre Attack Framework zijn we met WatchEagle steeds meer in staat de bekende speld in de hooiberg te vinden. Inmiddels hebben we de volgende patronen in WatchEagle doorgevoerd en geautomatiseerd:

  • DNS Tunneling
  • Lateral movement
  • Persistence

De komende maanden zullen er steeds meer patronen aan worden toegevoegd. Hierbij zal tevens worden bekeken om direct handelingsperspectief te bieden waar mogelijk, na constatering van een dergelijk patroon.


WatchEagle Detection & Response en Mitre Attack Framework