Ihr erster SOAR-Anwendungsfall: Phishing-Triage

Phishing bleibt eine gefährlich effektive Angriffsmethode. Ungefähr 91% erfolgreiche Angriffe beginnen mit Phishing.. Im Durchschnitt, 30% der versendeten Phishing-E-Mails werden geöffnet und angesehen. Angesichts des minimalen Kosten- und Arbeitsaufwands für das Erstellen und Versenden einer E-Mail ist es Kein Wunder, dass diese Methode weiterhin so beliebt ist. Für Angreifer wird es immer schwieriger, Phishing-Versuche zu erkennen. Angreifer, die Phishing-E-Mails versenden, können damit rechnen, dass der schädliche Anhang oder Link innerhalb von 101 TP3T bis 151 TP3T aufgerufen wird. in einigen Unternehmen.

Ohne Phishing Automatisierung, Ein Analyst muss potenziell schädliche E-Mails manuell über ein Erkennungssystem oder per Benachrichtigung eines Nutzers erhalten. Anschließend muss er die E-Mail prüfen und die Details manuell extrahieren, um sie zu validieren. Dies bedeutet, jeden Teil der E-Mail (Header, Textkörper usw.) detailliert zu analysieren und alle potenziellen Indikatoren für eine Kompromittierung (IOCs) zu identifizieren. Um das Risiko der IOCs zu bestimmen, muss der Analyst auf verschiedene Quellen für Bedrohungsdaten und -anreicherung zugreifen. Dies erfordert in der Regel das Kopieren und Einfügen von Informationen in zusätzliche Fenster oder Browser-Tabs, um die IOCs zu untersuchen und ihr Risiko zu bestimmen. Diese Schritte sind mühsam, zeitaufwändig, monoton, repetitiv und fehleranfällig. Die Reaktion und die Durchführung von Gegenmaßnahmen verlängern die gesamte Aufgabe der Bearbeitung einer einzelnen potenziellen Phishing-Nachricht um weitere Schritte und Zeit.

Eine hervorragende Möglichkeit, diesem Problem entgegenzuwirken, besteht darin, die vorhandenen Werkzeuge und Mitarbeiter deutlich effektiver zu machen. Automatisierung der Phishing-Triage mit Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) SOAR ist der Weg, um die meisten, in manchen Fällen sogar alle manuellen Aufgaben zu eliminieren. Darüber hinaus ermöglicht SOAR die Verarbeitung jedes Ereignisses und aller zugehörigen Schritte in Maschinengeschwindigkeit. Mit Swimlane als SOAR-Plattform können Sie E-Mails erfassen und analysieren, Bedrohungsdaten abrufen und die Reaktion und Behebung von Sicherheitsvorfällen steuern. Diese Schritte werden deutlich schneller ausgeführt, als es Menschen möglich wäre. Die Ausführung erfolgt garantiert gemäß Ihrem Leitfaden. Swimlane übersieht keinen Schritt und macht keine Fehler, sodass die Genauigkeit die menschliche Leistungsfähigkeit übertrifft. Vor allem aber übernimmt SOAR die mühsamen, monotonen und sich wiederholenden Aufgaben, die Analysten schnell überfordern. Dadurch werden Analysten für wichtigere Aufgaben wie Recherche, Bedrohungsanalyse und die fachliche Bewertung verdächtiger Ereignisse freigestellt. Das folgende Diagramm veranschaulicht eine Möglichkeit, Phishing-Angriffe mit Swimlane zu priorisieren.

Dieser Workflow für Phishing-Vorfälle beginnt damit, dass Swimlane eine E-Mail aus einem überwachten Organisationspostfach empfängt, in dem Benutzer mutmaßlichen Spam versenden, und Phishing-E-Mails. Eingehende E-Mails werden automatisch erfasst und analysiert. Details wie Header, Betreff, Text und E-Mail-Adressen werden in Datenfelder eines neu erstellten Falldatensatzes eingetragen. Potenzielle Indikatoren für Kompromittierung (IOCs) wie IP-Adressen, URLs und Domains werden ebenfalls in die entsprechenden Felder eingefügt. Sobald der Workflow IOCs identifiziert, werden automatisch Integrationen mit anderen Tools aktiviert, um die Daten anzureichern und das zugehörige Risiko zu bestimmen. Der Phishing-Workflow nutzt außerdem Integrationen, um Benutzerdaten zu überprüfen und gegebenenfalls weitere Benutzerinformationen zum Datensatz hinzuzufügen. Anhänge oder URLs in der E-Mail werden mithilfe einer Sandbox-Umgebung bereitgestellt und ausgewertet. Dieser Workflow verwendet zudem Fuzzy-Hashing, um Daten mit anderen bekannten Ereignissen abzugleichen.

Die von den verschiedenen Tools und Ressourcen gelieferten Daten werden sofort dem Datensatz hinzugefügt. Der Workflow nutzt die kombinierten Informationen im Datensatz, um eine Gesamtrisikobewertung zu ermitteln und festzustellen, ob… Phishing-E-Mail Die E-Mail sollte als bösartig, verdächtig oder harmlos eingestuft werden. Ist das Gesamtrisiko hoch und deutet dies auf eine bösartige E-Mail hin, führt der Workflow die vorgesehenen Maßnahmen zur Reaktion und/oder Behebung des Problems aus. In diesem Beispiel umfasst dies Schritte wie die automatische Quarantäne des Endpunkts mithilfe des EDR-Tools, die automatische Erstellung und Zuweisung eines IT-Tickets zur Wiederherstellung des Systems in einen nicht infizierten Zustand sowie die Benachrichtigung des SOC und des Benutzers über die Situation.

Swimlane Die Lösung ermöglicht außerdem die Automatisierung proaktiver Aufgaben wie der Bedrohungsanalyse. Wird eine schädliche E-Mail gefunden, durchsucht die SOAR-Lösung umgehend alle Postfächer des Unternehmens und identifiziert weitere Postfächer mit entsprechenden Indikatoren. Je nach gewünschtem Automatisierungsgrad können diese E-Mails automatisch gelöscht oder einem Analysten mit einem Klick zur Auswahl der gewünschten Aktion vorgelegt werden. Automatisierte Priorisierung von Phishing-Warnungen ist nur ein Anwendungsbeispiel dafür, was SOAR für Ihr Unternehmen leisten kann. Tauchen Sie mit uns ein Um mehr zu erfahren!