Home » Nachrichten

5 voordelen van detectie-als-code

Author Reading 7 min Modified by

TL;DR:

Gebruik een moderne, testgestuurde methode om uw organisatie te beveiligen met Detection-as-Code.

In de afgelopen tien jaar is detectie van bedreigingen bedrijfskritisch en zelfs gecompliceerder geworden. Nu bedrijven naar de cloud verhuizen, kunnen handmatige detectieprocessen voor bedreigingen het tempo niet meer bijbenen. Hoe kunnen teams beveiligingsanalyses op grote schaal automatiseren en de uitdagingen aanpakken die de bedrijfsdoelstellingen bedreigen? Het antwoord ligt in het behandelen van bedreigingsdetecties zoals software of detectie-als-code.

Bekijk Panther’s On-Demand Webinar: Beveiliging opschalen met Detection-as-Code met Cedar om erachter te komen hoe Cedar Panther gebruikt om Detection-as-Code te gebruiken om waarschuwingen met een hoog signaal op te bouwen.

Detection-as-Code: een nieuw (hoop) paradigma Detecties definiëren logica voor het analyseren van beveiligingsloggegevens om het gedrag van aanvallers te identificeren. Wanneer aan een regel wordt voldaan, wordt er een waarschuwing naar uw team gestuurd voor insluiting of onderzoek.

Contents

Wat is detectie-als-code?

Detection-as-Code is een moderne, flexibele en gestructureerde benadering voor het schrijven van detecties die best practices op het gebied van software-engineering toepassen op beveiliging. Door dit nieuwe paradigma toe te passen, kunnen teams schaalbare processen bouwen voor het schrijven en versterken van detecties om geavanceerde bedreigingen in snelgroeiende omgevingen te identificeren.

Voordelen van het toepassen van een codegestuurde workflow

Bedreigingsdetectieprogramma’s die zijn afgestemd op specifieke omgevingen en systemen hebben de meeste impact. Door detecties te behandelen als goed geschreven code die kan worden getest, gecontroleerd in bronbeheer en code kan worden beoordeeld door collega’s, kunnen teams waarschuwingen van hogere kwaliteit produceren die vermoeidheid verminderen en verdachte activiteiten snel markeren.

1 — Bouw aangepaste, flexibele detecties met een programmeertaal

    Het schrijven van detecties in een universeel erkende, flexibele en expressieve taal zoals Python biedt verschillende voordelen in plaats van het gebruik van domeinspecifieke talen (DSL) die te beperkt zijn. Met talen, zoals Python, kunt u meer geavanceerde en op maat gemaakte detecties schrijven om aan de specifieke behoeften van uw onderneming te voldoen. Deze regels zijn ook meestal leesbaarder en gemakkelijker te begrijpen naarmate de complexiteit toeneemt.

    Een ander voordeel van deze aanpak is het gebruik van een uitgebreide set ingebouwde of externe bibliotheken die zijn ontwikkeld door de beveiligingsgemeenschap voor interactie met API’s of het verwerken van gegevens, wat de effectiviteit van de detectie verhoogt.

    2 — Testgestuurde ontwikkeling (TDD)

      Een goede QA voor detectiecode kan teams in staat stellen om blinde vlekken in een vroeg stadium te ontdekken, testen op valse waarschuwingen te dekken en de doeltreffendheid van de detectie te bevorderen. Met een TDD-aanpak kunnen beveiligingsteams denken als een aanvaller, die kennis documenteren en een interne opslagplaats voor inzicht in de levenscyclus van de aanvaller samenstellen.

      Het voordeel van TDD is meer dan alleen validatie van code correctheid. Een TDD-benadering voor het schrijven van detecties verbetert de kwaliteit van detectiecode en maakt meer modulaire, uitbreidbare en flexibele detecties mogelijk. Ingenieurs kunnen eenvoudig wijzigingen aanbrengen in hun detectie zonder bang te hoeven zijn waarschuwingen te verbreken of de dagelijkse werkzaamheden te belemmeren.

      3 Samenwerking met versiebeheersystemen

      Bij het schrijven van nieuwe detecties of het wijzigen ervan, stelt versiebeheer teams in staat om snel en gemakkelijk terug te keren naar eerdere statussen. Het bevestigt ook dat teams de meest up-to-date detectie gebruiken in plaats van te verwijzen naar verouderde of verkeerde code. Versiebeheer kan ook helpen om de benodigde context te geven voor specifieke detecties die een waarschuwing hebben geactiveerd of om te bepalen wanneer detecties worden gewijzigd.

      Naarmate nieuwe en aanvullende gegevens in de loop van de tijd het systeem binnenkomen, moeten ook de detecties veranderen. Een proces voor wijzigingsbeheer is essentieel om teams te helpen de detecties aan te pakken en aan te passen waar nodig, en er tegelijkertijd voor te zorgen dat alle wijzigingen goed worden gedocumenteerd en goed worden beoordeeld.

      4 Geautomatiseerde workflows voor betrouwbare detecties

      Een CI/CD-pijplijn (Continuous Integration/Continuous Deployment) kan gunstig zijn voor beveiligingsteams die al lang de beveiliging verder naar links wilden verplaatsen. Het gebruik van een CI/CD-pijplijn helpt de volgende twee doelen te bereiken:

      • Elimineer silo’s tussen teams terwijl ze samenwerken op een gemeenschappelijk platform, elkaars werk coderen en georganiseerd blijven.
      • Bied geautomatiseerde test- en leveringspijplijnen voor uw beveiligingsdetecties. Teams kunnen flexibel blijven door zich te concentreren op het bouwen van nauwkeurig afgestemde detecties. In plaats van handmatig te testen, te implementeren en ervoor te zorgen dat de detecties niet overdreven worden afgestemd, wat valse waarschuwingen kan veroorzaken.

      5 Herbruikbare code

      Last but not least kan Detection-as-Code de herbruikbaarheid van code bevorderen voor een groot aantal detecties. Naarmate teams in de loop van de tijd grote aantallen detecties schrijven, beginnen ze specifieke patronen te zien ontstaan. Ingenieurs kunnen de bestaande code hergebruiken om dezelfde of zeer vergelijkbare functie uit te voeren voor verschillende detecties zonder helemaal opnieuw te beginnen.

      Herbruikbaarheid van code kan een essentieel onderdeel zijn van het schrijven van detecties, waardoor teams functies tussen detecties kunnen delen of detecties kunnen wijzigen en aanpassen voor specifieke gebruikssituaties. Stel bijvoorbeeld dat u een reeks Toestaan/Weigeren-lijsten (laten we zeggen voor toegangsbeheer) of een bepaalde verwerkingslogica op meerdere plaatsen moet herhalen. In dat geval kunt u Helpers gebruiken in talen zoals Python om functies tussen detecties te delen.

      Inleiding tot Panter

      Panther is een platform voor beveiligingsanalyse dat is ontworpen om de problemen van traditionele SIEM’s te verlichten. Panther is gebouwd voor beveiligingsingenieurs, door beveiligingsingenieurs. In plaats van nog een andere eigen taal uit te vinden voor het uitdrukken van detectielogica, biedt Panther beveiligingsteams een Python-regels-engine om expressieve bedreigingsdetectie te schrijven en detectie en reactie op cloudschaal te automatiseren. De modulaire en open benadering van Panther biedt eenvoudige integraties en flexibele detecties om u te helpen een moderne pijplijn voor beveiligingsoperaties op te bouwen.

      Detectie-als-code-workflow in Panther

      Panter biedt betrouwbare en veerkrachtige detecties die het gemakkelijk maken om:

      • Schrijf expressieve en flexibele detecties in Python voor specifieke behoeften van uw onderneming.
      • Structureer en normaliseer logboeken in een strikt schema dat detecties met Python en query’s met SQL mogelijk maakt.
      • Voer realtime detectie van bedreigingen uit en voer onderzoeken uit tegen enorme hoeveelheden beveiligingsgegevens.
      • Profiteer van meer dan 200 vooraf gebouwde detecties die zijn toegewezen aan specifieke bedreigingen, verdachte activiteiten en beveiligingsframeworks zoals MITRE ATT&CK.

      Detectie-als-code-workflow in Panther

      Een voorbeelddetectie in Panther

      Bij het schrijven van een detectie in Panter, begin je met een rule()-functie die een specifiek te identificeren gedrag identificeert. Laten we bijvoorbeeld aannemen dat u een waarschuwing wilt wanneer een Okta-aanmelding met brute kracht wordt vermoed. De volgende detectie kan helpen bij het identificeren van dit gedrag met Panther:

      Okta Brute Force Login-regel in Panther

      In het bovenstaande voorbeeld:

      • De functie rule() neemt één argument van ‘event’ en retourneert een booleaanse waarde.
      • De functie title() regelt het gegenereerde waarschuwingsbericht dat naar analisten wordt verzonden. Waarden uit de gebeurtenissen kunnen vervolgens worden geïnterpoleerd om nuttige contexten toe te voegen.

      Regels kunnen rechtstreeks in de Panther UI worden ingeschakeld en getest, of programmatisch worden gewijzigd en geüpload met de Panther Analysis-tool, waarmee u detecties kunt testen, verpakken en implementeren via de opdrachtregelinterface (CLI). En om te helpen bij incidenttriage, bevatten Panther-regels metadata zoals ernst, logtypen, unit-tests, runbooks en meer.

      Begin

      Maakt u optimaal gebruik van al uw beveiligingsgegevens om bedreigingen en verdachte activiteiten te detecteren? Leer hoe u uw cloud, netwerk, applicaties en eindpunten kunt beveiligen met Panther Enterprise. Vraag vandaag nog een demo aan.

      David
      Rate author
      Hackarizona
      © 2023 Hackarizona