Individuare e cacciare Vivere di terra Tecniche con Vectra AI

28 febbraio 2024

Il⁷ febbraio 2024 è stata pubblicata una guida congiunta redatta dall'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA), dall'Agenzia per la sicurezza nazionale (NSA), dal Federal Bureau of Investigation (FBI) e da altre agenzie, tra cui il Centro nazionale per la sicurezza informatica del Regno Unito (NCSC-UK). La guida fornisce informazioni sulle tecniche comuni di "living off the land" (LOTL) attribuite ad attori di minacce sponsorizzati dallo Stato. Queste tecniche si sono rivelate particolarmente efficaci e le loro raccomandazioni non dovrebbero passare inosservate. Le informazioni che seguono evidenziano come la piattaforma Vectra AI possa aiutarvi a mettere in pratica le raccomandazioni sulle best practice di rilevamento e a fungere da componente chiave per le vostre strategie difensive LOTL.

Raccomandazioni sulle migliori pratiche LOTL

La raccomandazione di best practice (#1) sottolinea l'importanza di una registrazione dettagliata in una posizione fuori banda. Ciò consente di ridurre il rischio che gli aggressori modifichino o cancellino i registri. Inoltre, consente ai difensori di condurre analisi del comportamento, rilevamento delle anomalie e caccia proattiva. Inoltre, evidenzia l'importanza di mantenere cronologie di log più lunghe, che possono essere utili per la risposta agli incidenti.

Concentrandosi sulla rete, Vectra Recall fornisce visibilità sul traffico di rete estraendo i metadati da tutti i pacchetti e memorizzandoli fuori banda (nel cloud Vectra) per la ricerca e l'analisi. Ogni dispositivo abilitato all'IP sulla rete viene identificato e tracciato. I dati possono essere archiviati in base alle preferenze dell'orizzonte temporale. I metadati acquisiti comprendono tutto il traffico interno (est-ovest), quello diretto a Internet (nord-sud) e quello dell'infrastruttura virtuale. Questa visibilità si estende a computer portatili, server, stampanti, dispositivi BYOD e IoT, nonché a tutti i sistemi operativi e alle applicazioni, compreso il traffico tra carichi di lavoro virtuali nei data center e nel cloud, persino le applicazioni SaaS.

Fornendo questa fonte completa di metadati di rete arricchiti dalla sicurezza, intendiamo dotare i team di sicurezza delle capacità necessarie per condurre indagini sugli incidenti LOTL, garantendo la disponibilità dei dati di log di rete in una posizione fuori banda.

Raccomandazioni sulle migliori pratiche di rilevamento

Le raccomandazioni di best practice (#3 e #4) evidenziano la necessità di stabilire e mantenere costantemente le linee di base, per poi confrontare le attività correnti con le linee di base comportamentali stabilite e segnalare le anomalie specificate. Viene posta particolare enfasi sulla necessità di prestare molta attenzione agli account privilegiati.

Il portafoglio di rilevamento fornito da Vectra AI comprende una serie completa di rilevamenti. Degni di nota sono le funzionalità di rilevamento incentrate sulla chiara definizione del comportamento degli account privilegiati e sull'individuazione di anomalie basate su modelli consolidati. Esempi di Privilege Account Analytics di Vectra includono:

Un account privilegiato viene utilizzato per accedere a un servizio privilegiato, ma lo fa da un host sul quale l'account non è stato osservato, ma dove l'host (utilizzando altri account) è stato visto accedere al servizio.
Un account viene utilizzato per accedere a un servizio da un host su cui l'account non è abitualmente presente e da cui il servizio non è abitualmente accessibile e almeno il servizio (e probabilmente l'account) ha un punteggio di privilegio elevato OPPURE il punteggio di privilegio dell'host è sospettosamente basso rispetto ai livelli di privilegio dell'account e del servizio.
Un account privilegiato viene utilizzato per accedere a un servizio privilegiato e lo fa da un host su cui l'account è stato osservato, ma che non è stato visto accedere al servizio.

Priorità guidate dall'intelligenza artificiale con Vectra AI

La natura dinamica dell'azienda moderna può rendere molto difficile l'esistenza di linee di base di sicurezza di rete coerenti ed efficaci che supportino il rilevamento di attività LOTL dannose. Come evidenziato nella guida, distinguere l'attività LOTL dannosa dal comportamento legittimo è difficile a causa del volume relativamente ridotto di attività dannose all'interno di grandi volumi di dati di log. Sebbene i team delle operazioni di sicurezza possano concentrarsi sul rilevamento di questo tipo di eventi, spesso faticano a distinguere il comportamento legittimo da quello dannoso a causa dell'enorme numero di avvisi in entrata e delle complessità ambientali.

La regolazione fine del rumore degli avvisi tramite priorità (urgenza e gravità) e la revisione continua dei rilevamenti in base all'attività di tendenza sono le best practice raccomandate (#4). Questo richiede molto tempo e impegno per la maggior parte dei team. Con Vectra AI-driven Prioritization, forniamo tutto questo in modo programmatico:

Assegnazione di singoli comportamenti di attacco a un'entità (host e/o account)

Combinando queste informazioni con altri parametri di punteggio, tra cui l'ampiezza (il numero di rilevamenti associati a un'entità), la velocità (la velocità con cui si verificano eventi di rilevamento unici) e il profilo di attacco (modelli di comportamento di attacco), si ottiene un punteggio di attacco.

Se configurato, l'input del cliente (importanza del gruppo di conti) viene combinato con l'Attack Score.

L'output è un singolo punteggio di Urgenza per l'entità

Questo algoritmo di punteggio migliorato mette in evidenza le minacce più critiche in un elenco di priorità e di azione, consentendo ai team di concentrarsi su ciò che è più importante.

Responsabilizzare il proprio team

L'individuazione delle attività LOTL è impegnativa e richiede strategie di sicurezza articolate, come evidenziato in precedenza. Non esiste un approccio univoco e ogni azienda dovrà valutare e adattare le raccomandazioni per allinearsi ai programmi di rilevamento esistenti. È comunque importante assicurarsi che questa guida venga rivista e, se possibile, implementata con urgenza. Con l'aumento di questi tipi di attacchi, la correlazione e l'analisi di queste tecniche sarà una componente importante delle capacità di rilevamento e risposta del vostro team.

Siete interessati a saperne di più su come Vectra AI può aiutare la vostra squadra nelle strategie difensive di LOTL?

Prenotate oggi stesso una demo della piattaforma con i nostri esperti.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci