Oggi, la quantità di traffico web criptato è aumentata del 95% rispetto a dieci anni fa, e gran parte di esso si affida alla crittografia TLS per la sicurezza delle comunicazioni client-server. Servizi come Let's Encrypt hanno reso più accessibile e conveniente l'implementazione di HTTPS, garantendo la nostra privacy online. Tuttavia, questa crittografia pone anche delle sfide, in particolare per i professionisti della sicurezza che lavorano per rilevare i canali criptati di comando e controllo (C2) utilizzati dagli aggressori informatici. In questo post esploreremo l'importanza del rilevamento C2, il ruolo dell'apprendimento automatico nella sicurezza e come Vectra AI sia all'avanguardia nel migliorare la sicurezza online.
La prospettiva dell'attaccante
Negli ambienti ibridi di oggi, gli aggressori hanno la necessità di rimanere nascosti. Ovunque arrivi un attaccante, è necessario stabilire un canale di comando e controllo (C2) per mimetizzarsi e nascondere le comunicazioni. Il MITRE ATT&CK delinea molti dei tipi comuni di canali C2, come i canali multistadio, i proxy multi-hop e i tunnel HTTPS. Questi canali sono spesso criptati utilizzando TLS o mascherando il traffico HTTPS per confondersi con il traffico web (che è per lo più HTTPS) e per criptare le comunicazioni e rendere più difficile il rilevamento.
Gli aggressori si avvalgono anche di ulteriori tecniche di offuscamento che rendono ancora più difficile il rilevamento dei canali C&C. Non solo l'uso della crittografia all'interno dei canali di comunicazione per ostacolare l'analisi, ma anche tecniche come il jitter (creazione di tempistiche più casuali per i beacon per evitare di cercare beacon regolari) e il padding.
A volte è presente anche un ulteriore livello di crittografia all'interno dei canali di comunicazione per impedire ai difensori di leggere i dati inviati e variabili basate sul tempo, come il jitter di sessione, per mascherare il comportamento regolare del beaconing nel tempo.
La prospettiva del team di sicurezza
Individuare i canali C&C nel traffico Internet moderno è fondamentale per gli analisti della sicurezza. Il compito è ostacolato non solo dalla crittografia del traffico degli aggressori, ma anche dal fatto che gran parte di Internet funziona ora su traffico crittografato e utilizza WebSocket e lunghe sessioni aperte che possono assomigliare al comportamento dei C&C. A tal fine, gli analisti devono esaminare non solo il traffico grezzo, ma anche i metadati di tale traffico. Il traffico di flusso può essere utile, ma l'esame delle metriche più profonde di questi flussi, come gli intervalli di tempo di trasmissione, può rivelare il traffico dannoso nelle sessioni crittografate.
Fortunatamente, il motore di flusso di Vectra AI offre questa profondità di analisi per ogni flusso di dati tracciato, con campionamenti granulari fino a intervalli di mezzo secondo. Questo include metriche come i byte inviati e ricevuti nel tempo, fornendo una visione delle dinamiche di ogni interazione.
Machine Learning per il rilevamento di C&C
Il percorso di Vectra AI nell'utilizzo efficace dei dati del dominio del tempo per rilevare i canali di comando e controllo ha visto diversi approcci, con una forte attenzione alle tecniche di apprendimento automatico supervisionato. Diversi algoritmi di apprendimento automatico, lavorando in tandem, offrono una visione sia grossolana che granulare dei comportamenti degli aggressori:
- Foreste casuali: Composte da più alberi decisionali, le foreste casuali eccellono nel fornire una telemetria a grana grossa. Esse monitorano finestre di serie temporali e tengono traccia di oltre 20 caratteristiche, tra cui il rapporto dati client/server, la coerenza dei dati, la frequenza delle interruzioni del server e la durata della sessione.
- Reti neurali ricorrenti (RNN):Le RNN consentono di rappresentare i comportamenti temporali, in cui una sequenza influenza la successiva, rivelando caratteristiche uniche determinate dall'uomo. In sostanza, le RNN imitano la memoria umana.
- Reti neurali Deep Learning con memoria a breve termine (LSTM): Le reti LSTM sono in grado di apprendere dipendenze e relazioni temporali a lungo raggio, compresa la capacità di dimenticare. Questo approccio è versatile e applicabile a diversi casi d'uso, tra cui l'elaborazione del linguaggio naturale. Nel campo della sicurezza, consente di tracciare i modelli di attività rilevanti degli aggressori per periodi prolungati.
Il potere della convergenza
La convergenza di questi metodi di apprendimento automatico, ciascuno meticolosamente sviluppato e perfezionato nel corso degli anni, consente a Vectra AI di comprendere i comportamenti del traffico criptato e di generare avvisi ad alta fedeltà per il rilevamento di comandi e controlli. Il successo dipende dall'attenta applicazione di questi metodi e dalla qualità dei dati di addestramento utilizzati.
Vectra AI ha la fortuna di avere un team pluripremiato di scienziati dei dati e ricercatori della sicurezza che si dedicano allo sviluppo degli algoritmi, alla cura dei campioni e all'ottimizzazione continua degli algoritmi per ottenere le massime prestazioni.
Conclusione
Rilevare e dare priorità ai canali di comando e controllo criptati con precisione e minimo rumore è una sfida formidabile. Va oltre le capacità di un semplice rilevatore di anomalie. Per raggiungere questo livello di sicurezza sono necessari i dati giusti, i metodi di apprendimento automatico più adatti e un team dedicato con esperienza nella costruzione e nella messa a punto dei modelli. Vectra AI è in prima linea in questa missione, contribuendo a un ambiente online più sicuro per tutti.