In un precedente blog abbiamo parlato dell'importanza degli arricchimenti di sicurezza nei metadati della rete. Questi costituiscono la base su cui i cacciatori di minacce e gli analisti possono testare e verificare le ipotesi durante un processo investigativo. Il nostro team di data science continuerà a condividere esempi del lavoro che svolgiamo per mettere in luce questi arricchimenti.
L'esempio di oggi si concentrerà sull'attributo multi-homed che è possibile trovare in Cognito Stream, Cognito Recall nei motori sottostanti in Cognito Detect. Questo attributo offre ai team di sicurezza un ulteriore livello di efficienza nel determinare se un canale di comando e controllo o di esfiltrazione identificato possa essere dannoso.
Se si osserva il traffico di rete odierno, è possibile che un dominio risolva più indirizzi IP. Ciò è probabilmente indicativo di un host esterno che fa parte di un'infrastruttura più ampia. Il canale di comando e controllo (C&C) di un aggressore, a meno che non sfrutti tecniche di offuscamento, difficilmente utilizzerà un'infrastruttura così ampia. Questo perché le migliori pratiche di sicurezza operativa (OPSEC) impongono che un'infrastruttura ottimale per gli aggressori debba essere isolata.
Un'architettura a silos non solo riduce l'ingombro, ma rende anche difficile per un investigatore correlare attacchi separati e determinarne l'intento. Un'infrastruttura di attacco più ampia va contro la necessità di isolare le operazioni e rende più difficile e costoso per gli aggressori raggiungere i propri obiettivi. Sapere se il traffico è diretto a un indirizzo IP fornito attraverso un'infrastruttura più ampia può essere utile quando si indagano varie connessioni esterne per attività di comando e controllo.
Un investigatore o un cacciatore di minacce può utilizzare questo strumento per eliminare il traffico diretto a questi indirizzi IP e domini dalla propria area di indagine, riducendo efficacemente i falsi positivi e migliorando l'efficienza dei processi del centro operativo di sicurezza (SOC). La logica alla base della rimozione di questo traffico è che gli aggressori avanzati opereranno con le migliori pratiche OPSEC, mentre quelli di livello inferiore eviteranno i costi e la complessità di un'infrastruttura più ampia.
Sebbene sia rappresentato come un singolo attributo nei metadati sottostanti, l'algoritmo di generazione è piuttosto potente. Si tratta di un modello dinamico che ascolta costantemente il traffico DNS ed estrae i record A e CNAME. Il modello risolve in modo ricorsivo ogni record A e CNAME, quindi conta gli indirizzi IP associati a ciascun dominio. Data la natura transitoria delle mappature DNS, il modello apprende e dimentica costantemente, garantendo la determinazione più aggiornata. Un attributo booleano denominato HostMultihomed è ora associato agli indirizzi di destinazione effettivi ed è presente nei flussi di metadati iSession, HTTP e TLS sia in Cognito Stream in Cognito Recall.
Per ulteriori informazioni, contatta il rappresentante Vectra locale. Se sei un cliente Vectra e hai bisogno di assistenza con l'attributo multi-homed nella tua implementazione, contatta il tuo responsabile del successo dei clienti.