In un blog precedente abbiamo parlato dell'importanza degli arricchimenti di sicurezza nei metadati di rete. Questi servono come base per i cacciatori di minacce e gli analisti per testare e interrogare le ipotesi durante un processo investigativo. Il nostro team di data science continuerà a condividere esempi del lavoro che svolgiamo per far emergere questi arricchimenti.
L'esempio di oggi si concentrerà sull'attributo multi-homed, presente in Cognito Stream, Cognito Recall e nei motori sottostanti di Cognito Detect. Questo attributo offre ai team di sicurezza un ulteriore livello di efficienza nel determinare se un canale di comando e controllo o di esfiltrazione identificato possa essere dannoso.
Osservando il traffico di rete, è possibile che un dominio si risolva in più IP. Questo è probabilmente indicativo di un host esterno che fa parte di un'infrastruttura più grande. È improbabile che il canale di comando e controllo (C&C) di un aggressore, a meno che non sfrutti tecniche di offuscamento, utilizzi un'infrastruttura così grande. Questo perché le migliori pratiche di sicurezza delle operazioni (OPSEC) prevedono che un'infrastruttura ottimale per un attaccante sia isolata.
Un'architettura isolata non solo crea un'impronta più piccola, ma rende anche difficile per un investigatore correlare attacchi separati e determinare l'intento. Un'infrastruttura di attacco più grande va contro la necessità di silenziare le operazioni e rende più difficile e più costoso per gli aggressori raggiungere i loro obiettivi. Sapere se il traffico è diretto a un indirizzo IP consegnato attraverso un'infrastruttura più ampia può essere utile quando si indagano varie connessioni esterne per attività di comando e controllo.
Un investigatore o un cacciatore di minacce può utilizzarlo per eliminare dalla propria superficie di indagine il traffico diretto a questi indirizzi IP e domini, riducendo di fatto i falsi positivi e migliorando l'efficienza dei processi dei centri operativi di sicurezza (SOC). Il motivo per eliminare questo traffico è che gli aggressori avanzati opereranno secondo le migliori pratiche OPSEC e gli aggressori di livello inferiore eviteranno i costi e la complessità di un'infrastruttura più grande.
Sebbene sia rappresentato come un singolo attributo nei metadati sottostanti, l'algoritmo di generazione è piuttosto potente. Si tratta di un modello dinamico che ascolta costantemente il traffico DNS ed estrae i record A e i CNAME. Il modello risolve ricorsivamente ogni record A e CNAME e poi conta gli indirizzi IP associati a ciascun dominio. A causa della natura transitoria delle mappature DNS, il modello impara e dimentica continuamente, garantendo la determinazione più aggiornata. Un attributo booleano denominato HostMultihomed è ora associato agli indirizzi di destinazione effettivi ed è presente nei flussi di metadati iSession, HTTP e TLS sia in Cognito Stream che in Cognito Recall.
Per ulteriori informazioni, contattare il rappresentante Vectra di zona. Se siete clienti Vectra e avete bisogno di una guida per l'attributo multi-homed nella vostra implementazione, contattate il vostro customer success manager.