I clienti e i ricercatori di sicurezza di Vectra rispondono ad alcune delle minacce più gravi al mondo. E ci dicono che c'è una serie coerente di domande a cui devono rispondere quando indagano su un determinato scenario di attacco. Partendo da un avviso di Cognito Detect, da un altro strumento di sicurezza o dalla loro intuizione, gli analisti formulano un'ipotesi su ciò che sta accadendo.
Esaminare i dati per cercare i fari
Verificheranno quindi la loro ipotesi analizzando i dati per determinare se stanno guardando nel posto giusto o se stanno pensando nella giusta direzione. Avere accesso ai dati e agli approfondimenti giusti può fare la differenza nell'indagine, sia in termini di risultati che di velocità nel raggiungerli.
Considerate il seguente scenario. Il vostro team è venuto a conoscenza di un trojan bancario che utilizza un falso aggiornamento di Google Chrome per ottenere una posizione di comando e controllo (C&C) sul sistema di destinazione.
Dopo una compromissione iniziale tramite spear fishing o download drive-by, l'host sfruttato scarica il payload completo sotto forma di aggiornamento di Chrome prima di stabilire il canale C&C e consentire un'ulteriore ricognizione e movimento laterale più in profondità nella rete.
In questo caso, l'impianto richiama periodicamente l'infrastruttura C&C dell'aggressore, cosa che osserviamo come comportamento di beaconing. Il beaconing può essere un indicatore debole di una potenziale attività dannosa che funge da base per un canale C&C o da richiamo per recuperare il malware.
Tuttavia, nella maggior parte dei casi, il beaconing è parte integrante di comportamenti innocui, come ad esempio la Smart TV o il dispositivo di teleconferenza che si rivolge all'hub di origine. Anche i ticker di borsa e gli aggiornamenti dei risultati sportivi sono noti per il beaconing.
Come si fa a scoprire e identificare le comunicazioni potenzialmente dannose?
E se scoprite che la comunicazione è malevola, come rispondete?
È proprio per questo che Vectra utilizza motori di intelligenza artificiale per estrarre informazioni sulla sicurezza che vengono incorporate nei nostri metadati prima che vengano consumate direttamente dai nostri clienti o alimentate nei nostri modelli di rilevamento. Ad esempio, nell'esempio di ricerca/indagine sulle minacce di cui sopra, voglio essere in grado di rispondere a domande come:
- Sono stati osservati casi di beaconing nella mia rete?
- Quali sono le destinazioni esterne verso cui viene emesso il segnale?
- Quali host sono potenzialmente infetti, non solo l'indirizzo IP?
- La cadenza di segnalazione mostra una frequenza di richiesta/risposta insolita?
- Le dimensioni del carico utile sono quelle che si vedono normalmente?
- Il radiofaro ha un hash JA3 raro o insolito?
- Il traffico è diretto verso una destinazione esterna insolita?
- Qual è il livello di privilegio degli host che stanno facendo il beaconing?
- Le sessioni di beaconing sono offuscate all'interno di una singola e lunga connessione?
- La connessione utilizza servizi e protocolli insoliti?
Scoprire il beaconing malware grazie a Cognito
Il primo passo è assicurarsi che gli attributi necessari per rispondere a queste domande siano prontamente disponibili per l'analista della sicurezza.
All'inizio di quest'anno abbiamo rilasciato Cognito Stream, che popola direttamente i data lake e i SIEM (Security Information Event Management) con metadati di rete formattati da Zeek e arricchiti con queste informazioni sulla sicurezza.
I clienti di Vectra utilizzano questi metadati di rete arricchiti dalla sicurezza per sfruttare gli strumenti personalizzati esistenti o analizzarli con modelli specifici dell'organizzazione, come i casi d'uso delle policy e del rilevamento delle minacce.
Di seguito è riportato un esempio degli attributi di metadati unici che sono disponibili come metadati arricchiti in Cognito Stream.
Questo è solo l'inizio. Abbiamo un team completo di ricercatori di sicurezza e data scientist che sono in missione per aumentare continuamente il valore dei metadati di rete in Cognito Stream attraverso arricchimenti.
Nei prossimi blog condivideremo i dettagli di altri arricchimenti come la popolarità JA3 di client e server, i cluster web e la popolarità dei domini.