Gli strumenti e le tecniche di attacco possono cambiare nel tempo, ma i comportamenti di attacco rimangono un indicatore stabile degli aggressori all'interno della rete. L'utilizzo del comportamento di attacco come segnale ad alta fedeltà consente di intervenire rapidamente per bloccare gli attacchi o prevenire ulteriori danni.
Utilizzando i metadati di rete, è possibile creare rilevamenti mirati a strumenti, exploit o tecniche di attacco specifiche. Questi rilevamenti possono essere utilizzati per fornire un'indicazione precoce dell'attività di un attaccante di basso livello o per etichettare gli strumenti e gli exploit utilizzati dagli attaccanti per i rilevamenti comportamentali.
Vectra offre i migliori modelli AI e ML della categoria per smascherare gli aggressori all'interno della vostra rete, concentrandosi su questi comportamenti stabili degli aggressori. Forniamo anche metadati di rete formattati Zeek che possono essere utilizzati con il nostro Vectra Recall o direttamente al SIEM (Security Information Event Management) con il nostro Vectra Stream. Stream che vi offre Vectra Stream. È possibile utilizzare i nostri metadati di rete per integrare i rilevamenti comportamentali integrati basati su AI e ML per scoprire strumenti ed exploit degli aggressori.
Gli elementi costitutivi della ricerca degli strumenti e degli exploit degli aggressori
La combinazione dei metadati di rete di Vectra e di una serie di tecniche può aiutare a identificare gli strumenti e gli exploit degli aggressori all'interno della rete. Queste tecniche possono essere utilizzate separatamente o insieme per creare una corrispondenza generalizzata con classi di strumenti o exploit, oppure una corrispondenza molto specializzata con strumenti o exploit specifici.
Alcuni dei metadati di base della rete che permettono di trovare gli strumenti e gli exploit degli aggressori sono:
- Domini DNS
Il dominio DNS è un dominio cattivo conosciuto? WannaCry, ad esempio, ha utilizzato i domini DNS come kill switch, ma altri utilizzano il DNS per C2 e per l'esfiltrazione dei dati.
- Emittente del certificato
L'emittente del certificato è la root prevista e affidabile? Gli emittenti di certificati a basso costo o gratuiti sono spesso utilizzati con lo squatting dei domini per intercettare il traffico tramite attacchi man-in-the-middle (MITM) per rubare le credenziali.
- IP di origine e di destinazione
La subnet di origine o di destinazione è nota come cattiva o sospetta? Gli indirizzi IP possono essere utilizzati per identificare il traffico insolito o sospetto all'interno della rete.
- Agenti utente
Gli user agent sono previsti all'interno di questa rete o sottorete? Gli user agent sono utilizzati per descrivere il browser o il framework utilizzato e possono segnalare un utilizzo insolito o sospetto.
- hashtag JA3/JA3S
Il client o il server è un cattivo attore noto? JA3 esegue il fingerprint dei client (JA3) e dei server (JA3S) esaminando un'ampia gamma di informazioni rivelate durante l'handshake TLS. (Consultate questo blog per ulteriori modi di utilizzare gli hash di JA3/JA3S nelle indagini e nella caccia alle minacce).
Ricerche curate con Vectra Recall
Creare buone ricerche può essere difficile, anche quando si hanno a disposizione i migliori strumenti e blocchi di costruzione! Alcune ricerche saranno troppo ampie e rumorose, mentre altre potrebbero perdere una minaccia reale a causa di un ambito di ricerca leggermente ristretto.
Ma Vectra vi copre le spalle! Il nostro team di ricerca sulla sicurezza e di scienza dei dati investe continuamente in nuove ricerche mirate a exploit, strumenti e framework specifici. Queste ricerche vengono pubblicate sulla nostra piattaforma Recall e vi danno un vantaggio nel trovare ed etichettare i comportamenti di attacco di basso livello nella vostra rete.
Nel recente passato, abbiamo creato e pubblicato ricerche Recall di alta qualità per le seguenti minacce e vulnerabilità:
- Vulnerabilità di Citrix ADC (CVE-2019-19781)
- Vulnerabilità di Curveball nelle librerie crittografiche di Microsoft (CVE-2020-0601)
- Trojan per l'accesso remoto Pupy, osservato come utilizzato da noti APT
- Campagna Fox Kitten, utilizzata dalle minacce costanti evolutive che puntano alle vulnerabilità delle VPN
Queste nuove aggiunte completano la nostra vasta libreria di ricerche esistenti che possono aiutare a trovare ed etichettare le minacce che utilizzano i seguenti exploit e strumenti:
- EternoBlu
- Cobalt Strike
- Metasploit
- Kali Linux
- L'impero
- E molte altre tattiche, tecniche e procedure (TTP) note come cattive.
Automatizzazione delle ricerche con i modelli personalizzati di Vectra Recall
Le ricerche di alta qualità sono preziose per le indagini, ma possono richiedere molto tempo per essere create e testate. Lasciate che sia Vectra a fare il lavoro duro. Con i modelli personalizzati Recall , possiamo automatizzare queste ricerche per i rilevamenti in tempo quasi reale. È sufficiente attivare i rilevamenti "Custom Model" per una ricerca di Vectra Recall per effettuare automaticamente le corrispondenze e avvisare quando vengono trovate.
L'abilitazione dei modelli personalizzati per uno strumento di attacco, un exploit o un TTP consente di tracciare in modo rapido e semplice il comportamento di attacco di basso livello all'interno della rete prima che diventi un attacco vero e proprio. L'etichettatura di tali attività consente inoltre di reagire in modo più rapido ed efficace, identificando i playbook degli aggressori.
Per vedere da vicino come si usa Vectra Recall per trovare gli strumenti e gli exploit degli aggressori, programmate una demo.