Caccia alle minacce

Gli ambienti aziendali sono in continua evoluzione, vengono introdotti nuovi strumenti, rimossi quelli vecchi e vengono apportate modifiche alla configurazione per supportare i cambiamenti, che possono introdurre nuove vulnerabilità nell'ambiente. Esempi recenti sono la vulnerabilità CVE-2020-5902 di F5 che ha colpito l'interfaccia utente di gestione del traffico (TMUI) del BIG-IP di F5; questa porta non dovrebbe mai essere accessibile pubblicamente e dovrebbe richiedere agli utenti un'autenticazione sicura e una connessione alla LAN prima di potervi accedere. Vectra AI ha riscontrato casi in cui ciò non è avvenuto e la TMUI è stata accessibile e sfruttata.

Il 2020 ha portato un enorme spostamento del lavoro da remoto a causa del COVID-19 e ha fatto sì che i team operativi si affannassero a cercare di risolvere il problema:

1. Sostenere questo nuovo ambiente di lavoro
2. Proteggere gli utenti nel passaggio dall'ufficio alla casa.

Il supporto di questo tipo di passaggio, soprattutto per un'azienda non pronta a supportarlo, introduce una moltitudine di problemi di sicurezza.

In un cambiamento sismico come questo, l'obiettivo principale per l'azienda è garantire che le operazioni non vengano interrotte, il che lascia i team di sicurezza con meno influenza sull'implementazione e bloccati nel supporto di una soluzione non progettata con la sicurezza in mente. Senza un'adeguata supervisione, le vulnerabilità possono essere esposte e gli aggressori possono approfittarne.

Ci sono molti esempi del perché la caccia è importante, e i due di cui parliamo di seguito sottolineano la necessità di programmi di caccia.

Analizziamo come i team di sicurezza possono sfruttare Vectra Detect e i metadati di rete per andare a caccia di comportamenti dannosi. Inoltre, anche se in questo documento facciamo riferimento a Vectra Recall , le tecniche descritte per Vectra Recall possono essere facilmente implementate sfruttando i dati di Vectra Stream.

Perché il Threat Hunting è importante

La caccia alle minacce consiste nel dedicare del tempo alla ricerca approfondita delle idiosincrasie della propria rete.

L'obiettivo di una caccia alle minacce non è solo quello di trovare attori dannosi all'interno della rete che i rilevamenti guidati dal comportamento di Vectra non hanno necessariamente individuato o di trovare attività precursori. Si tratta anche di trovare attività di rete che non sono necessariamente dannose, ma che potrebbero violare la vostra postura di sicurezza o essere inutilmente insicure. In primo luogo, la caccia alle minacce è un'esperienza di apprendimento che aiuta a capire cosa sta accadendo sulla rete. Ciò dovrebbe semplificare le indagini future, poiché si ha già una comprensione di ciò che accade nella rete.

Come organizzazione, potreste voler documentare le vostre scoperte per condividere le conoscenze all'interno dell'azienda. Potreste decidere di dedicare una certa quantità di tempo ogni settimana o mese alla caccia alle minacce come team, con una discussione finale in cui il team discute di ciò che ha individuato e di ciò che ora sapete sulla vostra organizzazione che non sapevate prima. Potrebbe essere che c'è un server che esegue il backup di una serie di file su SMB all'una di notte ogni giorno, oppure che alcuni server in un Data Center inviano molti dati all'esterno sulla porta 46780 per un uso aziendale legittimo. Queste scoperte vi faranno risparmiare tempo in futuro, in quanto potrete rapidamente scartare ed escludere i casi d'uso noti e legittimi per concentrarvi su tutto ciò che è nuovo e preoccupante.

Caccia alle minacce con i metadati di rete

Dal punto di vista degli investigatori, le fonti principali di prova durante un'indagine sono due: le prove endpoint e le prove di rete. Il modo migliore per descrivere la differenza tra queste due fonti è l'analogia con il furto d'auto. Ci sono diverse fasi, dal furto d'auto, al viaggio di piacere, fino alla conclusione, che potrebbe essere un incidente d'auto. Trovarsi sulla scena del crimine è fantastico, ma non permette di avere un quadro completo. Come ha fatto il ladro a trovare l'auto? Da dove sono venuti? Che strada ha fatto l'auto? L'unico modo per avere un quadro completo è combinare tutti gli elementi.

Mentre le prove endpoint sono migliori per vedere il sito iniziale della violazione, i dati di rete sono migliori per vedere il quadro completo e collegare i punti. Immaginate di essere in un elicottero che osserva il furto d'auto e di vedere come l'auto si muove nel traffico, lungo le strade e attraverso la città. Vedremo tutto e vedremo esattamente dove finisce.

Di seguito viene fornito un rapido riferimento ai metadati disponibili e agli attributi comuni per ciascun flusso di metadati.

Il valore della caccia alle minacce

La caccia richiede tempo, e c'è un motivo per cui la maggior parte delle organizzazioni rifugge dalla caccia; dal punto di vista di un manager è difficile approvare il tempo dell'analista quando non si ha la garanzia di un risultato. A nostro avviso, sono due le cose che di solito risultano da una caccia di successo.

1. La conoscenza

Ogni analista che trascorre del tempo in una caccia imparerà inevitabilmente dall'esperienza e avrà bisogno di ricercare e testare la propria teoria. Ciò significa che si sta esplorando un nuovo argomento mentre si acquisisce maggiore dimestichezza con l'uso della piattaforma Vectra AI , il che si può tradurre in tempo speso durante le indagini. Conosceranno la sintassi di Lucene, come impilare i dati con Visualize e i campi di metadati disponibili.

2. Comprensione dell'ambiente

Oltre a questa ricerca, i clienti potranno anche comprendere meglio il proprio ambiente, poiché ogni rete aziendale ha una serie specifica di politiche e strumenti che utilizza. La comprensione di ciò che è normale aiuterà a identificare ciò che è anormale. Se un analista dedica del tempo alla ricerca, aumenterà la sua capacità di comprensione che si tradurrà in efficienza.

Un risultato tangibile sarà un modello personalizzato, in modo che le conoscenze e la comprensione dell'ambiente possano essere applicate per creare un modello personalizzato su misura che funzioni per la vostra organizzazione. Ciò consentirà di abilitare i modelli personalizzati in Vectra Detect e di inserirli nel flusso di lavoro quotidiano degli analisti, aumentando la copertura degli attacchi e l'efficienza.

Nell'odierno ambiente dinamico delle minacce, la caccia proattiva alle minacce non è solo vantaggiosa, ma è essenziale per mantenere solide difese di cybersecurity. Le soluzioni avanzate diVectra AI consentono ai team di sicurezza di scoprire e affrontare in modo efficiente le minacce nascoste, migliorando la resilienza della vostra organizzazione contro gli attacchi informatici. Contattateci oggi stesso per scoprire come possiamo supportare le vostre iniziative di threat hunting e rafforzare la vostra posizione di sicurezza.