Proaktyvioji aptikimo inžinerija: Censys platformos galimybės

Apsaugos produktų kūrėjai vienu metu kuria aptikimo taisykles dešimtims tūkstančių klientų. Jų tikslas — užtikrinti plačią aprėptį, išvengti klaidingų suveikimų ir išlaikyti saugius numatytuosius nustatymus. Tačiau nė vienas išorinis tiekėjas neišmano konkrečios IT infrastruktūros specifikos, jos kritinių išteklių ir tikslinių kibernetinių nusikaltėlių elgsenos modelių. Dėl to aptikimo inžinerija (Detection Engineering) evoliucionuoja į atskirą ir fundamentalią SecOps discipliną, kuri reikalauja pereiti nuo reaktyvių veiksmų prie proaktyvios išorinės stebėsenos.

Problematika

Veikiančios taisyklės saugumo platformose reikšmingai skiriasi nuo tų, kurių reikia konkrečiai organizacijai. Tiekėjai yra priversti balansuoti: pernelyg siauri nustatymai gali praleisti tikslinę ataką, o pernelyg platūs generuoja milžinišką kiekį informacinių pranešimų. Tai lemia perteklinį SIEM sistemų išteklių naudojimą ir greitą atsiskaitymo limitų išnaudojimą, triage etapą perkeliant vidinėms komandoms. Be to, produktų kūrimo bendrovės retai atskleidžia visą informaciją apie savo aprėptį, saugodamos intelektinę nuosavybę. Tokiomis sąlygomis organizacijos turi savarankiškai kurti aptikimo logiką, apimančią jų unikalius išorinio poveikio paviršius.

Strategija

Laukti momento, kai kenkėjiškas kodas bus vykdomas galiniame įrenginyje, dažnai jau yra per vėlu. Šiuolaikinė aptikimo inžinerija reikalauja perimti grėsmę pasirengimo etapuose: paskyrų valdymo sistemose, DNS užklausose, tarpiniuose serveriuose, debesų aplinkoje ir atviroje interneto infrastruktūroje. Censys siūlo įrankių rinkinį, leidžiantį aptikti užpuolikų kontroliuojamą infrastruktūrą dar iki jos kontakto su įmonės tinklu. Platformos duomenų integravimas į darbo procesus vienkartinius indikatorius (pavyzdžiui, IP adresą ar nežinomą sertifikatą) paverčia daugkartiniais, patikimais aptikimo šablonais.

Įrankiai

Siekdama efektyviai išplėsti aptikimo taisyklių mastelį, Censys platforma specialistams suteikia keletą esminių galimybių. Analitinio išskleidimo funkcija (Pivot) leidžia paimti vieną domeną iš žurnalų ir rasti susijusius bendrus sertifikatus, pasikartojančius paslaugų atspaudus arba specifines priklausomybes tarp domenų ir hostų. Įrankis Live Rescan padeda patvirtinti, ar grėsmė yra aktyvi šiuo metu, ir neleidžia kurti taisyklių remiantis nebeaktualiais atviros infrastruktūros duomenimis. Tuo pat metu mechanizmas Collections (kolekcijos) užtikrina nuolatinę infrastruktūros pokyčių stebėseną, automatizuoja kibernetinių nusikaltėlių išteklių sekimą ir generuoja paruoštus duomenų srautus SOC analitikams.

Praktika

Skirtumą tarp bazinio blokavimo ir tikrosios aptikimo inžinerijos iliustruoja Adversary-in-the-Middle (AiTM) tipo fišingo kampanijos OLUOMO pavyzdys. Užuot tiesiog užblokavę vieną aptiktą domeną, tyrėjai išanalizavo užpuolikų veikimo šabloną. Buvo užfiksuotos specifinės HTML antraštės, saugių dokumentų portalo CSS kintamieji ir duomenų saugojimo raktai, taip pat nustatytas proxy infrastruktūros naudojimas, paremtas Azure Web Apps. Taisyklės sukūrimas šių artefaktų pagrindu leido Censys platformai aptikti ne vieną domeną, o 999 unikalius žiniatinklio išteklius su analogišku šablonu. Būtent tai ir reiškia perėjimą nuo darbo su trapiais indikatoriais prie ilgalaikės aptikimo logikos kūrimo.

Integracija

Analitika ir išorinė telemetrija turi būti apdorojamos ten, kur saugumo komandoms patogiausia priimti sprendimus. SIEM sistemose kuriamos koreliacijos taisyklės, kurios tikrina, ar vidinė telemetrija kreipiasi į IP adresus iš aptiktos kenkėjiškos bazės. SOAR platformoms konfigūruojami robotizuoti konteksto išplėtimo scenarijai: gavusi įspėjimą sistema automatiškai patikrina istorinius DNS įrašus arba URL priklausymą žinomai C2 infrastruktūrai. Threat Intelligence klasės sprendimams generuojami stebėjimo sąrašai, apimantys paslaugų scenarijų kelius ir specifinius tikslinių puslapių tekstinius artefaktus.

Geriausia aptikimo taisyklė — tai ne pavienės nuorodos blokavimas, o analitinio modelio sukūrimas, kuris akimirksniu reaguoja į bet kokias išorines priešiškos infrastruktūros apraiškas. Aptikimo inžinerija numato atsakingos savitos aplinkos apsaugos strategijos kūrimą, kurioje aukštos kokybės žvalgybiniai duomenys bazinius indikatorius paverčia ilgalaike ir ekonomiškai pagrįsta gynyba.

Bendrovė iIT Distribution, kaip Censys sprendimų distributorė, teikia ekspertinę pagalbą visuose įmonės infrastruktūros saugumo brandos etapuose. iIT Distribution komanda užtikrina technines konsultacijas, pagalbą projektuojant saugumo procesus ir visapusišką projektų įgyvendinimo lydėjimą, veikdama kaip patikimas partneris SOC efektyvumui didinti ir pažangioms kibernetinės gynybos praktikoms diegti.

Naujienos