Παρόλη την σημαντική προσφορά των Threat Feeds σε επιθέσεις που στοχεύουν έναν σημαντικό αριθμό από χρήστες και οργανισμούς, δεν είναι αρκετά αποτελεσματικά κατά στοχευμένων επιθέσεων.
Ποια απαίτηση οδήγησε στη πρακτική – μεθοδολογία του Threat Intelligence
Το Threat Intelligence δημιουργήθηκε για να ενισχύσει τις δυνατότητες των μηχανισμών ανίχνευσης απειλών ώστε να μπορούν να εντοπίσουν πιο αποτελεσματικά γνωστές προηγμένες επιθέσεις.
Οι υπηρεσίες Τhreat Intelligence ή αλλιώς Threat Feeds, όπως είναι ευρέως γνωστές, ενισχύουν την αμυντική γραμμή ενός οργανισμού ως ένα επιπλέον εργαλείο άμεσου εντοπισμού των “known-knowns”. Πρόκειται για γνωστές απειλές οι οποίες, συνήθως, δεν είναι στοχευμένες και έχουν αποτελέσει μέρος κάποιας άλλης επιθετικής καμπάνιας. Ως εκ τούτου, τα Threat Feeds βοηθούν άμεσα τις ομάδες αντιμετώπισης περιστατικών ασφάλειας (Incident Response Teams) στην γρήγορη αναγνώριση και αντιμετώπιση μιας γνωστής απειλής.
Παράλληλα όμως, βασίζοντας την άμυνα ενός οργανισμού σε λύσεις οι οποίες βασίζονται μόνο ή κατά κύριο λόγο σε Threat Feeds, συνεχίζουμε να ακολουθούμε το μοντέλο ασφάλειας πληροφοριών που έχει καθιερωθεί τα τελευταία 20 χρόνια. Με την εν λόγω τακτική, η αμυντική στρατηγική ενός οργανισμού επαφίεται στον εντοπισμό γνωστών απειλών-επιθέσεων, οι οποίες έχουν εντοπισθεί προηγουμένως σε άλλους οργανισμούς ή honeypots. Στην πραγματικότητα όμως, η προκειμένη τακτική έχει αποτύχει σχεδόν σε ολοκληρωτικό βαθμό να αντιμετωπίσει στοχευμένες κυβερνοεπιθέσεις (cyber-attacks) αλλά ακόμα και κάποιες γνωστές, ελαφρώς τροποποιημένες επιθέσεις. Με λίγα λόγια τα Threat Feeds/Intelligence είτε με την μορφή κάποιας λίστας που εμπεριέχει IP διευθύνσεις και Host είτε με την μορφή IOCs (Indicators of Compromise) παραμένουν να αποτελούν στατικές, “signatured based” τακτικές άμυνας.
Η επιθετική στρατηγική από την άλλη πλευρά όμως δεν είναι στατική. Πίσω από μία κυβερνοεπίθεση καλούμαστε να αντιμετωπίσουμε ανθρώπους, οι οποίοι στα πλαίσια της επίθεσής έχουν την δυνατότητα να αντιληφθούν γρήγορα αν έχουν αποτύχει ή αν έχουν εντοπιστεί οι ενέργειες τους, οπότε και να τροποποιήσουν αναλόγως τις μεθόδους τους, αλλά και να αλλάξουν επιμέρους χαρακτηριστικά επόμενων επιθέσεων για την αποφυγή εντοπισμού από Threat Feeds (π.χ C2 IPs/Domain names, RAT/Malware fingerprints, Attack tools fingerprints κλπ). Δεν πρέπει να ξεχνάμε στα πλαίσια μιας στοχευμένης επίθεσης, ή αλλιώς ενός Advanced Persistent Threat (APT), τέτοιες μέθοδοι αποφυγής εντοπισμού είναι συνηθισμένες και δεν έχουν ιδιαίτερο κόστος για τον επιτιθέμενο.
Πως κινείται η αγορά σε σχέση με τη συγκεκριμένη τάση
Στην αγορά υπάρχουν πολλές υπηρεσίες που προσφέρουν Threat Feeds/Intelligence είτε open source είτε κατόπιν συνδρομής. Δυστυχώς όμως πολύ λίγα Τhreat feeds μπορούν να προσφέρουν καλής ποιότητας δεδομένα και σχεδόν καμία τέτοιου είδους υπηρεσία δεν είναι κατάλληλη από μόνη της για τον έγκαιρο εντοπισμό στοχευμένων επιθέσεων.
Πλέον σχεδόν όλες οι λύσεις ασφαλείας περιμέτρου (π.χ Firewalls, IDS, κλπ) ενσωματώνουν threat feeds με σκοπό να ενισχύσουν την έγκαιρη ανίχνευση κάποιας γνωστής επίθεσης (π.χ malicious IP host, malicious downloaded executable κλπ). Επιπλέον τα NG SIEMs έχουν την δυνατότητα να λάβουν αυτοματοποιημένα threat feeds τα οποία σε συνδυασμό με τα σχετικά logs από άλλα συστήματα (π.χ Antivirus logs, Firewalls Traffic logs, Internet Access Logs κλπ) οδηγούν στον εντοπισμό πιθανών attacking nodes ή τερματικών που έχουν προσβληθεί από κάποιο μολυσμένο λογισμικό.
Tο μεγαλύτερο κίνητρο για την αγορά και την ενσωμάτωση κάποιου Threαt intelligence feed, είναι η δυνατότητα που δίνεται στον οργανισμό να προετοιμασθεί για ενδεχόμενες επιθέσεις και κυρίως να αξιολογήσει την κρισιμότητα μιας επίθεσης που εντοπίστηκε, αναλύοντας συγκεκριμένες τακτικές επίθεσης σε άλλους οργανισμούς.
Που και με ποιους τρόπους χρησιμοποιεί ThreatIntelligence/Feeds η Encode
Τα Threat Feeds βοηθούν τους SOC Analysts της MSS υπηρεσίας μας στην έγκαιρη ενημέρωση και κατ’ επέκταση αντιμετώπιση περιστατικών ασφαλείας τα οποία προέρχονται από επιθέσεις οι οποίες έχουν εντοπιστεί σε οργανισμούς ανά τον κόσμο.
Ενσωματώνοντας τα Threat Feeds στο Correlation Engine του Enorasys NGSIEM (poweredbyIBMQRadar) δημιουργείται μία βασική γραμμή άμυνας για συστήματα με αυξημένη επικινδυνότητα για άμεση εξωτερική επίθεση. Επιπρόσθετα, τα threat intelligence feeds αποτελούν βασικό εργαλείο για την αντιμετώπιση επιθέσεων που στοχεύουν τους χρήστες (client side) μέσω email. Βασικοί έλεγχοι του Correlation Engine είναι τόσο η φήμη (reputation) του SMTP server που παραδίδει το email όσο και του φαινομενικού αποστολέα του email.
Tα Threat Intelligence Feeds αποτελούν εργαλείο του Correlation Engine για να εντοπίζει επικοινωνίες με γνωστούς Command and Control Servers, συμπεριφορά που προσδίδει την ύπαρξη κακόβουλου λογισμικού σε συγκεκριμένο μολυσμένο τερματικό. Με αυτό τον τρόπο μπορεί να γίνει πιο άμεση η αντιμετώπιση του συγκεκριμένου περιστατικού ασφαλείας πριν το κακόβουλο λογισμικό μεταλλαχθεί σε μη ανιχνεύσιμο
Παρόλη την σημαντική προσφορά των Threat Feeds σε επιθέσεις που στοχεύουν έναν σημαντικό αριθμό από χρήστες και οργανισμούς, δεν είναι αρκετά αποτελεσματικά κατά στοχευμένων επιθέσεων. Σημαντικοί παράγοντες για την απόδοση ενός Feed για στοχευμένες επιθέσεις είναι η αξιοπιστία τους, ο ρυθμός ανανέωσης τους, το είδος τους αλλά και η ευκολία πρόσβασής τους από το ευρύ κοινό.
H πλατφόρμα EnorasysNGSIEM (powered by IBM QRadar) της Encode, ενσωματώνει μια σειρά από Threat Intelligence Feeds ώστε να συμπεριλάβει γεωγραφικά περιεχόμενα και βαθμό φήμης (reputation score) σε όλα τα επίπεδα λειτουργίας του SIEM όπως το Correlation Engine αλλά και στην απεικόνιση της πληροφορίας στους Security Analysts. Ορισμένες από τις πηγές που χρησιμοποιούνται είναι οι παρακάτω:
- Threat Intelligence: IBM X-force labs (http://www.ibm.com/security/xforce/)
- Geographic: maxmind (http://www.maxmind.com)
- Top Targeted Ports: D-Shield (http://www.dshield.org)
- Botnets: Emerging threats. (http://www.emergingthreats.net/rules/emerging-botcc.rules)
- Bogon IPs: (http://www.cymru.com/Documents/bogon-bn-nonagg.txt)
Αξίζει να αναφέρουμε μια επιπλέον δυνατότητα που θα προσφέρουμε σύντομα στους MSS πελάτες μας που έχει ως στόχο την έγκαιρη αναγνώριση επικείμενων επιθέσεων. Πρόκειται για τη δημιουργία ενός δικτύου από honeypots τα οποία θα είναι στρατηγικά διεσπαρμένα και ομαδοποιημένα αναλόγως του είδους του οργανισμού καθώς και της χώρας στην οποία δραστηριοποιούνται. Τα honeypots είναι συστήματα τα οποία φαινομενικά είναι ευάλωτα σε αρκετές επιθέσεις. Ο επιτιθέμενος προσπαθώντας να επιτεθεί σε αυτά για να αποκτήσει πρόσβαση θα δημιουργείται ένα Intelligence Feed το οποίο περιλαμβάνει στοιχεία όπως, επικίνδυνους κόμβους (hostile nodes) που ενδέχεται σύντομα να πραγματοποιήσουν κάποια επίθεση, τον τύπο του οργανισμού που στοχεύουν καθώς και τη μεθοδολογία που χρησιμοποιούν για να αποκτήσουν πρόσβαση.
Επιπρόσθετα, το προϊόν μας EnorasysSecurityAnalytics, παρόλο που η βασική λειτουργία του δεν εξαρτάται από τα Threat Feeds, τα χρησιμοποιεί σαν εξωτερική πηγή δεδομένων για τον υπολογισμό του ρίσκου. Με αυτόν τον τρόπο συνδυάζουμε και χρησιμοποιούμε δεδομένα από την ανάλυση της συμπεριφοράς χρηστών-συστημάτων, που είναι και η βασική λειτουργία του Enorasys Security Analytics, με feeds από πολλαπλές πηγές threat intelligence.
Πιο συγκεκριμένα κατά τον υπολογισμό του ρίσκου, χρησιμοποιώντας αλγόριθμους τύπου regression analysis, τα δεδομένα για κάθε κανάλι επικοινωνίας του χρήστη/τερματικού συσχετίζονται με διάφορες εξωτερικές αλλά και εσωτερικές πηγές threat intelligence και συμβάλουν σαν μία επιπρόσθετη παράμετρο στον υπολογισμό της τιμής του τελικού ρίσκου.
Όπως προαναφέρθηκε, το Enorasys Security Analytics δεν βασίζεται στα Threat intelligence feeds.
Η προσέγγιση που ακολουθείται βασίζεται στην ανίχνευση υπόπτων προτύπων επικοινωνίας σε συνδυασμό με τον βαθμό παρέκκλισης από τη συνήθη ιστορική συμπεριφορά του χρήστη/τερματικού. Τα στοιχεία που συλλέγονται, αποθηκεύονται και αναλύονται, έχουν επιλεχθεί μετά από εκτεταμένη έρευνα των Threat Analyst της Encode και είναι βασισμένα στην πολυετή εμπειρία της εταιρίας σε στοχευμένες επιθέσεις. Η συγκεκριμένη λύση μπορεί να διασυνδεθεί με οποιαδήποτε SIEM πλατφόρμα και να συσχετίσει τις παραγόμενες ειδοποιήσεις (alerts) του Enorasys Security Analytics με σχετικά logs (π.χ enpoint analysis) ώστε να εντοπίσει έγκαιρα και με ακρίβεια μια εξελισσόμενη απειλή, γεγονός που προσδίδει στην προσφερόμενη MSS υπηρεσία ένα τρομερό ανταγωνιστικό πλεονέκτημα.
Μελλοντικές Προβλέψεις
Για να ενισχυθεί η ασφάλεια απέναντι σε πολύπλοκες και στοχευμένες επιθέσεις θα πρέπει να αναπτυχθούν μηχανισμοί που έχουν τη δυνατότητα να καταγράφουν, να αναλύουν συμπεριφορές και να αποφασίζουν για την ύπαρξη μιας απειλής-επίθεσης με βάση την διαφοροποίηση από την κανονικότητα, αυτοματοποιώντας την ανάλυση ενός έμπειρου αναλυτή ασφαλείας.
Είναι δεδομένο ότι αυτή η τάση στο μέλλον θα αυξήσει τις signature-less λύσεις ανίχνευσης απειλών όπως είναι το Enorasys Security Analytics και όπως σήμερα αναφέρονται ως User and Entity Behavior Analytics (UEBA). Αυτές οι λύσεις θα χρησιμοποιούν τα Threat Intel feeds σαν ένα ακόμα βοηθητικό στοιχείο για τους αναλυτές στην κατηγοριοποίηση συγκεκριμένων επιθέσεων αλλά και στην ανάλυση καινούριων συμπεριφορών επίθεσης.
ΔημήτρηςΔόριζας
Manager, MSS & Integration Services, Encode