Az informatikai biztonsági technológia gyors fejlődésével egyre több szervezet fordul az analitika, az AI és az automatizálás felé, hogy segítsen a kiber támadások felderítésének és orvoslásának komplex feladatában, valamint a dwell time csökkentésében. Ezek az eszközök nap mint nap egyre fejlettebbek, és az IT biztonság ipari sztenderdévé váltak. Ennek ellenére a manapság használt kiberbiztonsági eszközök közül sokan előre meghatározott szabályokat és szignatúrákat használnak a rosszindulatú tevékenységek azonosítására. Következetesen ezek az eszközök, mint például az IDS, IPS és a végpont ATP, a fejlesztőktől függenek, hogy szabályaikat és észlelési módszereiket naprakészen tartják. Amíg az újonnan megjelent fenyegetéseket be nem azonosítják és a megfelelő szabályokat, szignatúrákat létre nem hozzák, addig előfordulhat, hogy ezeknek az eszközöknek nem fog sikerülni az újszerű támadások azonosítása.

Az automatizálás és az analitika által elért fejlődéseket nem lehet alábecsülni, azonban a SOC-csapatok rendszer- és hálózati adatokhoz való közvetlen hozzáférése és elemzése, még kritikusabbá vált, mivel az elsődleges védelmi rendszerek egyre jobban támaszkodnak az automatizálásra. Itt jön be a fenyegetésvadászat. A fenyegetésvadászat egy proaktív gyakorlat, amelynek során IT rendszerek naplóiban keresnek olyan fejlett fenyegetéseket, amelyek megkerülik a meglévő biztonsági megoldásokat. Amint a támadó sikeresen átjut az elsődleges biztonsági mechanizmusokon, hónapokig észrevétlenül maradhatnak a hálózatban, miközben figyelemfelkeltés nélkül érzékeny információkat gyűjtenek vagy bejelentkezési adatokat szereznek, amelyeket a jövőben további támadásokhoz felhasználhatnak.

Számos módszertan létezik a fenyegetésvadászat végrehajtására, de ezen blogbejegyzés témája a Hypothesis driven (hipotézisvezérelt) megközelítés lesz. Ez a megközelítés azzal a feltételezéssel kezdődik, hogy egy támadó már bejutott (vagy aktívan bejutni próbál) rendszereinkbe, majd kialakul egy hipotézis, hogy ez vajon, hogy történhetett. Ezt a hipotézist többek között máshonnan megfigyelt támadási vektorok, CTI források vagy akár a saját hálózatunkban megfigyelt gyanús jelenségek alapján alakítjuk ki. Ezt követően az elemző óriási mennyiségű rendszernaplót tartalmazó adathalmazt átkutatva olyan indikátorokat keres, amelyek alátámaszthatják a kialakított hipotézist. Ehhez az elemzőnek rendelkeznie kell a megfelelő eszközökkel és elegendő adathalmazzal.

Az egyik adatforrás, amely a szükséges hálózati adatokat szolgáltathatja, a packet capture. A packet capture a hálózati forgalmat alkotó csomagok lehallgatásának és naplózásának a folyamata. A packet capture szoftver vagy készülék elfogja a hálózatban mozgó csomagokat, és szükség esetén dekódolja a csomag nyers adatait és a megfelelő előírásoknak megfelelően elemzi annak tartalmát. Ez talán a legmélyrehatóbb és részletesebb adathalmaz, amit biztosíthatunk elemzőink számára. Következetesen, rendkívüli mennyiségű zajt fog tartalmazni, és így jelentős mennyiségű tárhelyet is igényel. Ennek kiküszöbölésére egyszerű megoldás lehet, ha csak akkor kapcsoljuk be a naplózást, amikor egy konkrét aktív fenyegetést keresünk, vagy esetleg szűrőket állíthatunk be, hogy csak a csomagok egyes szükséges részeit naplózzuk. Egy másik kevésbé erőforrás-igényes megoldás például a Netflow használata, amiről egy korábbi blogbejegyzésben írtunk, viszont bizonyos helyzetekben előfordulhat, hogy nem elég részletes.

A hálózati csomagok tartalma rendkívül hasznos a jól elrejtett, fejlett és perzisztens fenyegetések felismerésére. A packet capture elemzés szakértelme azonban ezoterikus terület, és az ilyen feladathoz szükséges türelmes elemzők ritkák. Egy ilyen szakértő a szervezetek számára második védelmi vonalat nyújt a legfejlettebb fenyegetések ellen is. A hálózati csomagokban végzett fenyegetésvadászat különösen fontos, mivel ezek az erőfeszítések gyakran a cyber kill chain végső fázisaira koncentrálnak. Ez azt jelenti, hogy a sikeres fenyegetésvadászat aktív támadásokat tár fel, amelyek már bejutottak a hálózatba, mielőtt komolyabb kárt okozhatnának. Egy ilyen biztonsági háló elérése nagyon nehéz a fenyegetés vadászat és a packet capture segítsége nélkül.

Az alábbi ábrán olyan csomagokat láthatunk, amely egyszerű rosszindulatú kódot tartalmaz, és a Meterpreter shell létrejöttéhez szükséges kódcserének egy részét alkotja. Ezek a csomagok nem váltottak ki riasztást a hálózatot figyelő nyílt forráskódú IDS-ből, és könnyen tévesen pozitívnak vélhető, ha csak hálózat forgalmi naplókból informálódunk. Ugyanakkor a packet capture-ben szemet szúr és a csomag legitimitása határozottan eldönthető.

Rosszindulatú csomag a Wireshark-ban.

A rosszindulatú kód újra összeállítva a csomagokból.

A packet capture hasznossága a hamis pozitív eredmények kiküszöbölése szempontjából gyakran említetlenül marad. Kérdéses riasztás esetén felettébb hasznos, hogy bele tudjunk túrni a riasztást kiváltó csomagokba. A csomagok elemzésével minimumra csökken a dwell time és lehetővé teszi a határozott döntéshozást.

Összegezve, a packet capture új dimenziókat nyit meg a fenyegetésvadászatnak, lehetővé téve a fenyegetések kétségtelen azonosítását és a hamis pozitív riasztások kiküszöbölését. Persze mindez csak akkor lehetséges, ha a kötelező tömérdek tárhelytől és a tengernyi, monoton adatcsomagoktól nem ijedünk meg.

Top