खतरा खुफिया का अवलोकन

खतरा खुफिया क्या है?

थ्रेट इंटेलिजेंस (टीआई) फीड्स खतरे परिदृश्य के अनुसार एक उद्यम की रक्षा को अनुकूलित करने के लिए हमलावर व्यवहार के बारे में महत्वपूर्ण जानकारी प्रदान करते हैं। इन फीड्स के बिना, आपकी सुरक्षा उपकरण, और आपके सुरक्षा प्रदाता द्वारा उपयोग किए गए उपकरणों में साइबर संचालन और संपत्तियों की रक्षा के लिए आवश्यक कच्चे खुफिया की कमी होगी।

लेकिन ओपन-सोर्स, साझा समुदायों और वाणिज्यिक प्रदाताओं से आने वाले, टीआई फीड्स गुणवत्ता में अत्यधिक भिन्न हैं। वे सभी ज्ञात खतरों को शामिल नहीं करते हैं और अक्सर गलत सकारात्मक होते हैं, जिससे वैध नेटवर्क ट्रैफ़िक ब्लॉक हो जाता है और व्यापार पर नकारात्मक प्रभाव पड़ता है। Cato Networks के सुरक्षा टीम ने पाया कि उद्योग सर्वोत्तम प्रथाओं को लागू करने के बाद भी, 30 प्रतिशत TI फीड्स गलत सकारात्मक या हानिकारक समझौतों के संकेतकों (IoCs) को छोड़ देंगे।

इस चुनौती को संबोधित करने के लिए, Cato ने एक उद्देश्य-निर्मित प्रतिष्ठा मूल्यांकन सिस्टम विकसित किया। सांख्यिकीय रूप से, यह मशीन लर्निंग मॉडल और AI का उपयोग करके तैयार किए गए नेटवर्किंग और सुरक्षा जानकारी को जोड़कर सभी गलत सकारात्मक को समाप्त करता है। यहाँ हमने क्या किया, और जबकि आपके पास खुद ऐसे सिस्टम को बनाने का समय और संसाधन नहीं हो सकता है, यहाँ यह प्रक्रिया है कि आप अपने नेटवर्क में इसी प्रकार कुछ कैसे कर सकते हैं।

टीआई फीड्स: सटीक पहचान की कुंजी

किसी भी सुरक्षा टीम के सामने सबसे बड़ी चुनौती व्यापार प्रक्रिया में न्यूनतम व्यवधान के साथ खतरों की पहचान और उन्हें रोकना है। हमलावरों के नवाचार की अविश्वसनीय गति और दायरा औसत उद्यम को रक्षात्मक स्थिति में डाल देता है। आईटी टीमों में अक्सर खतरों को रोकने के लिए आवश्यक कौशल और उपकरण की कमी होती है। यहां तक कि जब उनके पास ये कच्चे तत्व होते हैं, तब भी उद्यम केवल समग्र खतरा परिदृश्य का एक छोटा हिस्सा ही देखता है।

थ्रेट इंटेलिजेंस सेवाएँ इस अंतराल को भरने का दावा करती हैं, खतरों का पता लगाने और रोकने के लिए आवश्यक जानकारी प्रदान करते हुए। टीआई फीड्स में IoCs की सूची शामिल होती है, जैसे संभावित हानिकारक IP पते, URL और डोमेन्स। कई में खतरों की गंभीरता और आवृत्ति भी शामिल होगी।

अब तक, बाजार में सैकड़ों भुगतान और मुफ्त टीआई फीड्स उपलब्ध हैं। खतरा परिदृश्य का पूरा प्रसार न जानने के बिना फीड की गुणवत्ता का निर्धारण करना कठिन है। न्यूनतम गलत सकारात्मक सुनिश्चित करने के लिए सटीकता विशेष रूप से महत्वपूर्ण है। बहुत अधिक गलत सकारात्मक अनावश्यक अलर्ट का परिणाम लेते हैं जो सुरक्षा टीमों को अभिभूत कर देते हैं, जिससे वे वैध खतरों का पता लगाने में असफल होते हैं। गलत सकारात्मक व्यापार को भी बाधित करते हैं, जिससे उपयोगकर्ताओं को वैध संसाधनों तक पहुंचने से रोका जाता है।

सुरक्षा विश्लेषकों ने कई फीड्स में सामान्य IoCs को देखकर गलत सकारात्मक को रोकने की कोशिश की है। अधिक साझा IoCs वाले फीड्स को अधिक प्राधिकृत माना गया है। हालांकि, 30 टीआई फीड्स के साथ इस विधि का उपयोग करते हुए, Cato की सुरक्षा टीम ने अभी भी पाया कि जो फीड्स को सटीक माना जाएगा, उनमें से 78 प्रतिशत में कई गलत सकारात्मक शामिल होते रहे।

आकृति 1। इन मैट्रिक्स में, हम टीआई फीड्स के बीच IoC ओवरलैप की डिग्री को दिखाते हैं। हल्का रंग अधिक ओवरलैप्स और अधिक फीड सटीकता को इंगित करता है। कुल मिलाकर, 75% टीआई फीड्स ने महत्वपूर्ण ओवरलैप्स की डिग्री दिखाई।

नेटवर्किंग डेटा गलत सकारात्मक को अलग करने में मदद करता है

सुरक्षा फीड्स को और परिष्कृत करने के लिए, हमनें पाया कि हमारे सुरक्षा डेटा को नेटवर्क प्रवाह डेटा के साथ विस्तृत करना फीड सटीकता को नाटकीय रूप से सुधार सकता है। पिछले दिनों, नेटवर्किंग प्रवाह डेटा का उपयोग करना कई संगठनों के लिए अव्यावहारिक होता। महत्वपूर्ण निवेश की आवश्यकता होती सुरक्षा और नेटवर्किंग उपकरणों से घटना डेटा निकालने, डेटा सामान्य करने, डेटा संग्रहित करने के लिए और फिर वह डेटा स्टोर पूछताछ करने के लिए आवश्यक क्वेरी साधनों के लिए होती।

हालांकि, सुरक्षा एक्सेस सेवा एज (SASE) समाधान में बदलाव नेटवर्किंग और सुरक्षा को एक साथ जोड़ता है। अब सुरक्षा विश्लेषक पहले उपलब्ध नहीं था नेटवर्किंग घटना डेटा को अपने सुरक्षा विश्लेषण को समृद्ध करने के लिए उपयोग कर पाएंगे। इस क्षेत्र में विशेष रूप से मददगार होता है एक दिए गए IoC की वास्तविक उपयोगकर्ताओं के बीच लोकप्रियता।

हमारे अनुभव में, वैध ट्रैफ़िक आमतौर पर दूसरे उपयोगकर्ताओं द्वारा अधिकतम बार देखे गए डोमेन्स या आईपी पता पर समाप्त होता है। हम इसे सहज रूप से समझते हैं। उपयोगकर्ताओं द्वारा अक्सर देखी जाने वाली साइटें सामान्यतः कुछ समय के लिए चालू होती हैं। (जब तक आप अनुसंधान वातावरण से नहीं जूझ रहे हैं, जो अक्सर नए सर्वर को प्रकट करते हैं।) इसके विपरीत, हमलावर अक्सर नए सर्वर और डोमेन्स प्रकट करते हैं ताकि उन्हें पूर्वानुमानिक यूआरएल फिल्टर के द्वारा दुर्भावनापूर्ण के रूप में श्रेणीबद्ध से बचा जा सके – और इस प्रकार उन्हें अवरुद्ध किया जा सके।

इस प्रकार, वास्तविक उपयोगकर्ता किस आवृत्ति के साथ IoC लक्ष्यों को देखते हैं – जिसे हम लोकप्रियता स्कोर कहते हैं – सुरक्षा विश्लेषक उन IoC लक्ष्यों की पहचान कर सकते हैं जो गलत सकारात्मक होने की संभावना है। IoC लक्ष्यों के लिए उपयोगकर्ता ट्रैफ़िक जितना कम होता है, लोकप्रियता स्कोर उतना ही कम होता है, और लक्ष्य के दुर्भावनापूर्ण होने की संभावना अधिक होती है।

काटो में, हम मशीन लर्निंग एल्गोरिदम को डेटा वेयरहाउस के खिलाफ चलाकर लोकप्रियता स्कोर निकालते हैं, जो हमारे सभी ग्राहकों के उपयोगकर्ताओं के हर प्रवाह के मेटाडेटा से निर्मित होता है। आप अपने नेटवर्क के विभिन्न लॉग और उपकरणों से नेटवर्किंग जानकारी खींचकर कुछ इसी तरह का काम कर सकते हैं।

फीड की प्रभावशीलता को सुधारने के लिए लोकप्रियता और ओवरलैप स्कोर

TI फीड्स में पाए गए गलत सकारात्मकों को समाप्त करने के लिए, हमने दो प्रकार से फीड्स स्कोर किए: “ओवरलैप स्कोर” जो फीड्स के बीच ओवरलैपिंग IoCs की संख्या को दर्शाता है, और “लोकप्रियता स्कोर।” आदर्श रूप से, हम चाहते हैं कि TI फीड्स में उच्च ओवरलैप स्कोर हो और कम लोकप्रियता स्कोर हो। वास्तव में दुर्भावनापूर्ण IoCs कई धमकी खुफिया सेवाओं द्वारा पहचाने जाते हैं और, जैसा कि उल्लेख किया गया, वास्तविक उपयोगकर्ताओं द्वारा शायद ही कभी एक्सेस किया जाता है।

हालांकि, हमने पाया कि परिणाम बिल्कुल विपरीत था। कई TI फीड्स (30 प्रतिशत) में IoCs थे जिनके पास कम ओवरलैप स्कोर और उच्च लोकप्रियता स्कोर था। इन TI फीड्स में IoCs को अवरुद्ध करना अनावश्यक सुरक्षा अलर्ट और उपयोगकर्ताओं के लिए निराशा का कारण बनेगा।

चित्र 2। नेटवर्किंग जानकारी को शामिल करने से, हम धमकी खुफिया फीड्स में सामान्यतः पाए जाने वाले गलत सकारात्मकों को समाप्त कर सकते हैं। इस उदाहरण में, हम 30 धमकी खुफिया फीड्स (नाम हटाए गए) का औसत स्कोर देखते हैं। लाइन के ऊपर वाले को सटीक माना जाता है। स्कोर फीड की लोकप्रियता और अन्य TI फीड्स के साथ ओवरलैप की संख्या का अनुपात है। कुल मिलाकर, 30% फीड्स पाए गए जो गलत सकारात्मक शामिल करते थे।

TI फीड्स को सूक्ष्म रूप से ट्यून किया गया है – अब क्या?

नेटवर्किंग जानकारी का उपयोग करके, हम अधिकांश गलत सकारात्मकों को समाप्त कर सकते हैं, जो अकेले संगठन के लिए लाभकारी है। हालांकि, सुरक्षा प्रक्रिया में इस अंतर्दृष्टि को वापस फीड करके परिणाम और बेहतर होते हैं। एक बार जब पता किया जाता है कि कोई संपत्ति समझौता की गई है, बाहरी धमकी खुफिया स्वचालित रूप से होस्ट द्वारा बनाई गई हर संचार के साथ समृद्ध हो सकता है, नई खुफिया जानकारी उत्पन्न कर सकता है। संक्रमित होस्ट द्वारा संपर्क किए गए डोमेन्स और आईपी पता और डाउनलोड की गई फाइलें स्वचालित रूप से दुर्भावनापूर्ण के रूप में चिन्हित की जा सकती हैं और अधिक सुरक्षा के लिए सुरक्षा उपकरणों में जाने वाले IoCs में जोड़ी जा सकती हैं।

हम काटो खतरा खुफिया का लाभ कैसे उठा सकते हैं?

Cato बिना किसी रुकावट के ग्राहकों की आंतरिक खतरे की पहचान क्षमता को बढ़ाता है ताकि नेटवर्क की निगरानी कर सके और समझौता या मैलवेयर से संक्रमित एंडपॉइंट्स का पता लगा सके। क्योंकि नेटवर्क ट्रैफ़िक Cato के माध्यम से प्रवाहित हो रहा है, हम यातायात दृश्यता प्राप्त करने के लिए एजेंट या उपकरण स्थापित किए बिना लगातार खतरों का जीरो-फ़ुटप्रिंट पता प्रदान कर सकते हैं।

Cato आपके नेटवर्क और कनेक्टेड डिवाइसों का पता लगाने, जांच करने और सुरक्षित करने में मदद करने के लिए एक प्रबंधित खतरे पहचान और प्रतिक्रिया (MDR) सेवा प्रदान करता है। Cato MDR मशीन लर्निंग अल्गोरिद्म का संयोजन का उपयोग करता है जो नेटवर्क ट्रैफ़िक में समझौते के इंडिकेटर की खोज करता है, और पता लगाई गई विसंगतियों की मानव जांच। फिर Cato विशेषज्ञ ग्राहकों को समझौता किए गए एंडपॉइंट्स को ठीक करने के लिए मार्गदर्शन करते हैं।

MDR सेवा के बारे में अधिक जानकारी के लिए, यहां क्लिक करें।