Manual de Segurança XOps - Scanners e Vulnerabilidades

Este manual descreve como usar a Bancada de Trabalho de Histórias para investigar histórias baseadas em vulnerabilidades e atividades de escaneamento.

Visão Geral

Este manual descreve uma abordagem sistemática para engenheiros SOC investigarem potenciais incidentes de segurança relacionados a atividades de escaneamento e vulnerabilidades. Ele fornece um framework para reunir informações iniciais, analisar tráfego de rede e tirar conclusões sobre a natureza da ameaça.

O manual ajuda você a identificar os diferentes estágios de um ataque na rede para ataques baseados em atividade de escaneamento e exploração de vulnerabilidades. Estas são algumas das táticas comumente associadas a esses ataques:

Reconhecimento
Acesso inicial
Escalonamento de privilégios
Movimentação lateral
Exfiltração

Identificação de Scanners e Histórias de Vulnerabilidades

Os motores XOps identificam histórias de scanners e vulnerabilidades principalmente com base em assinaturas de IPS que correspondem a comportamentos de ameaça específicos. Compreender o comportamento que acionou a história lhe dá uma ideia melhor de como investigá-la. A tabela a seguir mostra os formatos para diferentes assinaturas de IPS para esses tipos de história e descreve o comportamento potencialmente malicioso que coincide com a assinatura.

Assinatura IPS	Explicação
cid_cve_*	Vulnerabilidades com identificador CVE
cid_vuln_*	Vulnerabilidades sem identificador CVE
cid_scan_*	Para scanners de rede
cid_waf_*	Para scanners de rede e vulnerabilidades direcionadas a serviços web
feed_cid_cve_*	Para fontes de inteligência de ameaça específicas relacionadas a vulnerabilidades
feed_threat_scanner*	Para tráfego de entrada associado a IPs que foram classificados como Scanners de Ameaça

Fluxo de Investigação

Esta seção explica o fluxo de investigação para identificar um ataque que se originou de uma atividade de escaneamento ou tentativa de exploração de vulnerabilidade.

Etapa 1 - Coletando Informações Iniciais sobre a Ameaça

Use o widget Detalhes na história para coletar informações básicas sobre a potencial ameaça. Revise a Descrição da história. Isso pode ajudar a focar a investigação com base na lógica que gerou a história. Além disso, a seção Histórias Similares mostra outras histórias que compartilham indicadores e observáveis semelhantes.

Para decidir se uma investigação adicional é necessária, reveja dados adicionais, por exemplo:

Direção: Isso impacta o processo de investigação, para mais informações veja Etapa 3 - Investigando de acordo com a Direção.
Origem/Alvo: Esta aba exibe dados sobre os dispositivos impactados.

Nota: Para histórias de entrada, o Alvo refere-se ao host afetado, enquanto a Origem refere-se ao objeto investigado localizado fora do Cato. Isso pode ser ocasionalmente causado por dispositivos ou locais que não estão configurados como parte da rede Cato, ou por erros de configuração.
Catálogo de Indicações: Isso pode ajudar a entender a lógica da indicação.

Etapa 2 - Identificando o Tipo de Ameaça

Em uma História de Scanner, você pode identificar o tipo de scanner com base na assinatura que acionou a história e na aplicação indicada na assinatura. Esses podem ser associados a um tipo específico como Nessus ou Qualys, ou baseados em um serviço/aplicação genérico e quantidade de tráfego.

Em uma História de Vulnerabilidade, as referências nos eventos ajudam você a entender a vulnerabilidade e a focar a investigação nos IOCs relevantes.

O campo Referência de Ameaça no evento fornece o link para consultar a ameaça no Banco Nacional de Vulnerabilidades.

Etapa 3 - Investigando de acordo com a Direção

A Direção da história impacta os próximos passos na investigação:

História de Escaneamento/ Vulnerabilidade de Entrada

O propósito desta etapa da investigação é identificar e verificar a possibilidade de uma tentativa de Coleta de Informação/ Infiltração por um adversário externo.

Na tabela de Fontes, examine as fontes identificadas para verificar sua intenção maliciosa potencial:

Análise de Parâmetros da Tabela para Avaliação de Risco: Avalie parâmetros como o escore malicioso, popularidade, categorias associadas e o número de fontes de inteligência de ameaça associadas à fonte para determinar a probabilidade da fonte ser maliciosa.
Use Links de Fonte para Busca Externa: Faça uma busca externa usando os links de fonte em motores de busca e bancos de dados de segurança de terceiros respeitáveis. Procure por qualquer contexto histórico, associações ou indicadores de comportamento malicioso ligados à fonte. Correlacione os dados coletados para identificar conexões entre as fontes e outras entidades e tente determinar se há ligações com atores conhecidos de ameaças, campanhas ou técnicas.
Fluxos/Eventos Relacionados ao Ataque: Use a tabela designada para inspecionar amostras de fluxos de dados não processados correspondentes à história acionada. Analise pontos de dados suplementares dos fluxos, como URLs, agentes de usuário, nomes de arquivos e atributos relevantes adicionais e compare esses parâmetros com as descobertas das etapas anteriores da investigação para obter insights sobre o veredicto final da fonte comunicante.

Depois de entender o tipo de ameaças com base nos eventos relacionados da história, é importante aprofundar nos eventos relacionados para obter informações adicionais sobre o tráfego. Por exemplo:

Verificando o tráfego e classificando como verdadeiro positivo ou verdadeiro negativo com base na referência da assinatura correlacionando com os dados encontrados nos eventos.
Compreendendo o escopo da ameaça:
- Verifique por tráfego adicional da fonte comunicante para entender se esta comunicação é nova ou já foi vista antes.
- Verifique por fontes adicionais com características de tráfego semelhantes (aplicação, porta de destino)
- Verifique por alvos/hosts adicionais que foram comunicados pela fonte investigada
- Verifique as diferenças entre os eventos, como diferentes URLs, portas de destino, método de solicitação, etc.
- Verifique se o tráfego foi bloqueado com base no campo de Ação

Conclusão

Para investigações de Scanners, existem várias classificações de scanners conhecidos e métodos de escaneamento, como:

Nessus
Nmap
Xmas
Varredura de Ping

Para investigações de vulnerabilidades, existem classificações de vulnerabilidades conhecidas, como:

Injeção SQL
Injeção Cross-Site Scripting (XSS Injection)

Se a vulnerabilidade específica na história não existir na lista de classificações, você pode adicioná-la localmente à sua conta clicando em Novo e preenchendo os campos relevantes.

Caso a história seja um verdadeiro positivo e não tenha sido bloqueada, é altamente recomendado adicionar as fontes investigadas à lista de bloqueio da política RPF. Para mais informações, veja Configurando Redirecionamento de Porta Remota para a Conta.

Caso a história seja um falso positivo, você pode classificá-la como Benigna/Informacional e também adicioná-la a uma regra de Histórias Silenciadas. (Se a história for resultado de um scan/teste de penetração legítimo, é recomendado adicionar a uma regra de Histórias Silenciadas por um intervalo de tempo específico.)

História de Escaneamento/ Vulnerabilidade de Saída

O objetivo da investigação é identificar e verificar possíveis casos de exfiltração, tráfego de Comando & Controle, atividade de botnet, etc.

Na tabela de Alvos, examine os alvos identificados para verificar sua intenção maliciosa potencial:

Análise de Parâmetros da Tabela para Avaliação de Risco: Avalie parâmetros como o escore malicioso, popularidade, categorias associadas e o número de fontes de inteligência de ameaça associadas ao alvo para determinar a probabilidade do alvo ser malicioso.
Use Links de Alvo para Busca Externa: Em casos de atividade de escaneamento de saída, a investigação de alvos pode ser difícil, já que a maioria dos alvos comunicados não é reconhecida por muitos motores de segurança e carece de dados externos.

No entanto, é recomendado usar fontes externas para encontrar o máximo de contexto possível usando qualquer contexto histórico, associações ou indicadores de comportamento malicioso ligados ao alvo. Correlacione os dados coletados para identificar conexões entre os alvos e outras entidades e tente determinar se há ligações com atores conhecidos de ameaças, campanhas ou técnicas.
Fluxos/Eventos Relacionados ao Ataque: Use a tabela designada para inspecionar amostras de fluxos de dados não processados correspondentes à história acionada. Analise pontos de dados suplementares dos fluxos, como portas de destino, aplicações, URLs, agentes de usuário, países de destino, e atributos relevantes adicionais, e compare esses parâmetros com as descobertas da investigação anterior para obter insights sobre o veredicto final do alvo em comunicação.

Após entender o tipo de ameaças com base nos eventos relacionados à história, é importante aprofundar os eventos relacionados para obter informações adicionais sobre o tráfego. Por exemplo:

Verificando o tráfego e classificando-o como verdadeiro positivo ou verdadeiro negativo com base na referência da assinatura correlacionando com os dados encontrados nos eventos.
Entendendo o escopo da ameaça:
- Verifique se há tráfego adicional do alvo de comunicação para entender se esta comunicação é nova ou já foi visualizada.
- Verifique alvos adicionais com características de tráfego semelhantes (aplicação, porta de destino)
- Verifique alvos/hosts adicionais que foram comunicados pelo alvo investigado
- Verifique as diferenças entre os eventos, como URLs diferentes, portas de destino diferentes, método de solicitação, etc.
- Verifique se o tráfego foi bloqueado com base no campo Ação
Conclusão

Para investigações de scanner, existem múltiplas classificações de scanners conhecidos e métodos de varredura, tais como:
- Varredura ICMP
- Varredura SYN
- Varredura SMTP
Para investigações de vulnerabilidades, existem classificações de vulnerabilidades conhecidas, como:
- Injeção de SQL
- Injeção de Scripts Entre Sites (Injeção XSS)
Caso a vulnerabilidade específica encontrada para a história não exista na lista de classificação, você pode adicioná-la localmente clicando em Nova e preenchendo os campos relevantes.

Caso a história seja um verdadeiro positivo e não tenha sido bloqueada, é altamente recomendado adicionar os alvos investigados a uma regra de bloqueio de firewall de Internet. Além disso, para casos onde a assinatura IPS está na lista de permissões, é recomendado bloqueá-la usando uma regra de firewall ou editar a regra de permissão IPS para incluir apenas alvos conhecidos.

Caso a história seja um falso positivo, você pode classificá-la como Benigna/Informacional e também adicioná-la a uma regra de Histórias Silenciadas. Caso a história resulte de uma varredura legítima/teste de penetração, é recomendado adicionar a uma regra de Histórias Silenciadas para um intervalo de tempo específico.

História de Varredura/Vulnerabilidade WANbound

O objetivo da investigação é identificar e verificar possíveis casos de exfiltração, movimento lateral, escalonamento de privilégios, etc.

A tabela de Alvos pode fornecer visibilidade para todos os alvos comunicados.

Utilize a tabela para inspecionar as amostras de fluxo de dados não processadas correspondentes à história acionada. Analise pontos de dados suplementares dos fluxos, como URLs, agentes de usuário, nomes de arquivos e atributos relevantes adicionais, e compare esses parâmetros com as descobertas dos passos de investigação anteriores e obtenha insights sobre o veredicto final da origem em comunicação.