Os feeds de Inteligência sobre Ameaças (TI) fornecem informações críticas sobre o comportamento do atacante para adaptar as defesas de uma empresa ao cenário de ameaças. Sem esses feeds, suas ferramentas de segurança, e aquelas usadas pelo seu provedor de segurança, careceriam da inteligência bruta necessária para defender as operações e ativos cibernéticos.
Mas, vindo de comunidades compartilhadas de código aberto e de provedores comerciais, os feeds de TI variam muito em qualidade. Eles não abrangem todas as ameaças conhecidas e frequentemente contêm falsos positivos, levando ao bloqueio de tráfego de rede legítimo e impactando negativamente o negócio. A equipe de segurança da Cato Networks descobriu que, mesmo aplicando as Melhores Práticas do setor, 30 por cento dos feeds de TI conterão falsos positivos ou deixarão de detectar Indicadores de Comprometimento (IoCs) maliciosos.
Para enfrentar esse desafio, a Cato desenvolveu um Sistema de Avaliação de Reputação desenvolvido para este fim. Estatisticamente, ele elimina todos os falsos positivos usando modelos de aprendizado de máquina e IA para correlacionar informações de rede e segurança prontamente disponíveis. Aqui está o que fizemos e, embora você possa não ter tempo e recursos para construir um sistema assim, aqui está o processo para fazer algo similar em sua rede.
O maior desafio enfrentado por qualquer equipe de segurança é identificar e parar ameaças com mínima interrupção no processo de negócios. O amplo escopo e o ritmo de inovação dos atacantes colocam a empresa média na defensiva. As equipes de TI muitas vezes carecem das habilidades e ferramentas necessárias para parar ameaças. Mesmo quando possuem esses ingredientes brutos, as empresas veem apenas uma pequena parte do cenário de ameaças como um todo.
Os serviços de inteligência sobre ameaças afirmam preencher essa lacuna, fornecendo as informações necessárias para detectar e parar ameaças. Os feeds de TI consistem em listas de IoCs, como endereços IP, URLs e domínios potencialmente maliciosos. Muitos também incluirão a gravidade e a frequência das ameaças.
Até agora, o mercado tem centenas de feeds de TI pagos e gratuitos. Determinar a qualidade do feed é difícil sem conhecer o escopo completo do cenário de ameaças. A precisão é particularmente importante para garantir mínimos falsos positivos. Muitos falsos positivos resultam em alertas desnecessários que sobrecarregam as equipes de segurança, impedindo-os de identificar ameaças legítimas. Falsos positivos também interrompem os negócios, impedindo que os usuários acessem recursos legítimos.
Os analistas de segurança tentaram evitar falsos positivos observando os IoCs comuns entre vários feeds. Feeds com mais IoCs compartilhados são considerados mais autoritativos. No entanto, usando essa abordagem com 30 feeds de TI, a equipe de segurança da Cato ainda descobriu que 78 por cento dos feeds que seriam considerados precisos continuaram a incluir muitos falsos positivos.
Figura 1. Neste matriz, mostramos o grau de sobreposição de IoCs entre os feeds de TI. A cor mais clara indica mais sobreposições e maior precisão do feed. No geral, 75% dos feeds de TI mostraram um grau significativo de sobreposição.
Para refinar ainda mais os feeds de segurança, descobrimos que aumentar nossos dados de segurança com dados de fluxo de rede pode melhorar drasticamente a precisão dos feeds. No passado, aproveitar dados de fluxo de rede teria sido impraticável para muitas organizações. Seria necessário um investimento significativo para extrair dados de eventos de dispositivos de segurança e rede, normalizar os dados, armazenar os dados e depois ter as ferramentas de consulta necessárias para interrogar esse armazenamento de dados.
No entanto, a mudança para soluções Secure Access Service Edge (SASE) converge redes e segurança juntas. Os analistas de segurança agora poderão aproveitar dados de eventos de rede anteriormente indisponíveis para enriquecer suas análises de segurança. Particularmente útil nessa área é a popularidade de um dado IoC entre os usuários reais.
Com base em nossa experiência, o tráfego legítimo normalmente termina em domínios ou endereços IP frequentemente visitados por usuários. Nós intuitivamente entendemos isso. Os sites frequentemente visitados por usuários geralmente estão operacionais há algum tempo. (A menos que você esteja lidando com ambientes de pesquisa, que frequentemente instanciam novos servidores.) Por outro lado, os atacantes frequentemente instanciam novos servidores e domínios para evitar serem categorizados como maliciosos – e, portanto, serem bloqueados – por filtros de URL.
Como tal, ao determinar a frequência com que usuários reais visitam alvos IoC – o que chamamos de pontuação de Popularidade – os analistas de segurança podem identificar alvos IoC que provavelmente sejam falsos positivos. Quanto menos tráfego de usuário destinado a um alvo IoC, menor a pontuação de Popularidade e maior a probabilidade de que o alvo provavelmente seja malicioso.
Na Cato, derivamos a pontuação de Popularidade executando algoritmos de aprendizado de máquina contra um armazém de dados, que é construído a partir dos metadados de cada fluxo de todos os usuários de nossos clientes. Você pode fazer algo similar extraindo informações de rede de vários logs e equipamentos em sua rede.
Para isolar os Falsos Positivos encontrados nos feeds de TI, pontuamos os feeds de duas maneiras: "Pontuação de Sobreposição" que indica o número de IoCs sobrepostos entre os feeds, e "Pontuação de Popularidade" Idealmente, gostaríamos que os feeds de TI tivessem uma alta Pontuação de Sobreposição e uma baixa Pontuação de Popularidade. IoCs verdadeiramente maliciosos tendem a ser identificados por múltiplos serviços de inteligência sobre ameaças e, como já mencionado, são acessados raramente pelos usuários reais.
No entanto, o que encontramos foi exatamente o oposto. Muitos feeds de TI (30 por cento) tinham IoCs com baixas Pontuações de Sobreposição e altas Pontuações de Popularidade. Bloquear os IoCs nesses feeds de TI levaria a alertas de segurança desnecessários e frustraria os usuários.
Figura 2. Ao incorporar informações de redes, poderíamos eliminar falsos positivos tipicamente encontrados em feeds de inteligência de ameaças. Neste exemplo, vemos a pontuação média de 30 feeds de inteligência de ameaças (nomes removidos). Aqueles acima da linha são considerados precisos. A pontuação é uma proporção da popularidade do feed com o número de sobreposições com outros feeds de TI. No geral, foi constatado que 30% dos feeds continham falsos positivos.
Usando informações de redes, poderíamos eliminar a maioria dos falsos positivos, o que por si só é benéfico para a organização. Os resultados são ainda mais aprimorados ao alimentar esse insight de volta ao processo de segurança. Uma vez que um ativo é reconhecido como comprometido, a inteligência de ameaças externa pode ser enriquecida automaticamente com cada comunicação que o host criar, gerando inteligência nova. Os domínios e IPs que o host infectado contatou, e os arquivos baixados, podem ser automaticamente marcados como maliciosos e adicionados aos IoCs indo para dispositivos de segurança para uma proteção ainda maior.
Cato estende de forma contínua as capacidades internas de detecção de ameaças dos clientes, monitorando a rede para pontos finais comprometidos e infectados por malware. Como o tráfego de rede flui através da Cato, podemos oferecer uma detecção de ameaças persistentes sem pegadas, sem instalar agentes ou equipamentos para obter visibilidade do tráfego.
Cato oferece um serviço de Managed Threat Detection and Response (MDR) para ajudar a detectar, investigar e proteger sua rede e dispositivos conectados. Cato MDR usa uma combinação de algoritmos de aprendizado de máquina que analisam o tráfego de rede em busca de indicadores de compromisso, e verificação humana de anomalias detectadas. Em seguida, os especialistas da Cato orientam os clientes na remediação de pontos finais comprometidos.
Para mais informações sobre o serviço MDR, clique aqui.
0 comentário
Por favor, entre para comentar.