Потоки Информации об Угрозах (TI) предоставляют важнейшую информацию о поведении злоумышленников для адаптации защитных механизмов организации к ландшафту угроз. Без этих потоков ваши инструменты безопасности и те, что используются вашим поставщиком безопасности, будут лишены необходимой базовой информации для защиты киберопераций и активов.
Однако, поскольку они поступают из проектов с открытым исходным кодом, совместных сообществ и коммерческих поставщиков, источники TI существенно различаются по качеству. Они не охватывают все известные угрозы и часто содержат ложные срабатывания, что приводит к блокировке легитимного сетевого трафика и негативно сказывается на бизнесе. Команда безопасности в Cato Networks обнаружила, что даже после применения лучших практик отрасли, 30% потоков TI будут содержать ложные срабатывания или пропускать вредоносные индикаторы компрометации (IoC).
Чтобы решить эту проблему, Cato разработала систему оценки репутации, специально разработанную для этой цели. Статистически, она устраняет все ложные срабатывания, используя модели машинного обучения и AI для корреляции доступной информации о сетевом оборудовании и безопасности. Вот что мы сделали, и хотя у вас может не быть времени и ресурсов для создания такой системы самостоятельно, вот процесс, как вы можете сделать что-то подобное в своей сети.
Самая большая проблема, с которой сталкивается любая команда безопасности, — это идентификация и остановка угроз с минимальным нарушением бизнес-процесса. Огромный объем и скорость инноваций злоумышленников ставят среднее предприятие в оборонительную позицию. IT-командам часто не хватает необходимых навыков и инструментов для остановки угроз. Даже когда они обладают такими исходными данными, предприятия видят лишь небольшую часть общей картины угроз.
Услуги по информации об угрозах утверждают, что они заполняют этот пробел, предоставляя необходимую информацию для обнаружения и остановки угроз. Потоки TI состоят из списков IoC, таких как потенциально вредоносные IP-адреса, URL и домены. Многие также будут включать серьезность и частоту угроз.
На данный момент на рынке существуют сотни платных и бесплатных потоков TI. Определить качество потока сложно, не зная полного охвата ландшафта угроз. Точность особенно важна для обеспечения минимального количества ложных срабатываний. Слишком много ложных срабатываний приводит к ненужным оповещениям, которые перегружают команды безопасности, мешая им обнаружить легитимные угрозы. Ложные срабатывания также нарушают бизнес, предотвращая доступ пользователей к легитимным ресурсам.
Аналитики безопасности пытались предотвратить ложные срабатывания, изучая общие IoC среди нескольких потоков. Источники с большим количеством общих IoC считаются более авторитетными. Однако, используя этот подход с 30 потоками TI, команда безопасности Cato всё же обнаружила, что 78% потоков, которые бы считались точными, продолжают включать множество ложных срабатываний.
Рисунок 1. В этой матрице мы показываем степень перекрытия IoC между потоками TI. Светлый цвет указывает большее количество перекрытий и более высокую точность потока. В целом, 75% потоков TI показали значительное количество перекрытий.
Для дальнейшего совершенствования потоков безопасности мы обнаружили, что расширение наших данных безопасности данными о сетевом трафике может значительно улучшить точность потоков. В прошлом использование данных сетевого трафика было бы непрактичным для многих организаций. Потребовались бы значительные инвестиции для извлечения данных о событиях из устройств безопасности и сетевого оборудования, нормализации данных, хранения данных, а затем использования необходимых инструментов запроса для работы с этой базой данных.
Переход к решениям Secure Access Service Edge (SASE), однако, объединяет сетевое оборудование и безопасность вместе. Теперь аналитики безопасности смогут воспользоваться ранее недоступными данными о сетевых событиях для обогащения своего анализа безопасности. Особенно полезной в этой области является популярность данного IoC среди реальных пользователей.
По нашему опыту, законный трафик преимущественно заканчивается на доменах или IP-адресах, которые часто посещаются пользователями. Мы интуитивно понимаем это. Сайты, которые часто посещаются пользователями, обычно функционируют уже некоторое время. (Если, конечно, вы не имеете дело с исследовательскими средами, где часто создаются новые серверы.) С другой стороны, злоумышленники часто создают новые серверы и домены, чтобы избежать категории «вредоносных» – и, следовательно, блокировок – фильтрами URL.
Таким образом, определяя частоту посещений реальными пользователями целей IoC – то, что мы называем рейтингом популярности – аналитики безопасности могут выявлять цели IoC, которые, скорее всего, являются ложными срабатываниями. Чем меньше пользовательского трафика направлено на цель IoC, тем ниже рейтинг популярности и выше вероятность, что цель, скорее всего, является вредоносной.
В Cato мы вычисляем популярность, запуская алгоритмы машинного обучения в дата-центре, который создан на основе метаданных каждого потока от всех пользователей наших клиентов. Вы могли бы сделать что-то подобное, извлекая информацию о сети из различных журналов и оборудования в вашей сети.
Чтобы изолировать Ложное срабатывание, обнаруженное в TI-потоках, мы оценили потоки двумя способами: «Оценка перекрытия», которая указывает на количество пересекающихся IoC между потоками, и «Оценка Популярность» Идеально, мы бы хотели, чтобы TI-потоки имели высокую оценку перекрытия и низкую оценку популярности. По-настоящему вредоносные IoC склонны к идентификации несколькими службами угрозоинформирования и, как отмечено, редко используются реальными пользователями.
Однако, что мы обнаружили, было совершенно наоборот. Многие TI-потоки (30 процентов) содержали IoC с низкими оценками перекрытия и высокими оценками популярности. Блокирование IoC в этих TI-потоках приведет к ненужным оповещениям безопасности и вызовет неудовольствие у пользователей.
Рисунок 2. Учитывая информацию о сетевом оборудовании, мы можем устранить ложные срабатывания, обычно встречающиеся в потоках угрозоинформирования. В этом примере мы видим средний балл 30 потоков угрозоинформирования (названия удалены). Те, что выше линии, считаются точными. Оценка - это соотношение популярности потока к количеству перекрытий с другими TI-потоками. В целом, было обнаружено, что 30% потоков содержат ложные срабатывания.
Используя информацию о сетевом оборудовании, мы сможем устранить большинство ложных срабатываний, что само по себе является преимуществом для организации. Тем не менее, результаты могут быть улучшены, если вернуть эти идеи в процесс безопасности. Как только актив определяется как скомпрометированный, внешнее угрозоинформирование может быть автоматически обогащено каждой созданной хостом коммуникацией, создавая новую информацию. Домены и IP-адреса, с которыми контактирует инфицированный хост, а также загруженные файлы могут быть автоматически помечены как вредоносные и добавлены в IoC для дальнейшей защиты.
Cato бесшовно продлит режим отладки Клиентов внутренние возможности обнаружения Угрозы для постоянного мониторинг Сети на скомпрометированные, зараженные вредоносным ПО Конечные точки. Поскольку сетевой трафик проходит через Cato, мы можем обеспечить обнаружение постоянных угроз с нулевым следом без установки агентов или устройств для получения видимости трафика.
Cato предлагает услугу по управлению обнаружением и реагированием на угрозы (MDR), чтобы помочь в обнаружении, расследовании и защите вашей сети и подключенных устройств. Cato MDR использует комбинацию алгоритмов машинного обучения, которые анализируют сетевой трафик для выявления индикаторов компрометации, и ручную проверку обнаруженных аномалий. Затем эксперты Cato направляют клиентов по устранению скомпрометированных конечных точек.
Для получения дополнительной информации о службе MDR нажмите здесь.
0 комментариев
Войдите в службу, чтобы оставить комментарий.