Rola telemetrii sieciowej w wykrywaniu zagrożeń
Dostęp zarówno do wewnętrznych, jak i zewnętrznych zasobów sieciowych ma fundamentalne znaczenie dla działania nowoczesnego złośliwego oprogramowania, dlatego jest on wykorzystywany w niemal każdej fazie cyklu życia ataku — od rozpoznania i początkowej infekcji, do późniejszego dowodzenia i kontroli (C2), ruchu bocznego, zbierania danych i ich eksfiltracji.
Analiza złośliwego oprogramowania oparta wyłącznie na sygnaturach to starsze podejście, które wymaga zainfekowania przynajmniej jednego użytkownika („owcy ofiarnej”), aby antywirus (AV) mógł uzyskać próbkę złośliwego oprogramowania w celu utworzenia sygnatury, której wdrożenie za pomocą aktualizacji zajmuje więcej czasu. Bardziej wydajna i szczelna metoda wykrywania zagrożeń umożliwia modelowanie „normalnego” – zwyczajowego, zachowania sieci organizacji, jej użytkowników końcowych i punktów końcowych, z których korzystają w celu uzyskania legalnego dostępu. Dzięki czemu można wykryć nietypowe zachowanie wywołane przez złośliwe oprogramowanie — nawet w przypadkach, gdy szczególny tryb ataku jest nowy i nie ma jeszcze znanej sygnatury lub celowo wykorzystuje elastyczny C2, aby zminimalizować możliwość zidentyfikowania odrębnej, trwałej sygnatury i użycia jej, jako podstawy do późniejszego wykrywania i usuwania wątków.
Rola AI/ML w wykrywaniu zagrożeń
Sztuczna inteligencja (AI) i uczenie maszynowe (ML) odgrywają ważną rolę w wykrywaniu zagrożeń w oparciu o zdolność do modelowania zwyczajowego zachowania organizacji i jej użytkowników, a następnie wykrywania anomalii, które nie pasują do zachowania żadnego użytkownika wewnątrz organizacji lub przewidywać, czy dane zachowanie sieciowe ma mniejsze lub większe prawdopodobieństwo skojarzenia z konkretnym użytkownikiem.
To połączenie ogólnego wykrywania anomalii na podstawie modelu i przewidywania specyficznego dla użytkownika, może pomóc w zmniejszeniu liczby zarówno fałszywych alarmów, jak i zwiększeniu liczby prawdziwych wykryć.
Na przykład mogą wystąpić przypadki, w których określony wzorzec jest stosunkowo nietypowy dla całej organizacji (na przykład wysoce wyspecjalizowana rola, która korzysta z aplikacji i usług unikalnych dla tej roli), ale jest silnie powiązany z określonym użytkownikiem lub małą grupą użytkowników. W takich przypadkach wysokie prawdopodobieństwo predykcyjne dla konkretnego użytkownika lub grupy może spowodować, że obniżysz wynik ryzyka i unikniesz fałszywych alarmów, nawet jeśli zachowanie jest stosunkowo nietypowe.
Podejście BlackBerry do modelowania zagrożeń sieciowych
Podejście BlackBerry do modelowania zagrożeń sieciowych opiera się na połączeniu wykrywania nietypowego dostępu, modelowaniu predykcyjnym zachowania, analizie statystycznej i wykrywaniu złośliwego oprogramowania.
Złośliwy Insider
W przypadku złośliwych insiderów samo wykrywanie nietypowego dostępu i predykcyjne modelowanie zachowań może być mniej skuteczne, ponieważ złośliwy insider często dostosowuje się do swoich wcześniejszych zachowań i może mieć wiele cech wspólnych z normalnym dostępem (zarówno dla złośliwego insidera, jak i dla całej organizacji). Aby temu zaradzić, zaprojektowano model matematyczny BlackBerry do przechwytywania metadanych, które mogą być wykorzystane do oceny nie tylko tego, czy dany dostęp jest niebezpieczny, ale także czy istnieje długoterminowy wzorzec eksfiltracji w przypadku zdarzeń wielokrotnego dostępu.
Dotyczy to przypadków, w których każdy dostęp może nie być szczególnie nietypowy dla organizacji lub konkretnego złośliwego insidera, ale mimo to istnieje wykrywalny wzorzec ustalony w czasie, który jest anomalny i wykrywalny, szczególnie gdy złośliwy insider jest porównywany z innymi niezłośliwymi insiderami. Na przykład niezadowolony sprzedawca planujący odejście z organizacji może zaangażować się w systematyczne wydobywanie danych CRM przez dłuższy czas — ilość danych związanych z każdym zdarzeniem dostępu nie jest niczym niezwykłym, ale pobrana ilość lub bieżący wzorzec dostępu jest inny, zróżnicowany w porównaniu z innymi sprzedawcami.
Złośliwy outsider
W przypadku osób z zewnątrz np. tych, którzy albo uzyskują dostęp do odblokowanego urządzenia w wyniku kradzieży lub podstępu, albo uzyskują dostęp do danych uwierzytelniających osoby z zewnątrz, wykrywanie anomalnego dostępu i modelowanie zachowań z predykcją jest bardzo skuteczne, ponieważ jest znacznie mniej prawdopodobne, że zachowanie osoby z zewnątrz będzie stale dostosowywać się do modelowanego zachowania zaatakowanego użytkownika — nawet jeśli czasami jest zgodne z zachowaniami użytkowników w całej organizacji, takimi jak logowanie się w „typowych” godzinach pracy.
Wysłanie uwierzytelniania tożsamości w odpowiedzi na anomalne i mało prawdopodobne zachowania dostępu może natychmiast zatrzymać takie ataki, zwłaszcza jeśli uwierzytelnianie jest biometryczne (np. oparte na „przesłaniu” wyzwania do połączonego urządzenia mobilnego, które wymaga od użytkownika skanowania linii papilarnych lub uwierzytelniania opartego na rozpoznawaniu twarzy).
Ponadto zostanie przeprowadzona ta sama analiza „z upływem czasu”, w przypadku informacji poufnych, aby zabezpieczyć się przed wyjątkowymi przypadkami, w których zagrożony został dostęp oparty na danych biometrycznych.
Złośliwe oprogramowanie — Malware
Nietypowy lub mało prawdopodobny dostęp do punktu końcowego przez złośliwe oprogramowanie może włączać uwierzytelniania, które ostrzegają uprawnionego użytkownika o podejrzanej aktywności i dają użytkownikowi końcowemu możliwość zatrzymania dostępu i zaalarmowania zespołu ds. bezpieczeństwa. Ponadto złośliwe oprogramowanie i powiązany z nim C2 wykazują wzorce sieciowe, które są nietypowe dla zachowania zgodnego z prawem, sterowanego przez użytkownika i mogą być oddzielnie modelowane i wykrywane w celu zapewnienia dalszej ochrony — nawet w przypadkach, gdy uprawniony użytkownik nie odrzuca podejrzanych prób dostępu.
Model wykrywania anomalii BlackBerry został specjalnie zaprojektowany do przechwytywania dodatkowych metadanych, np. na podstawie zapytań i odpowiedzi DNS, certyfikatów TLS i wykorzystania HTTP, które są następnie wykorzystywane, jako podstawa do jawnego wykrywania złośliwego oprogramowania.
Ocena ryzyka
Jak opisano powyżej, ocena ryzyka BlackBerry opiera się na podejściu zespołowym, które następnie znajduje odzwierciedlenie w punktacji ryzyka, gdzie:
- Obliczany jest ogólny wynik ryzyka.
- Zidentyfikowano czynniki ryzyka wpływające na wynik.
- Dodatkowy kontekst jest dostarczany z wynikiem, aby zespół ds. cyberbezpieczeństwa mógł lepiej odpowiadać.
Ostatni punkt jest szczególnie ważny, ponieważ wiele modeli AI/ML może zapewnić wynik lub prawdopodobieństwo w odpowiedzi na określone dane wejściowe, ale nie jest w stanie w sposób sensowny i przejrzysty zapewnić dalszego kontekstu na temat tego, „co” w danych wejściowych doprowadziło do wyniku i „dlaczego”.Ta cecha jest często określana jako „wyjaśnialność”. Model wykrywania anomalii sieciowych BlackBerry i związane z nim przechwytywanie metadanych zostały wyraźnie zaprojektowane, aby zapewnić jak najwięcej znaczącego „kontekstu”, tak aby wyniki punktacji były, jak najlepiej „wyjaśnione”.
Adaptacyjna Polityka Ryzyka
Zasady dotyczące ryzyka są stosowane jako adaptacja, w oparciu o kombinację wyniku oceny ryzyka, poszczególnych zaangażowanych czynników oraz – w stosownych przypadkach – wyniku każdego zakwestionowania tożsamości. Jest to ważne, ponieważ nie wszystkie dostosowania polityki są odpowiednie dla wszystkich czynników ryzyka.
Na przykład, jeśli wykryjemy schemat eksfiltracji poufnych danych „z biegiem czasu”, który może wskazywać na złośliwego insidera, wyzwanie tożsamości nie miałoby sensu. Zamiast tego zespołu ds. bezpieczeństwa może chcieć zablokować cały dostęp lub po prostu „alarmować” wykrycie z dalszymi działaniami w oczekiwaniu na wynik dochodzenia.
Rozszerzenie wykrywania i odpowiedzi dzięki XDR
Pierwsze wdrożenie BlackBerry koncentruje się na punktacji i umożliwieniu adaptacyjnej reakcji na czynniki ryzyka sieciowego, jak opisano powyżej. Wraz z rozwojem rozwiązań takich jak BlackBerry CylanceGateway i CyalnceOptics, rozszerzane są możliwości extended Detection and Response (XDR) w oparciu o skorelowanie sieciowych czynników ryzyka z innymi czynnikami, w celu dalszej optymalizacji wykrywania i reagowania.
Zadbaj o cyberbezpieczeństwo swojej organizacji!
