نموذج جديد لصيد التهديدات السيبرانية

http://www.differentpackage.com/blog/wp-content/uploads/2018/06/paradigm-threat-hunting.png

لم يعد خافيا أن تتوقع الضوابط الأمنية لمنع كل ناقلات العدوى أمر غير واقعي. لمعظم المنظمات، وهناك احتمالات عالية جداً أن التهديدات قد تغلغلت الفعل دفاعاتهم ويختبئون في شبكة الاتصال الخاصة بهم.

إبراز هذه التهديدات بسرعة أمر ضروري، ولكن النهج التقليدية للعثور على هذه الإبر في كومة قش غالباً ما تقصر.

والآن هناك فرصة فريدة من نوعها لقدرات الصيد التهديد أكثر جدوى وأكثر فعالية، وهو نابع من مجهود الأكثر غرابة: إعادة التفكير في نهج شبكة منطقة واسعة.

عندما ننظر إلى القتل السيبرانية-السلسلة اليوم، هناك مرحلتان الرئيسية – العدوى والإصابة فيما بعد. خبراء الأمن الاعتراف بأن المنظمات يمكن أن يصاب بغض النظر عن كيف ضوابط أمنية جيدة.

والحقيقة البسيطة، تغيير ناقلات العدوى بسرعة واستمرار. المهاجمين استخدام طرق التسليم الجديدة – كل شيء من الهندسة الاجتماعية أن يستغل اليوم صفر – وهم غالباً فعالة.

وفي معظم الحالات، عدوى حدث المفرد. أسلوب التسليم صيغة المفرد، مما يقلل من فرص الكشف عن عناصر الأمن التي تهدف لمنع التهديدات من الدخول.

ولسوء الحظ، ما زالت معظم المنظمات تركيز المزيد من مواردها على الوقاية بدلاً من الكشف عن. وتشمل الأدوات الأساسية هي نشر اليوم جدار الحماية ومكافحة البريد المزعج والصلاحيات، IPS (منع الاختراق)، يغذي الاستخبارات، تصفية URL، مكافحة البرامج الضارة وبوت مكافحة.

هذه الحلول صممت لتكون أمام ما تبقى من محيط لمنع محاولات العدوى. مرة تهديد كشوف عبر المحيط، ومع ذلك، الأداة لا يمكن رؤية أو وقفه.

الصيد خطر أخذ في الارتفاع

وقد أدى هذا إلى مفهوم “التهديد بالصيد”، أو عملية استباقية البحث في شبكة الاتصال للتهديدات التي قد تهربوا من التدابير الأمنية القائمة.

الصيد التهديد يتطلب تحولاً إلى عقلية ما بعد إصابة، ومجموعات من الأدوات مثل سيام (إدارة الأمن الحادثة والحدث) ويدر (الكشف عن نقطة النهاية واستجابة) NDR (الكشف عن الشبكة والاستجابة).

حتى مع هذه الأدوات، وخطر الصيد يشكل تحديا لمجموعة متنوعة من الأسباب. لشيء واحد، هذه الحلول “الثقيلة”. وهي تتطلب نوعا من جمع البيانات ينطوي على تثبيت وكلاء في النهاية و/أو الأجهزة على الشبكات. وهذا يمكن الحصول على مكلفة جداً للمؤسسات كبيرة.

ما هو أكثر من ذلك، فإنه يمكن أن تفوت المرور من الأجهزة النقالة التي لا تحتوي على عامل جمع مثبتة. ثمة مشكلة أخرى أن هذه الحلول تعتمد على البيانات الموضوعية المتاحة في نقطة واحدة في الوقت المناسب. هذه البيانات تفتقر إلى الإطار الأوسع، والمنظور التاريخي.

على سبيل المثال، عندما أداة سييم ريب تتلقى تنبيهات وسجلات من نقطة مختلفة العديد من الحلول الأمنية، التنبيهات هي منفصلة عن بعضها البعض، مثل أن يختلف كل استنتاج دون البيانات الخام وراء التنبيهات.

وهناك أحداث كثيرة جداً دون سياق ما يكفي لمحللي الأمن لتحديد عدوى. وعلاوة على ذلك، عدد قليل من المنظمات لديها المهارات والموارد اللازمة لتحليل البيانات وتحديد التهديدات المستمرة.

فرصة جديدة لخطر الصيد

ومن الغريب، تحول المؤسسة لبرامج محددة في منطقة واسعة الربط الشبكي (SD الواسعة) كما يقدم خدمة المستندة إلى مجموعة النظراء الآن وسيلة بديلة لتنظيم الصيد التهديد الذي يعالج أوجه قصور النهج القائمة.

المستندة إلى مجموعة النظراء وأن التنمية المستدامة هي جديدة شبكات بنية حيث center(s) جميع الكيانات التابعة لشبكة المؤسسة النموذجية – مكتب المقر، والبيانات، مواقع الفروع، السحابة البنية التحتية التي جزء من شبكة الاتصال الخارجية (أي، أوس، أزور، إلخ)، وكذلك مستخدمي الهاتف الجوال – كلها متصلة إلى شبكة الاتصال في مجموعة النظراء.

قم بتوصيل هذه العناصر العمود الفقري شبكة سحابة من خلال سلسلة عالمية من نقاط تواجد (PoPs). يؤدي هذا إلى إنشاء شبكة موحدة واحدة أن يحمل جميع حركة المرور لمختلف الكيانات المؤسسة التي ترتبط، بما في ذلك شبكة الإنترنت الشركات بالإضافة إلى حركة مرور WAN. وبعد كل تدفق حركة المرور هذه في أشكال شبكة واحدة dataset قيمة لخطر الصيد.

وقد حددت “شبكات كاتو” الفرصة لاستغلال هذا المصدر واحدة وموحدة للبيانات المتدفقة عبر شبكتها “سحابة كاتو” كمدخل إلى خدمة صيد تهديد جديد.

ويمتد هذا الأمن المتقاربة كاتو لتقدم الفعل الذي يتضمن جدار الحماية كخدمة، وجدار حماية الجيل المقبل، وبوابة الإنترنت الآمنة والحماية من التهديدات المتقدمة.

ما الذي يجعل الصيد التهديد عبر الشبكات المستندة إلى مجموعة النظراء فريدة من نوعها

حلول أمان الشبكة التقليدية مبنية على مستوى شبكة فرع واحد. جميع حركة المرور أنها تفقد معزولة ومحدودة لموقع معين، مثل فرع أو موقع جغرافي.

سبب كاتو الخاصة عمودها الفقري الشبكة، الذي فقد الرؤية الكاملة، يمكن راجع مزود الخدمة كافة حركة مرور شبكة الاتصال، من كافة العملاء في جميع أنحاء العالم. هذه الرؤية إلى تدفقات الشبكة الكثير والكثير من البيانات فريدة من نوعها، وأنها تسمح كاتو لبناء النماذج التي تمكن كامل خطر الصيد استناداً إلى البيانات الأولية غير محدود.

نموذج كاتو لتطور الجوانب الثلاثة لسياق البيانات: تصنيف العميل والهدف والوقت (انظر الشكل 1). فلتكن لدينا نظرة على كل من هذه العناصر، وكيفية وضع القطع الثلاث معا يوفر درجة عالية من الثقة بأن تهديد موجود على شبكة الاتصال.

cyber-threat-hunting

الشكل 1: كاتو ويدعي تحسين دقة الكشف بالعمل من الخام شبكة البيانات وسجلات الأمان ليس فقط، وثم توسيع سياق في الأبعاد الثلاثة-العميل والهدف والوقت.

تصنيف العميل

ويبدأ بتصنيف العميل. عند فحص الحلول الأمنية الأخرى العميل المصدر مع التدفق، تعتبر كيانات مثل اسم مصدر IP واسم المستخدم والجهاز.

عادة، يتم استخدام هذه المعلومات التمييز بين الأجهزة المختلفة عبر الشبكة، ولكن نادراً ما يتم استخدامه في صنع ما إذا كانت حركة المرور هي ضارة أو لا القرار الفعلي.

ووسعت كاتو تصنيف العميل ضمن مخطط أشمل، باستخدام عناصر مثل ما إذا كان HTTP أو TLS هي جزء من الاتصالات الرئيسية، وبصمات فريدة من المستعرضات المختلفة، وأنواع المكتبات التي يستخدمونها. توفر هذه العناصر أكثر بكثير من التفصيل، ومن خلال تحليل هذه البيانات مع آلة التعلم، كاتو يمكن تصنيف العملاء المختلفة على شبكتها بشكل دقيق جداً.

الهدف

عنصر السياق التالي يستخدم كاتو هو الهدف – عنوان IP أو المجال الذي يتم الاتصال عميل إلى. والهدف هو عادة جزء من تدفق التي يتم استخدامها في عملية صنع القرار ما إذا كان شيء ما هو ضار أم لا. معظم الحلول الأمنية مقارنة ببساطة الهدف ضد قائمة موجز ويب الأمن.

كاتو تذهب إلى أبعد من خلق “درجة شعبية” لكل هدف تراه. يتم حساب النقاط استناداً إلى عدد مرات العملاء التواصل مع الأهداف. ثم يتم بوكيتيد العشرات من جميع الأهداف، وعادة ما تكون الأهداف سجل أدنى مؤشرات خبيثة أو مواقع القيادة والسيطرة.

الاتصالات مع مرور الوقت

معلمة سياق آخر كاتو للوقت. يبقى الاتصال البرامج الضارة النشطة على مر الزمن؛ على سبيل المثال، للحصول على أوامر من خادم ج * ج، أو إلى بيانات يلوذون. وكثيراً ما لا يعتبر الوقت (التكرار) الأخرى لحلول الأمن، بينما كاتو ترى على أنها عنصر بيانات هامة.

أكثر يتكرر الاتصال الخارجي شكل موحد، وعلى الأرجح أنها آلة أو بوت أن تولد هذه الحركة، وهكذا من المرجح أن تكون حركة المرور الضارة.

وثمة مثال الحياة الحقيقية

cyber-threat-hunting-software

الشكل 2: هنا أحد الأمثلة على كيفية تحديد كاتو كونفليكير في شبكة العميل. لاحظ استخدام العميل والهدف والوقت طوال العملية.

المثال التالي من أحد العملاء كاتو حقيقية. هناك جهاز على الشبكة “سحابة كاتو” الذي يحاول الاتصال بحوالي 150 المجالات التي تكون فيها أكثر من 90% منهم طلبات DNS التي لم تحل بعد. المجالات ذاتها تبدو وكأنها خوارزمية ولدت لهم (انظر الشكل 2)

إذا نظرنا إلى الوراء تاريخيا، المحللين ترون أن هذا الحدث يحدث كل ثلاث ساعات، مشيراً إلى أنها على الأرجح المرور بوت. وحلت بعض المجالات، بعد ذلك كان هناك جلسة عمل HTTP الذي يسمح للمحللين لحل العميل.

تستند خوارزميات تصنيف العميل، هذا العميل غير معروف كاتو عبر جميع البيانات وقد حصلت على موفر شبكة الاتصال. عند هذه النقطة، فمن الممكن أن تختتم أن بوت غير معروف كثيرا ما يتم الاتصال مع موقع ويب هدف شعبية منخفضة. مزيد من التحليل مع العميل الذي يملك الإله تبين أنه مصاب بالبرامج الضارة.

وكان كاتو قادراً على الكشف عن هذا التهديد تلقائياً دون أي إس إس خارجي أو التوقيعات IPS. وكان الاكتشاف محض نتيجة ليبحث في تدفقات الشبكة. لا توجد عوامل إضافية أو الأجهزة كان اللازمة لجمع البيانات، كما جاءت كل من التدفقات عادة تعبر الشبكة كاتو.

لم أكن أنفاق المستهلك النهائي أي جهد لاصطياد هذا التهديد، عدا تبحث في الإله التي اعتبرت كاتو يشتبه في أنها تأوي الخبيثة. وهذا في الواقع نموذجا جديداً لخطر الصيد.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *