Търсене
Close this search box.

Игли в купи сено

Замъглено зрение

Системите за КТИ се сблъскват с някои важни проблеми, вариращи от размера на мрежите за събиране на данни до тяхното разнообразие, които в крайна сметка влияят върху степента на доверие, което могат да окажат на своите сигнали. Достатъчно свежи и надеждни ли са те, за да се избегнат всякакви фалшиви положителни резултати или отравяне? Рискуваме ли да действам на базата на остарели данни? Тази разлика е съществена, тъй като една информация е само помощно средство за вземане на решение, докато една информация, която може да бъде използвана за действие, може директно да бъде използвана като оръжие срещу агресора. Ако необработените данни са сеното, то информацията е купите сено, а иглите са годни за действие сигнали.

За да илюстрираме въпроса за размера и разнообразието на мрежите за събиране на информация, без да посочваме никого конкретно, нека си представим голям доставчик на CDN. Вашата роля е да доставяте в огромен мащаб съдържание по HTTP(s). Това привлича много „внимание“ и сигнали, но само на ниво HTTP. Освен това всеки умен нападател вероятно ще избегне сондирането на вашите IP диапазони (които са публични и известни във вашата AS). Следователно получавате само безразборните скенери „Gatling guns“ или директни атаки през HTTP слоя. Това е много тесен фокус.

Сега, ако сте голям EDR/XDR или какъвто и да е прославен антивирус, също можете да твърдите, че имате огромна мрежа за откриване, обхващаща милиони устройства… На богати предприятия. Защото, нека си го кажем направо, не всяка организация с нестопанска цел, обществена болница или местна библиотека може да си позволи да плаща за тези инструменти. Следователно потенциално виждате само заплахи, насочени към сложни заплахи, и то най-вече такива, които се пренасят от зловреден софтуер на машини в локалната мрежа.

На фронта на honeypot също няма сребърен куршум. „Скенерите с оръдия Гатлинг“ представляват фоновата радиоактивност на интернет. Нещо като статичен шум, който постоянно присъства в обкръжението на всяко свързано с интернет устройство. Тук проблемът е по-скоро в това, че никоя прилична киберпрестъпна група няма да използва значими ресурси, за да се насочи към машина с honeypot. Какъв е смисълът да се инвестират някакви DDoS ресурси в свалянето на сламен манекен? Бихте ли използвали какъвто и да е смислен експлойт или инструмент, камо ли да изгорите IP адреса си, за „потенциална“ цел? Honeypots събират „намерения“, автоматизирана експлоатация, нещо от рода на „този IP иска да знае дали сте (все още) уязвими към log4j“.

Бъдете по-напред в играта с CrowdSec, пакет за сигурност с отворен код, който предлага защита от злонамерени IP-та, осигурена от всички потребители. С неговата проста интеграция в съществуващата ви инфраструктура за сигурност получавате поведенческо откриване и автоматизирано отстраняване на грешки. Освен това ще се възползвате от изключително полезна информация за киберзаплахите с нулеви фалшиви положителни резултати и намален обем на предупрежденията, изградени от мрежа от над 190 хил. машини, разпределени в над 180 държави. Не се борете сами, позволете на тълпата да ви подкрепи. Започнете да работите с CrowdSec безплатно!

Тя може да бъде интересна до известна степен, но се ограничава до ниско висящите плодове. Освен това разнообразието ви е ограничено от способността ви да се разпространявате на много различни места. Ако всичките ви сонди (honeypots) седят над десет или още по-лошо, само над 3 или 4 различни облака, не можете да видите всичко и можете да бъдете „избягвани“, което означава, че престъпниците могат доброволно да прескочат вашите IP обхвати, за да избегнат откриване. Освен това трябва да организирате системата си за разгръщане за всяка платформа и все пак ще виждате само IP, които не избягват GCP, AWS или какъвто и да е облак, с който работите. И тъй като тези доставчици не са неправителствени организации, размерът на мрежата ви също е ограничен от… парите. Ако една напълно автоматизирана НР, работеща в облака XYZ, ви струва 20 долара месечно, джобът ви трябва да е дълбок, за да управлявате хиляди от тях.

Създаване на контраофанзива

За да ограничим траекторията на масовата киберпрестъпност, трябва да действаме с ресурс, който е ограничен по същество, в противен случай не може да се организира подходящ „недостиг“. Известните „Конти-лийкс“ хвърлят интересна светлина върху действителните болки на една голяма киберпрестъпна група. Очевидно е, че (крипто) прането на пари, набирането на персонал, заплатите, класиките, които бихте очаквали. Но интересното е, че когато четете обмена на информация във вътрешната им чат система, можете да видите, че IP, смяната им, заемането, наемането, почистването им, инсталирането на инструменти, мигрирането на операциите и C2 и т.н. е … скъпо. Както по отношение на времето, така и по отношение на парите.

Съществуват почти безкрайни варианти на хешове, а SHA1 предлага пространство от 2^160 възможности. Така че събирането им е едно, но сте почти сигурни, че всяка нова вариация на зловреден софтуер ще има различен подпис. В момента, в който говорим, повечето CI/CD процедури на всяка прилична киберпрестъпна група вече включват модифициране на един байт, преди да се изпрати полезният товар към целта.

Насочването към имена на домейни е борба и срещу безкрайно пространство по размер. Можете да резервирате домейн1, домейн2, домейн3 и т.н. Технически няма ограничение за броя на вариантите. Има интелигентни системи, които защитават вашата марка и проверяват дали напоследък не са били резервирани имена на домейни, подобни на вашето. Тези системи в стил „предварителен крим“ са много полезни за справяне с предстоящ опит за фишинг. Започвате да бъдете проактивни с този вид позиция и инструменти.

Така или иначе е полезно да се проследяват и индексират злонамерени двоични файлове въз основа на техните хешове или C2, с които се опитват да се свържат, или дори да се индексират IP адреси, които се опитват автоматично да експлоатират известни CVE, но това е по-скоро реактивна позиция. Не нанасяте ответен удар, като знаете позицията или тактиката на врага, а като осакатявате неговите офанзивни възможности и точно тук IP адресите са много интересни. Системата е на десетилетия и ще съществува и след нас.

Сега има ресурс, който всъщност е в недостиг: IPV4. Историческото пространство на IP адресите е ограничено до около 4 милиарда от тях. Пренасянето на борбата на тази територия е ефикасно, защото ако ресурсът е в недостиг, всъщност можете да бъдете проактивни и да изгаряте IP адреси веднага щом разберете, че някой от тях се използва от врага. Този пейзаж непрекъснато се променя. Доставчиците на VPN услуги, Tor и приложенията за прокси сървъри в жилищни райони предлагат на киберпрестъпниците начин да заемат IP адрес, да не говорим за това, че могат да използват някои от вече компрометираните сървъри в тъмната мрежа.

Така че, ако даден IP адрес се използва в é момент от време, възможно е в следващия час вече да не се използва и тогава да генерирате фалшив положителен резултат, ако го блокирате. Решението е да се създаде инструмент за краудсорсинг, който да защитава всички размери предприятия, на всички видове места, географски райони, облаци, домове, частни корпуси DMZ и т.н., и на всички видове протоколи. Ако мрежата е достатъчно голяма, тази ротация на IP адреси не е проблем, защото ако мрежата спре да докладва даден IP адрес, можете да го освободите, докато новият, издигащ се в редица доклади, трябва да бъде интегриран в списък за блокиране. Колкото по-голяма е мрежата, толкова по-реалистична става тя.

Можете да наблюдавате почти всеки протокол с изключение на UDP-базираните, които трябва да бъдат изключени, тъй като е лесно да се подменят пакети по UDP. Така че, като разглеждате докладите за протокол, базиран на UDP, за забрана на даден IP, лесно можете да бъдете измамени. В противен случай всеки протокол е добре да се следи. Също така определено можете да търсите CVE, но още по-добре – поведение. По този начин можете да уловите бизнес ориентирани агресии, които може да не са базирани само на CVE. Един прост пример, извън класическите L7 DDoS, сканиране, насилване или набиване на идентификационни данни, е скалпирането. Скалпирането е действието на автоматично закупуване на продукт с помощта на бот на уебсайт и препродаването му с цел печалба например в eBay. Това е проблем на бизнес ниво, а не свързан със сигурността. Системата с отворен код CrowdSec е създадена именно за да даде възможност за тази стратегия.

И накрая, през последните две десетилетия ни се казваше: „IPV6 идва, бъдете готови“. Е… да кажем, че имахме време да се подготвим. Но сега той наистина е тук и разгръщането на 5G само ще ускори експоненциално използването му. IPV6 променя сцената с нов адресируем пул от IP адреси, който е голям колкото 2^128. Това все още е ограничено по много начини, не на последно място защото всички IP диапазони на V6 все още не са напълно използвани, но и защото всеки получава много IPV6 адреси наведнъж, а не само един. Все пак сега говорим за огромно количество от тях.

Да съчетаем AI и краудсорсинг

Когато данните започнат да постъпват масово от голяма мрежа, захранвана от тълпата, а ресурсът, който се опитвате да свиете, става все по-голям, ИИ звучи като логична алея за изследване.

Мрежовият ефект вече е добро начало сам по себе си. Пример тук може да бъде пълненето на удостоверения. Ако даден ИП използва няколко двойки за вход/пас при вас, бихте го нарекли „брут форс на удостоверенията“ (credential bruteforce). Сега в мрежов мащаб, ако имате един и същ IP, който чука на различни врати, използвайки различни логин/пас, това е credential stuffing, някой се опитва да използва повторно откраднати идентификационни данни на много места, за да провери дали са валидни. Фактът, че виждате едно и също действие, използващо едни и същи пълномощия от много различни ъгли, ви дава допълнителна индикация за целта на самото поведение.

Честно казано, не е необходимо ИИ да разграничи грубата сила на удостоверенията от повторното използване на удостоверенията или набиването на удостоверения, но има места, където той може да се отличи, по-специално когато се съчетае с голяма мрежа, за да получи купища данни.

Друг пример може да бъде мащабно сканиране на интернет, направено с помощта на 1024 хоста. Всеки хост може да сканира само един порт и това вероятно ще остане незабелязано. Освен ако не видите на много различни места един и същ IP да сканира един и същ порт в рамките на подобен период от време. Отново, едва забележимо в индивидуален мащаб, очевидно в голям.

От друга страна, алгоритмите на изкуствения интелект са добри в идентифицирането на модели, които не биха били видими, ако гледате само на едно място в даден момент, но очевидни в мащаба на голяма мрежа.

Представянето на данните в подходящи структури с помощта на графики и вграждания може да разкрие сложни степени на взаимодействие между IP адреси, диапазони или дори AS (автономни системи). Това води до идентифициране на кохорти от машини, които работят в унисон за постигане на една и съща цел. Ако няколко IP адреса извършват последователно атака в много стъпки, като сканиране, експлоатиране, инсталиране на задна врата и след това използване на целевия сървър за присъединяване към DDoS усилията, тези модели могат да се повтарят в логовете. Така че, ако 1-вият IP адрес от кохортата е видим в даден момент, а 2-рият – 10 минути по-късно и т.н., и този модел се повтаря с едни и същи IP адреси на много места, можете спокойно да кажете на всички да забранят 4-те IP адреса наведнъж.

Синергията между изкуствения интелект и сигналите, подавани от тълпата, ни позволява да се справим ефективно с ограниченията на всяка от тях. Макар че сигналите от тълпата предоставят множество данни в реално време за киберзаплахи, на тях може да им липсват прецизност и контекст, което в крайна сметка води до фалшиви положителни резултати. От друга страна, алгоритмите с изкуствен интелект обикновено стават актуални едва след като усвоят огромно количество данни. В замяна на това тези модели могат да помогнат за прецизирането и анализирането на тези сигнали, като елиминират шума и разкриват скрити модели.

Тук има една мощна двойка, която може да се събере.

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
20 юни 2024

Измама на Markopolo е насочена към потребителит...

Установен е извършител на заплаха с псевдоним markopolo, който стои...
Бъдете социални
Още по темата
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
28/02/2024

Предимства на включването н...

Кибератаките се развиват и стават все...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!