analiza zagrożeń
Jeśli chodzi o codzienny nakład pracy, niewiele osób odpowiedzialnych za bezpieczeństwo informacji można porównać z analitykami centrum operacji bezpieczeństwa (SOC). Wiemy o tym z pierwszej ręki, dlatego zwracamy szczególną uwagę na rozwijanie narzędzi, które mogą automatyzować lub ułatwiać im pracę. Niedawno zaktualizowaliśmy Kaspersky CyberTrace do pełnoprawnej platformy analizy zagrożeń (TI) i dziś pokazujemy, w jaki sposób analityk SOC może wykorzystać to narzędzie do badania ataków typu „kill chain”.
Załóżmy na przykład, że ktoś używa stacji roboczej znajdującej się w sieci firmowej do odwiedzenia strony internetowej oznaczonej jako szkodliwa. Rozwiązania bezpieczeństwa w firmie wykrywają incydent, a system zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) rejestruje go. Ostatecznie dysponujący rozwiązaniem Kaspersky CyberTrace analityk SOC widzi, co się dzieje.
Identyfikacja łańcucha ataków
Na liście wykrytych anomalii analityk widzi zdarzenie na podstawie danych ze strumienia „Szkodliwy URL” i postanawia przyjrzeć się mu bliżej. Informacje kontekstowe (adres IP, skróty szkodliwych plików powiązanych z adresem, werdykty rozwiązań bezpieczeństwa, dane WHOIS itp.) są dostępne bezpośrednio w strumieniu. Jednak najwygodniejszym sposobem analizy łańcucha ataków jest użycie wykresu (przycisk View on gGraph).
Kaspersky CyberTrace: Rozpoczęcie analizy ataku
Na tę chwilę mamy jeszcze niewiele informacji: fakt wykrycia, wykryty szkodliwy adres URL, wewnętrzny adres IP komputera, z którego adres URL został otwarty, a także możliwość przeglądania pełnych informacji kontekstowych o wykrytym zagrożeniu na pasku bocznym. To jednak tylko preludium do ciekawszej części.
Klikając ikonę szkodliwego adresu URL, analityk może zażądać znanych wskaźników powiązanych z adresem: adresów IP, dodatkowych adresów URL i skrótów szkodliwych plików pobranych z witryny.
Żądanie wskaźników powiązanych w CyberTrace
Kolejnym krokiem jest użycie tych wskaźników do sprawdzenia innych zdarzeń w infrastrukturze. To proste: kliknij dowolny obiekt (na przykład szkodliwy adres IP) i wybierz Related CyberTrace Detects. Zdarzenia te zostaną wyświetlone w postaci wykresu. Za pomocą jednego kliknięcia możemy dowiedzieć się, który użytkownik uzyskał dostęp do szkodliwego adresu IP (lub na którym komputerze zapytanie URL wysłane do serwera DNS zwróciło adres IP). Podobnie możemy sprawdzić, którzy użytkownicy pobrali pliki, których skróty są obecne we wskaźnikach.
Żądanie uzyskania zdarzeń powiązanych w CyberTrace
Wszystkie wskaźniki na zrzutach ekranu są efektem naszych testów i stanowią przykład dość skromnych incydentów. Jednak w realnym świecie możemy zobaczyć tysiące zdarzeń, których sortowanie ręcznie, bez interfejsu graficznego, byłoby dość trudne. Dzięki interfejsowi graficznemu każdy punkt wykresu pobiera cały kontekst ze źródeł danych o zagrożeniach. Analityk może wygodnie grupować lub ukrywać obiekty ręcznie lub automatycznie. Jeśli ma dostęp do dodatkowych źródeł informacji, może dodać wskaźniki i oznaczyć wzajemne relacje.
Teraz ekspert podczas badania wzajemnych powiązań między wskaźnikami może zrekonstruować pełny łańcuch ataków i odkryć, że użytkownik wpisał adres URL szkodliwej strony, serwer DNS zwrócił adres IP, a ze strony ten został pobrany plik ze znanym skrótem.
Integracja z Kaspersky Threat Intelligence Portal
Dopasowywanie zdarzeń do źródeł danych o zagrożeniach służy do analizy jednego pojedynczego incydentu — a jeśli incydent jest częścią trwającego wiele dni ataku przeprowadzanego na dużą skalę? Uzyskanie tła historycznego i kontekstu ma kluczowe znaczenie dla analityków SOC. W tym celu zaktualizowany Kaspersky CyberTrace oferuje integrację z innym z naszych narzędzi analitycznych, Kaspersky Threat Intelligence Portal.
Kaspersky Threat Intelligence Portal ma dostęp do kompletnej bazy danych cyberzagrożeń, zbudowanej przez naszych ekspertów zajmujących się ochroną przed szkodliwym oprogramowaniem. Poprzez menu Related External Indicators (pol. powiązane wskaźniki zewnętrzne) analityk może za pomocą jednego kliknięcia uzyskać dostęp do wszystkich informacji zgromadzonych przez firmę Kaspersky, aby dowiedzieć się, które domeny i strefy są powiązane ze szkodliwym adresem IP, jakie inne adresy URL były wcześniej powiązane z tym adresem IP, poznać skróty plików, które próbowały uzyskać dostęp do adresu URL, skróty plików pobranych z tego adresu URL, do których linków odsyłają strony hostowane pod tym adresem IP (i z których adresów URL zostały połączone) i nie tylko.
Kolejną zaletą tej integracji jest możliwość wyszukiwania raportów dotyczących ataków APT związanych z określonym adresem URL lub skrótem pliku. Subskrybenci usługi Kaspersky Threat Intelligence Portal mogą z łatwością znaleźć i pobrać raporty, na których wspomniane są takie adresy internetowe lub skróty plików.
Żadna z tych informacji nie była wcześniej niedostępna, ale zdobycie jej wymagało pracy ręcznej — znalezienia odpowiedniego skrótu lub adresu, skopiowania go, przejścia do portalu. Dzięki temu nowemu, szybkiemu i łatwemu dostępowi do wszystkich tych informacji zespół bezpieczeństwa informacji może podjąć w stosownym czasie odpowiednie środki zaradcze w przypadku wykrycia ataku. Ponadto rozwiązanie to upraszcza badanie incydentów.
Co jeszcze potrafi robić Kaspersky CyberTrace?
Kaspersky CyberTrace nie tylko współpracuje ze źródłami danych o zagrożeniach, udostępnianymi przez firmę Kaspersky, ale może również łączyć się ze źródłami zewnętrznymi. Co więcej, zawiera wygodne narzędzie do porównywania informacji w różnych kanałach: macierz Supplier Intersections. Umożliwia ona analitykom sprawdzanie, które strumienie mają więcej danych — a jeśli w którymś nie ma unikatowych danych, analityk może zrezygnować z subskrypcji.
CyberTrace wspiera również pracę zespołową wielu użytkowników: analityk może dać współpracownikom dostęp do komentowania lub wzięcia udziału w analizie.
W razie potrzeby analitycy mogą usunąć wskaźniki z CyberTrace, dzięki czemu staną się one dostępne za pośrednictwem adresu URL. Może to być potrzebne na przykład do dodania reguły automatycznego blokowania wskaźników na poziomie zapory.
Inną przydatną funkcją jest Retroscan, której analitycy mogą używać do zapisywania starszych dzienników z systemów SIEM i sprawdzania ich w późniejszym czasie w nowych strumieniach. Innymi słowy, jeśli analitycy nie mieli wystarczających danych do przeprowadzenia prawidłowego dochodzenia w momencie wykrycia incydentu, mogą je przeprowadzić retrospektywnie.
Aby uzyskać więcej informacji, zobacz naszą stronę rozwiązania CyberTrace.
