En un blog anterior, hablamos de la importancia de los enriquecimientos de seguridad en los metadatos de su red. Estos sirven de base para que los cazadores y analistas de amenazas prueben y consulten hipótesis durante un proceso de investigación. Nuestro equipo de ciencia de datos seguirá compartiendo ejemplos del trabajo que realizamos para sacar a la superficie estos enriquecimientos.
El ejemplo de hoy se centrará en el atributo multi-homed que puede encontrar en Cognito Stream, Cognito Recall y los motores subyacentes en Cognito Detect. Este atributo dota a los equipos de seguridad de un nivel extra de eficiencia a la hora de determinar si un canal de comando y control o de exfiltración identificado podría ser malicioso.
Si observa el tráfico de red hoy en día, es posible que un dominio se resuelva a múltiples IPs. Esto es probablemente indicativo de un host externo que forma parte de una infraestructura mayor. Es poco probable que el canal de mando y control (C&C) de un atacante utilice una infraestructura tan grande, a menos que utilice técnicas de ofuscación. Esto se debe a que las mejores prácticas de seguridad de operaciones (OPSEC) dictan que una infraestructura de ataque óptima debe estar aislada.
Una arquitectura en silos no sólo crea una huella más pequeña, sino que también hace que sea difícil para un investigador correlacionar ataques separados y determinar la intención. Una infraestructura de ataque más grande va en contra de la necesidad de aislar las operaciones y hace que sea más difícil y más caro para los atacantes lograr sus objetivos. Saber si el tráfico se dirige a una dirección IP enviada a través de una infraestructura mayor puede ser útil a la hora de investigar varias conexiones externas en busca de actividad de mando y control.
Un investigador o cazador de amenazas puede utilizar esto para eliminar el tráfico que va a estas direcciones IP y dominios de su área de superficie de investigación, atemperando eficazmente los falsos positivos y mejorando la eficiencia en los procesos del centro de operaciones de seguridad (SOC). La razón para eliminar este tráfico es que los atacantes avanzados operarán con las mejores prácticas de OPSEC y los atacantes de menor nivel evitarán el coste y la complejidad de una infraestructura mayor.
Aunque se representa como un único atributo en sus metadatos subyacentes, el algoritmo de generación es bastante potente. Es un modelo dinámico que está constantemente escuchando el tráfico DNS y extrayendo registros A y CNAMES. El modelo resuelve recursivamente cada registro A y CNAME y luego cuenta las direcciones IP asociadas a cada dominio. Debido a la naturaleza transitoria de los mapeos DNS, el modelo está constantemente aprendiendo y olvidando, asegurando la determinación más actualizada. Un atributo booleano denominado HostMultihomed se asocia ahora a las direcciones de destino efectivas y está presente en los flujos de metadatos iSession, HTTP y TLS tanto en Cognito Stream como en Cognito Recall.
Para obtener más información, póngase en contacto con su representante local de Vectra . Si es cliente de Vectra y necesita ayuda con el atributo multi-homed en su implantación, póngase en contacto con su gestor de éxito de clientes.