Vectra clientes e investigadores de seguridad responden a algunas de las amenazas más importantes del mundo. Y nos dicen que hay un conjunto coherente de preguntas a las que deben responder cuando investigan cualquier escenario de ataque. A partir de una alerta de Cognito Detect, de otra herramienta de seguridad o de su intuición, los analistas se forman una hipótesis sobre lo que está ocurriendo.
Investigación de datos en busca de balizas
A continuación, pondrán a prueba su hipótesis investigando los datos para determinar si están mirando en el lugar adecuado o pensando en la dirección correcta. Tener acceso a los datos y la información adecuados puede marcar la diferencia en la investigación, tanto en términos de resultados como de rapidez para conseguirlos.
Considere la siguiente situación. Su equipo se ha enterado de la existencia de un troyano bancario que utiliza una falsa actualización de Google Chrome para obtener un punto de mando y control (C&C) en el sistema objetivo.
Después de un compromiso inicial a través de la pesca submarina o drive-by download, el host explotado descarga la carga útil completa en la apariencia de una actualización de Chrome antes de establecer el canal de C & C y permitir un mayor reconocimiento y movimiento lateral más profundo en la red.
En este caso, el implante llama periódicamente a la infraestructura de C&C del atacante, lo que observaríamos como comportamiento de balizamiento. El balizamiento puede ser un indicador débil de una posible actividad maliciosa que sirva como base para un canal de C&C, o la devolución de llamada para obtener malware.
Sin embargo, lo más habitual es que el beaconing forme parte de comportamientos inocuos, como que su Smart TV o dispositivo de teleconferencia se comunique con su hub de origen. Los teletipos de bolsa y las actualizaciones de resultados deportivos también suelen emitir balizas.
¿Cómo descubrir e identificar la comunicación potencialmente maliciosa?
Y si descubres que la comunicación es malintencionada, ¿cómo respondes?
Esta es precisamente la razón por la que Vectra utiliza motores de IA para extraer información de seguridad que se integra en nuestros metadatos antes de que sea consumida directamente por nuestros clientes o introducida en nuestros modelos de detección. Por ejemplo, en el ejemplo anterior de búsqueda/investigación de amenazas, quiero poder responder a preguntas como:
- ¿Se observan casos de balizamiento en mi red?
- ¿A qué destinos externos se envía la señal?
- ¿Qué hosts están potencialmente infectados, no sólo la dirección IP?
- ¿La cadencia de balizamiento muestra una frecuencia inusual de solicitud/respuesta?
- ¿Es el tamaño de la carga útil algo que vería normalmente?
- ¿La baliza tiene un hash JA3 raro o inusual?
- ¿El tráfico se dirige a un destino externo no habitual?
- ¿Cuál es el nivel de privilegio de los hosts que están emitiendo balizas?
- ¿Se ofuscan las sesiones de balizamiento dentro de una única conexión larga?
- ¿La conexión utiliza servicios y protocolos inusuales?
Descubrir el balizamiento de malware gracias a Cognito
El primer paso es asegurarse de que el analista de seguridad dispone de los atributos necesarios para responder a estas preguntas.
A principios de este año lanzamos Cognito Stream, que rellena directamente los lagos de datos y la gestión de eventos de información de seguridad (SIEM) con metadatos de red con formato Zeek que se enriquecen con estos conocimientos de seguridad.
Vectra Los clientes utilizan estos metadatos de red enriquecidos con seguridad para aprovechar sus herramientas personalizadas existentes o analizarlos con modelos específicos de la organización, como casos de uso de políticas y detección de amenazas.
A continuación se muestra un ejemplo de los atributos de metadatos únicos que están disponibles como metadatos enriquecidos en Cognito Stream.
Esto es sólo el principio. Tenemos un equipo completo de investigadores de seguridad y científicos de datos que tienen la misión de aumentar continuamente el valor de los metadatos de red en Cognito Stream a través de enriquecimientos.
En futuros blogs, compartiremos detalles sobre otros enriquecimientos como la popularidad JA3 de clientes y servidores, clusters web y popularidad de dominios.