Most mutatunk egy példát: adathalászat ellen!
A modern SOC-ok (Security Operation Center) példátlan kihívásokkal néznek szembe, amelyeket a COVID-19 még tovább fokozott. Mivel ma már sok alkalmazottnak lehetősége van bárhonnan és bármilyen eszközről dolgozni, egyre nagyobb az igény (és a vezetői nyomás is) a megbízható technológia telepítésére, amely fenntartja a hatékonyságot, valamint a kiberbiztonsági szakemberek számára a szervezetek védelmét.
Persze ezt a helyzetet még komplikáltabbá teszi az, hogy szinte minden nap új kiberfenyegetések jelennek meg, melyek megnehezítik a cégek életét. Mivel a vállalkozások naponta akár több száz vagy akár több ezer riasztást is feldolgozhatnak, kijelenthető, hogy minden egyes (legalábbis kritikus) riasztás jelentős stressznek és munkának teszi ki a SOC-csapatokat.
Számos közepes és nagy méretű szervezetnél szerzett gyakorlati tapasztalatok alapján, a Trellix több XDR (eXtended Detection and Response) felhasználási esetet tervezett, amelyek a komplex SOC műveletek köré épülnek, hogy a fenyegetések észlelésekor a cégek gyorsan reagálhassanak, és a lehető leghamarabb orvosolhassák a felmerülő biztonsági problémákat.
Adathalászat
Az e-mailes adathalászat az egyik leggyakoribb és legegyszerűbb módszer, amelyet a fenyegetettségi szereplők használnak. A legtöbb szervezet rendelkezik adathalászatra vonatkozó protokollal, amely szerint a munkavállalóknak az általuk gyanúsnak vélt e-maileket továbbítania kell egy speciálisan erre a célra létrehozott belsős e-mail címre, hogy a szakértők elvégezhessék a levél biztonsági elemzését. Egy-egy üzenet feldolgozása körülbelül 30-45 percet vehet igénybe az elemzők idejéből. Ha feltételezzük, hogy egy szervezet hetente körülbelül 100 potenciális adathalász e-mailt kap, akkor az elemzőknek hetente körülbelül 50 óra elemzői időt kell fordítaniuk ezen üzenetek feldolgozására. Ez körülbelül 1,25 teljes munkaidős alkalmazottnak felel meg. És akkor ő csakis ezzel foglalkozott.
A fenti kihívás enyhítése és annak biztosítása érdekében, hogy a biztonsági elemzők a nehezebb vagy a megfelelő feladatokra összpontosítsanak, ezt a felhasználási esetet úgy tervezték, hogy automatikusan elvégezze azokat az ismétlődő feladatokat, amelyek egyébként manuális és időigényes erőfeszítést igényelnének. Az automatizálás alkalmazása, ahol lehetséges, átcsoportosítja az elemzői erőforrásokat, hogy az összetettebb és nehezebb feladatokra több idő jusson.
A Trellix XDR képes folyamatosan kiszűrni, figyelni, monitorozni a beküldött adathalász e-maileket. A rendszer elemzi az üzeneteket, és megkeresi a kompromittáltságra utaló jeleket (IOC- indicators of compromise), például URL-eket, IP-címet, MD5 hash-t és egyebeket. A Trellix XDR ezeket az IOC-ket továbbítja a szervezet által használt helyi vagy harmadik féltől származó fenyegetés-felderítő rendszerhez. Ha az e-mail bármilyen bináris fájlt tartalmaz, akkor a rendszer a bináris fájl MD5/SHA256-os kivonatát is felveszi, majd statikus és dinamikus elemzésre küldi, miközben lekérdezi a szervezet könyvtárát az e-mailt elküldő felhasználó után.
Tegyük fel, hogy az elemzett e-mail rosszindulatú csatolmányt tartalmaz. A Trellix XDR proaktívan és emberi beavatkozás nélkül képes megállapítani, hogy
- rosszindulatú mellékletet tartalmaz a levél;
- ki kapta ezt a mellékletet;
- automatikusan megkeresi az összes olyan e-mailt, amelyikben ugyanez a rosszindulatú melléklet fellelhető, és magától törli azokat a postafiókokból.
Mindezek után Trellix XDR válaszadási képességei lefuttatják az összes áldozat végpontjának (az előző lépésben a címtárszolgáltatások lekérdezésével felfedezett) igény szerinti vizsgálatát, először a végpontok elszigetelésével (a hálózattól való elszigetelésükkel), és egy külön vizsgálat lefuttatásával, ha valamelyik eszközön a felhasználó már megnyitotta a mellékletet.
Ha az IP-cím mögé rejtett rosszindulatú C&C szervert vagy URL-címeket talál, automatikusan létrehoz egy hozzáférés-szabályozó házirendet a tűzfalban, így a rosszindulatú IOC-k hálózati szinten blokkolhatók (ez az XDR hálózati válasz részének az eleme). Ebben az esetben a Trellix XDR a következő, cselekvésre alkalmas megállapításokat mutatja be az elemzőnek:
- felhasználónév, amely az adathalász e-mailt jelentette;
- ki volt az e-mail feladója – e-mail cím;
- IOC-k, például URL, IP, MD5, SHA Hash, domain név;
- szükséges intézkedések (például tűzfal-házirend létrehozása, végpontok átvizsgálása, triage/memóriakép rögzítése).
Amint az elemző rendelkezik ezekkel az információkkal, további előzetes elemzéseket végezhet, például egy olyan memóriaelemző megoldás, mint a Volatility/Rekall, segítségével, amely kontextust és megértést biztosít a jövőbeni intézkedésekhez.
Amint azt ebben a gyakorlati példában láttuk, egy valódi XDR-megoldás teljes integrációval rendelkezik a végpontvédelem, a végpontérzékelés és -reakció, valamint az e-mail és a hálózati válaszadás területén. A Trellix XDR nagyobb átláthatóságot biztosít a szervezet számára, és segít a hatékony válaszadási stratégiák kialakításában, miközben biztosítja, hogy az elemzők idejük nagy részét a nagyobb, összetettebb kihívást jelentő feladatokra fordítsák, és minden időigényes, ismétlődő feladatot automatikusan kezelhessenek.
A fenti felhasználási eset a következő eredményeket biztosítaná egy szervezet számára:
- automatizált fenyegetés-felderítési és incidenskezelési munkafolyamatok;
- a biztonsági műveletek egyszerűsítése és felgyorsítása a meglátások, a tanulságok; valamint az alkalmazkodás segítségével;
- felderítés monitoring és vadászati módszertan;
- a hatékonyság jegyében és a TTR (a helyreállításig eltelt idő) csökkentése érdekében válasz előkészítés az XDR-en keresztül.
Ugye, hogy nem hangzik rosszul?!
#livingsecurity #forever #trellix