Az ujjlenyomatok mellett keresd a tanúkat is egy kiberbűntényben

2024. február 22., 15:44

A legtöbb végpontvédelmi technológia elég hatékony az ismert fenyegetések észlelésében és megelőzésében, az új fenyegetésekkel azonban nehezen boldogul. Itt kap teret a végpontvédelmet erősítő viselkedéselemzés.

Biztonsági incidenseket követően a kibernyomozók olyan digitális bizonyítékok – IP-címek, domainnevek, fájlhashek és más adatok – után kutatnak, amelyeket a támadók hagynak hátra. Miután dokumentálták ezeket a kompromittáló jeleket (IOC1-ket), megosztják őket, hogy más szervezetek biztonsági csapatait segítsék saját környezetük átvizsgálásában és a biztonsági lépések finomhangolásában. Így jobban felismerik a hasonló fenyegetéseket, és meghiúsítják a jövőbeni támadásokat. 

A gond ezzel csupán annyi, hogy az IOC-k olyanok, mint az ujjlenyomatok: bűnesetről bűnesetre folyamatosan változnak. Sőt, egyre gyakrabban egyediek az adott célpont ellen indított támadásban, így más környezetek proaktív védelmét aligha tudja segíteni korai észlelésük – hívta fel a figyelmet blogbejegyzésében a Cybereason. 

A viselkedésindikátorok (IOB2-k) ezzel szemben olyanok, mint a tanúvallomások: a rosszindulatú tevékenység finom láncolatait mutatják ki a hálózati eszközök telemetriai adataiban feltárt összefüggésekből. A múltba tekintő IOC-ktől eltérően az IOB-k olyan proaktív módszereket tesznek lehetővé, amelyekkel a valós idejű telemetriai adatokból sokkal korábban kimutathatók egy támadás jelei. 

Minthogy az IOB-k a rosszindulatú szereplők egy-egy támadás során tett lépéseit, viselkedését írják le, hosszú távon is hatékonyan erősítik a célzott támadások elleni, proaktív védekezést. A jogszerű tevékenységet imitáló támadók ugyanis előbb-utóbb elárulják magukat, és a viselkedéselemzés ennek jeleit már a kibontakozó támadás legkorábbi szakaszában észleli. 

Viselkedéselemzés a műveletközpontú kibervédelemben  

A biztonság jelenlegi, riasztásközpontú megközelítése túl nagy hangsúlyt fektet a nem korrelált riasztások generálására és a nagyobb támadási kampányok egyes elemeinek orvoslására. Ez a módszer azonban – különösen a biztonság területére jellemző erőforráskorlátok mellett – kevéssé hatékony. 

Ezzel szemben az IOB-kre építő, műveletközpontú megközelítés az egyébként széttagolt riasztásokat egyetlen, tartalomban gazdag, korrelált észleléssé konszolidálja. Így lehetővé teszi a támadás előrehaladásának átfogó megszakítását, annak sokkal korábbi szakaszában, mint az a kizárólag IOC-kre támaszkodó megközelítésben kivitelezhető lenne. 

A műveletközpontú megközelítés egyúttal alkalmat ad egy tárház létrehozására, amely a felismerhető viselkedési láncok alapján nemcsak a legújabb támadások korai észlelését segíti, hanem támogatja a válaszlépések automatizálását is. A reaktív módon védekező biztonsági csapatokat így ismét lépéselőnybe hozhatja a rosszindulatú szereplőkkel szemben. 

Forrás: https://www.cybereason.com/blog/indicators-of-behavior-and-the-diminishing-value-of-iocs