0
0
O objetivo da caça às ameaças corporativas é dar às organizações a chance de encontrar potenciais ataques e tomar medidas corretivas antes que os ataques possam causar danos e se tornar uma crise de segurança. Mas há um monte de dados de rede para examinar, um número definido de horas em um dia, e apenas tantos analistas para fazer o trabalho.
Insira o NetworkSage, uma plataforma em nuvem da SeclarityIO, que visa analisar o fluxo de tráfego de rede, concentrar alertas de triagem e fornecer aos analistas insights sobre possíveis problemas que precisam ser resolvidos. Com o NetworkSage, provedores de serviços gerenciados, centros de operações de segurança e pesquisadores de ameaças podem descarregar todo o seu fluxo de trabalho de triagem e obter “análises especializadas na velocidade da máquina”, diz David Pearson, co-fundador e CEO da SeclarityIO.
Os dados da rede podem ser uma “fonte excepcionalmente forte da verdade”, escreveu Pearson em um post no blog descrevendo como os caçadores de ameaças poderiam usar o NetworkSage para identificar ataques de phishing. Os caçadores de ameaças podem procurar tráfego que possa indicar um ataque de phishing, como um usuário visitando sites e inserindo informações, perto de uma sessão de e-mail ativa. Ou pode haver sessões e comunicações que podem indicar atividade de comando e controle.
Na segurança da rede, a detecção de anomalias depende da identificação de atividades “ruins” em uma rede, mas para isso é necessário estabelecer uma linha de base significativa de comportamento “bom”. Isso é difícil em um ambiente corporativo porque os usuários estão fazendo todos os tipos de coisas diferentes e se comunicando com diferentes pessoas e sistemas diariamente. Tudo isso contribui para grandes volumes de alertas de segurança, pois os analistas têm que rastrear cada desvio da chamada atividade normal. O problema é agravado pelo fato de que as organizações estão trabalhando com várias ferramentas de segurança, diz Pearson.
A fadiga do alerta é um grande problema para as empresas, pois os profissionais de segurança recebem centenas de alertas nãoprioritizados todos os dias. Entender quais alertas são, na verdade, indicadores de um problema é fundamental para a defesa de segurança, mas pode ser tedioso e demorado. Em um estudo recente da Orca Security, 59% dos entrevistados dizem receber mais de 500 alertas de segurança na nuvem pública por dia. Na mesma pesquisa, 55% disseram que os alertas críticos estavam sendo perdidos, muitas vezes semanalmente e até mesmo diariamente.
Ao usar o NetworkSage para automatizar a correlação e análise, há menos probabilidade de um analista ignorar algo ou não chegar aos problemas reais em tempo hábil, porque eles são distraídos por alertas menos importantes.
Encontrando padrões ruins
Pearson refere-se ao NetworkSage como “tecnologia de intérprete de rede”, pois analisa o tráfego de rede para identificar vetores de ataque, não cargas específicas ou URLs individuais. O fluxo de rede é categorizado em diferentes categorias. Analistas podem encontrar semelhanças para identificar o tráfego que faz parte de um padrão malicioso. Por exemplo, a plataforma categoriza as comunicações para qualquer porta em qualquer site, o que ajuda a identificar atividades maliciosas associadas a servidores de comando e controle, diz Pearson.
Os analistas de segurança podem carregar os fluxos de rede da organização no NetworkSage usando uma API e visualizar quem se comunicou com quem na rede, como um usuário interagiu com um site malicioso e quantos pacotes foram enviados e recebidos, entre outras métricas. A plataforma também analisa os fluxos e informa aos analistas se a interação é realmente problemática e requer remediação.
Por exemplo, as ferramentas de segurança levantariam um alerta se o usuário (ou vários usuários) acessassem um site de phishing conhecido, mas eles não disseram se o usuário realmente inseriu credenciais. Sem esse conhecimento, o analista tem que investigar e acompanhar cada usuário para encontrar os que caíram no ataque de phishing. O NetworkSage analisa os dados de rede da organização, para que ele possa ver como o usuário interagiu com o site e identificar quais usuários inseriu credenciais. O analista agora sabe quais das possíveis questões resultaram em um compromisso real e podem responder de acordo.
No passado, os analistas de segurança teriam que olhar para alertas e investigar os registros de rede associados para descobrir se um usuário acidentalmente inseriu as credenciais erradas em um site ou se era uma tentativa de login maliciosa. O NetworkSage automatiza essa análise para determinar que o usuário realmente colocou suas credenciais em um site de phishing ou abriu um executável malicioso.
Casos de uso comum
Os analistas podem usar o NetworkSage de várias maneiras, incluindo como uma ferramenta para triagem automática de alertas, revisão de resultados de exercícios de caça a ameaças e caça a ameaças usando informações de fonte coletiva, diz Pearson. A triagem automatizada é talvez a mais comum. Nesse cenário, a plataforma captura a atividade da rede que desencadeou um alerta, bem como a atividade pouco antes e depois. O NetworkSage fornece uma visão geral de alto nível do que aconteceu e se foi interessante, bem como detalhes associados que seriam necessários durante a investigação.
O upload dos resultados das caçadas de ameaças ao NetworkSage fornece às equipes uma compreensão se a atividade é algo que requer remediação. Isso pode ser útil se a caça da ameaça descobrir atividades que podem indicar um ataque de phishing generalizado, por exemplo.
Há também um aspecto comunitário, diz Pearson. O NetworkSage pode exibir as informações rotuladas para todos os usuários sem expor detalhes confidenciais para cada organização. Isso torna possível a caça à ameaça crowdsource porque todos podem ver diferentes partes do cenário de ameaças, e não apenas sua própria visão pessoal da rede. Os analistas podem adicionar detalhes sobre o que estão vendo e a plataforma mostra metadados, como quanto tempo um fluxo específico para um destino específico esteve no conjunto de dados do NetworkSage. A perspectiva mais ampla fornece às equipes de caça a ameaças mais informações sobre lugares que deveriam estar procurando por atividades potenciais de atacantes.
Pearson diz que a NetworkSage está tentando fazer para a caça de ameaças e dados de tráfego de rede o que a GreyNoiseIO faz para analisar o tráfego da Internet para identificar tráfego malicioso.
FONTE: DARK READING