Serie cybersecurity (5/10): Detecția amenințărilor și incidentelor de securitate cibernetică

Dacă în copilărie ați fost bun la „Hoții și vardiștii” (știm, ne trădează vârsta!), doar o mică parte dintre aptitudinile care v-au ajutat să câștigați se pot aplica în detecția amenințărilor și incidentelor de cybersecurity. Da, trebuia să-i urmăriți și să-i prindeți pe hoți (sau să vă ascundeți și să scăpați de „milițieni”) dar analogia se termină aici.

Atacatorii cibernetici își îmbunătățesc continuu tacticile, ceea ce face absolut necesar să vă consolidați apărarea. Detecția, un aspect esențial al securității cibernetice, acționează ca un paznic vigilent, identificând și semnalând activitățile neobișnuite care ar putea duce la breșe de securitate.

Într-un articol anterior am arătat că în general și în medie, timpii de detecție și răspuns în cazul unui atac cibernetic sunt foarte lungi, de ordinul a luni de zile.

zile
necesare în medie pentru a identifica o încălcare a securității (2023)
zile
necesare în medie pentru a pentru a limita breșele de securitate (2023)

Sursa: IBM

Tehnici uzuale de detecție

Detecția necesită o abordare cu mai multe fațete, utilizând diverse tehnici care au o logică și mecanisme diferite. Există trei tehnici majore de detectare: bazate pe anomalii, bazate pe semnături și bazate pe comportament. În această secțiune, vom explica fiecare categorie și modul în care funcționează.

1. Detecția anomaliilor

Detectarea anomaliilor este o tehnică care semnalează abaterile de la tiparele normale de comportament sau de date dintr-o rețea / dintr-un sistem. Aceste abateri („anomalii”) pot indica potențiale amenințări sau incidente de securitate. Detectarea anomaliilor utilizează modele statistice, algoritmi de învățare automată sau inteligență artificială pentru a compara tiparele normale și cele anormale.

De exemplu:
Gândiți-vă la un sistem de monitorizare a rețelei într-o organizație mare: în timpul funcționării normale, un server primește un număr consistent de cereri pe minut. Într-o zi, acesta înregistrează o creștere neașteptată a numărului de cereri într-un interval de timp scurt. Aceasta este o anomalie care ar putea indica un atac DDoS sau o tentativă de acces neautorizat. Un sistem de detectare a anomaliilor declanșează o alertă pentru investigații suplimentare.

Aspecte practice:
Detectarea anomaliilor poate fi aplicată în diverse domenii: analiza traficului de rețea, analiza comportamentului utilizatorilor și al entităților (UEBA/user and entity behavior analytics), detectarea și răspunsul la puncte terminale (EDR/endpoint detection and response) etc. Detectarea anomaliilor poate contribui la descoperirea amenințărilor necunoscute sau în curs de formare, care nu pot fi detectate prin alte tehnici.

Totuși, detectarea anomaliilor întâmpină unele provocări: falsele pozitive, falsele negative sau costurile de calcul ridicate. De aceea, detectarea anomaliilor ar trebui să fie utilizată împreună cu alte tehnici și parametri.

2. Detecția bazată pe semnături

Detecția bazată pe semnături identifică amenințările sau incidentele cunoscute prin potrivirea modelelor de date cu semnături predefinite sau indicatori de compromis (IoC/indicators of compromise). Aceste semnături sau IoC sunt derivate din cazuri anterioare de malware sau modele de atac. Detecția bazată pe semnături utilizează baze de date de semnături sau IoC pentru a scana fișierele, pachetele de rețea sau jurnalele de sistem pentru a găsi corespondențe.

De exemplu:
Software-ul antivirus utilizează detecția bazată pe semnături pentru a identifica și a pune în carantină fișierele malițioase. Baza de date a software-ului conține semnături ale virușilor cunoscuți. Atunci când un fișier se potrivește cu una dintre aceste semnături, programul antivirus ia măsurile corespunzătoare pentru a împiedica executarea fișierului și producerea de daune.

Aspecte practice:
Detecția bazată pe semnături poate fi aplicată la diferite instrumente și tehnici: programele antivirus, sistemele de detectare a intruziunilor (IDS/intrusion detection systems), fluxurile de informații privind amenințările etc. Astfel, poate contribui la detectarea rapidă și precisă a amenințărilor cunoscute.

Cu toate acestea, detecția bazată pe semnături are și unele limitări: imposibilitatea de a detecta amenințările necunoscute sau emergente, necesitatea de a actualiza frecvent semnăturile sau IoC-urile sau vulnerabilitatea la tehnicile de evaziune. De aceea, detectarea bazată pe semnături ar trebui să fie utilizată împreună cu alte tehnici și parametri.

3. Detecția bazată pe comportament

Detectarea bazată pe comportament semnalează amenințările sau incidentele pe baza abaterilor de la comportamentul normal al utilizatorilor, dispozitivelor sau aplicațiilor din rețea / sistem. Această tehnică utilizează reguli, analize euristice sau învățare automată pentru a determina motivele sau obiectivele actorilor și pentru a identifica orice comportament suspect sau rău intenționat. Detectarea bazată pe comportament poate dezvălui amenințări sau incidente ascunse sau necunoscute: amenințarea din interior, exfiltrarea de date, atacul ransomware etc.

De exemplu:
Să luăm în considerare o rețea de corporație în care angajații accesează de obicei anumite tipuri de date în timpul orelor de lucru obișnuite. Dacă un angajat începe brusc să acceseze informații extrem de sensibile în afara orelor obișnuite de lucru, sistemul de detectare bazat pe comportament ar semnala acest lucru ca activitate suspectă, indicând o potențială încălcare a securității.

Aspecte practice:
Detectarea bazată pe comportament poate fi aplicată la diverse instrumente și tehnici: honeypots („borcane de miere”), tehnologii de decepție, dinamica tastaturii etc. Detecția bazată pe comportament poate ajuta la detectarea amenințărilor complexe sau invizibile care nu pot fi detectate de alte tehnici.

Evident, și detectarea bazată pe comportament are propriile provocări: definirea comportamentului normal, reducerea falsurilor pozitive sau adaptarea la schimbarea comportamentului. Prin urmare, detectarea bazată pe comportament ar trebui să fie utilizată împreună cu alte tehnici și parametri.

Măsuri practice pentru o detecție eficientă

Detectarea este un proces continuu și dinamic care necesită o abordare proactivă: nu este suficient doar să se instalați / implementați instrumente sau tehnici de detectare, ci și să configurați și să întrețineți în mod corespunzător. Iată câteva măsuri practice pentru o detecție eficientă:

Crearea de sisteme de monitorizare și de alertă

Sistemele de monitorizare și de alertă sunt esențiale pentru colectarea și agregarea datelor, precum și pentru notificarea echipelor sau sistemelor de securitate cu privire la anomalii / discrepanțe. Sistemele de monitorizare și alertă pot utiliza senzori, agenți, SIEM (Security information and event management) pentru a colecta și corela date din fișiere, pachete de rețea, jurnale de sistem etc.

Utilizarea sistemelor de detectare a intruziunilor (IDS/intrusion detection systems)

IDS sunt instrumente sau dispozitive specializate care efectuează operațiuni de detectare pe o rețea (NIDS/Network-based IDS) sau pe gazdă (HIDS/Host-based IDS). IDS pot utiliza tehnici de detecție bazate pe semnături, pe anomalii, pe euristică sau pe comportament pentru a identifica și clasifica amenințările sau incidentele.

Implementarea fluxurilor de informații despre amenințări

Fluxurile de informații despre amenințări sunt surse de informații care furnizează date actualizate și relevante privind amenințările / incidentele cunoscute sau emergente. Pot include indicatori de compromis (IoC), semnături, reguli, euristici etc. care pot fi utilizate de instrumentele sau tehnicile de detectare pentru a spori precizia și eficiența. Fluxurile de informații privind amenințările pot fi obținute din surse interne sau externe: cum ar fi furnizori de securitate, cercetători, comunități etc.

Scanări periodice privind vulnerabilitatea

Scanările de vulnerabilitate evaluează starea de securitate și punctele slabe ale unei rețele sau ale unui sistem. Pot ajuta la identificarea și prioritizarea vulnerabilităților care pot fi exploatate de amenințări sau incidente. Scanările de vulnerabilitate pot utiliza instrumente sau software care scanează vulnerabilitățile cunoscute sau potențiale ale componentelor rețelei sau ale sistemului (software, hardware, configurație etc.).

Reglare și optimizare

Reglarea regulilor și parametrilor de detecție este un proces continuu, esențial pentru reducerea numărului de falsuri pozitive și pentru îmbunătățirea preciziei. Echipele de securitate ar trebui să revizuiască și să actualizeze în mod regulat regulile de detecție pe baza noilor amenințări, vulnerabilități sau modificări ale infrastructurii organizaționale. Dacă este posibil, recomandăm mplementarea de sisteme care învață și se adaptează în timp la comportamentul normal, reducând astfel numărul de falsuri pozitive.

Integrarea cu sistemele de răspuns la incidente

Integrarea cu sistemele de răspuns la incidente asigură un răspuns rapid și coordonat atunci când este detectată o amenințare. Aceasta facilitează izolarea, reduce impactul unui incident și previne repetarea acestuia. Recomandăm dezvoltarea de răspunsuri automate pentru anumite tipuri de amenințări, pentru a vă asigura că se iau măsuri imediate, minimizând timpul de răspuns manual. De asemenea, utilizați instrumente de colaborare pentru a facilita comunicarea și coordonarea eficientă în cadrul echipei de răspuns la incidente.

Scenarii și exemple din viața reală

Iată câteva scenarii și exemple reale de detecție reușită, folosind diferite tipuri și metode de detecție:

Detecție bazată pe anomalii

În 2019, o mare companie de software a detectat un atac cibernetic sofisticat care a vizat mii de clienți din 24 de țări. Atacatorii au folosit o tehnică numită „password spray” pentru a încerca să ghicească parolele conturilor de utilizator.

Compania a utilizat detectarea bazată pe anomalii pentru a detecta încercările neobișnuite de autentificare și a alertat clienții afectați să își reseteze parolele și să activeze autentificarea cu factori multipli (MFA). De asemenea, compania a folosit detectarea bazată pe semnături pentru a bloca adresele IP și domeniile rău intenționate folosite de atacatori.

Surse:

  1. Microsoft: https://learn.microsoft.com/en-us/security/operations/incident-response-playbook-password-spray
  2. Microsoft: https://www.microsoft.com/en-us/security/blog/2020/04/23/protecting-organization-password-spray-attacks/

Detecție bazată pe metode euristice

În 2020, o importantă firmă de securitate cibernetică a detectat o campanie masivă de atacuri care a compromis mai multe agenții guvernamentale și companii private din SUA și din alte țări. Atacatorii au folosit o tehnică numită atac prin lanțul de aprovizionare pentru a introduce coduri malițioase într-o actualizare legitimă de software de la o companie de gestionare a rețelei.

Firma de securitate cibernetică a folosit detecția bazată pe euristică pentru a analiza comportamentul programului malware și a descoperit natura sa invizibilă și sofisticată. De asemenea, au fost folosite fluxuri de informații despre amenințări pentru a împărtăși descoperirile și IoC-urile sale cu comunitatea de securitate și cu autoritățile.

Surse:

  1. CIS: https://www.cisecurity.org/solarwinds
  2. ZDNet = https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/

Detecție bazată pe comportament

În 2021, o mare companie tehnologică a detectat o nouă campanie de atac cibernetic care viza cercetătorii în domeniul securității care lucrau la cercetarea și dezvoltarea de vulnerabilități. Atacatorii au folosit o tehnică numită watering hole attack pentru a-i atrage pe cercetători să viziteze un site web malițios care exploata o vulnerabilitate de tip zero-day în browserul companiei.

Compania de tehnologie a utilizat detectarea bazată pe comportament pentru a monitoriza acțiunile și intențiile atacatorilor și a descoperit schema elaborată a acestora. De asemenea, a fost folosit sandboxing pentru a izola și examina site-ul web și codul malițios.

Surse:

  1. Google Blog: https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
  2. Schneier: https://www.schneier.com/blog/archives/2021/01/sophisticated-watering-hole-attack.html

Cum puteți să vă îmbunătățiți capacitatea de detecție

Pentru că detecția nu este un proces complex și în continuă evoluție, poate fi îmbunătățită prin respectarea unor sfaturi și bune practici:

Instruirea periodică a echipelor de securitate

Echipele de securitate ar trebui să beneficieze de o instruire periodică cu privire la cele mai recente tendințe și tehnici de detectare, precum și la amenințările și incidentele comune cu care se pot confrunta. Formarea poate contribui la îmbunătățirea abilităților și cunoștințelor echipelor de securitate, precum și a gradului de conștientizare și a pregătirii acestora pentru detectare.

Optimizarea regulilor și parametrilor de detecție

Regulile și parametrii de detecție ar trebui să fie optimizate în funcție de nevoile și contextul specific al fiecărei rețele sau al fiecărui sistem. Ajustarea poate contribui la reducerea numărului de falsuri pozitive și negative, precum și la optimizarea performanței și eficienței instrumentelor sau tehnicilor de detectare.

Integrarea instrumentelor de detecție cu sistemele de răspuns la incidente

Instrumentele de detecție ar trebui integrate cu sistemele de răspuns la incidente (respectiv: sistemele de izolare, eradicare, recuperare, analiză și îmbunătățire). Integrarea poate contribui la automatizarea și eficientizarea procesului de răspuns după detectarea unei amenințări sau a unui incident, precum și la furnizarea de feedback și recomandări pentru îmbunătățirea capacităților de detectare.

***

Spre deosebire de „Hoții și vardiștii”, detecția este esențială pentru securitatea cibernetică, deoarece ajută la protejarea activelor dvs. valoroase de potențiale atacuri.

Pentru „a juca” cu rezultate optime, este nevoie de mai multe abilități în același timp: să folosiți diferite tipuri de detecție; să urmați câteva etape clare pentru o detecție eficientă; să învățați din scenarii și exemple din viața reală; și să urmați cele mai bune practici pentru a îmbunătăți capacitățile organizației dumneavoastră.

***

La infinilink, credem că securitatea cibernetică este un efort continuu, iar menținerea vigilenței este esențială pentru a fi în fața amenințărilor cibernetice. Urmând câțiva pași relativ simpli, și menținând o atitudine activă în materie de securitate, puteți reduce semnificativ riscul de a cădea victimă atacurilor cibernetice.

Pentru orice informații suplimentare privind securitatea cibernetică și serviciile de cybersecurity ale infinilink, vă rugăm să ne contactați sau să accesați pagina web dedicată serviciilor cybersecurity.

Scroll to Top