Intelligence: Wymagania I

Threat Intelligence -> Intelligence-driven security to stosunkowo nowe pojęcia, choć wg mnie to po prostu nazwane po imieniu sposoby/metody podejścia do świadomego zarządzania ryzykiem - potrzebnego w XXI w.

Od samego początku istnienia White Cat Security, towarzyszy nam jeden cel: Znać Twojego Wroga. Stąd usługa Threat Intelligence jest dla nas czymś naturalnym i do której przygotowywaliśmy się całkiem długo - rzekłbym, że przez "całe życie".

Jedna z plotek niesie, że Intelligence jest wyłącznie dla elit. Pojawiają się artykuły mówiące o takich wymaganiach jak:

• dojrzały i elastyczny Dział IT, który szybko reaguje na zmiany
• agresywny proces usuwania znanych podatności
• zespół Reagujący na Incydenty/Łowców potrafiący korzystać z danych wynikających z wywiadu
• skuteczna inwentaryzacja urządzeń i oprogramowania w firmie/organizacji

Autorem tych wymagań, zanim zainteresujesz się Threat Intelligence, jest Jacob Williams (@MalwareJake).

Po części zgoda, to istotne tematy. Natomiast jeśli tego nie mam to mam odpuścić Threat Intelligence i wrócić będąc gotowym?

Proponuję inne podejście i korzystanie z Threat Intelligence od samego początku lub dowolnie innego miejsca:

• Nawet jeśli nie znasz wartościowych zasobów w firmie gdzie pracujesz to jeszcze nie koniec świata. To się zdarza, nawet stosunkowo często. Nawet w firmach, które inwentaryzują zasoby to zdarza się, że głównie pod audytora (czyt. regulatora). Szkopuł w klasycznym podejściu do wskazywania wartościowych zasobów jest taki, że zazwyczaj na takiej liście są oczywiste systemy bez uwzględnienia możliwych ścieżek do niego - tych bezpośrednich i pośrednich. Wiedza o tym jak realizowane są ataki, jakimi ścieżkami/przypadkami, pozwoli Ci je uwzględniać już teraz.

• Nawet jeśli urządzenia i oprogramowanie w Twojej firmie nie zapisuje właściwych zdarzeń to nie czekaj do momentu kiedy wszystkie zaczną zapisywać. Gromadzenie i analiza dużych zbiorów zdarzeń to spore wyzwanie, które może odpychać od momentu konsumpcji Threat Intelligence jak to przedstawia część dostawców. Wiedza o tym jakimi metodami przeprowadzane są ataki, jakie ślady po sobie zostawia napastnik pozwoli Ci ułożyć priorytety, których zdarzeń potrzebujesz najbardziej i w jakiej kolejności.

• Nawet jeśli nie zbierasz wszystkich zdarzeń centralnie do systemu typu SIEM lub rozwiązania typu Log Management, bo nie posiadasz takiego systemu lub obecny ledwo zipie, zapchany po brzegi licencji/dysków/wydajności (niepotrzebne skreśl), zawsze jest dobry czas na inwentaryzację. Inwentaryzacja może być determinowana tym co aktualnie wykrywamy i jakich innych zdarzeń potrzebujemy aby bez opuszczania konsoli SIEMa móc wyjaśniać wykryte podejrzenia incydentów bezpieczeństwa. Wiedza o tym w oparciu o jakie zdarzenia lub ich zestawienie/korelację będziemy wykrywać napastnika i wyjaśniać te podejrzenia pozwoli zdefiniować co przesyłać do SIEMa lub co filtrować na jego wejściu aby mieć w nim dokładnie to co chcemy i efektywnie wykorzystywać posiadaną licencję/wydajność/pojemność.

Kiedy budowałem pierwszy zespół CSIRT bardzo brakowało mi takiego podejścia i zawsze do niego dążyłem. Oczekiwałem, że przyjdzie ono wraz z integratorami systemów typu SIEM, ale to nie był wówczas moment, kiedy byli na tyle dojrzali. Dzisiaj wygląda to nieco inaczej, natomiast czy integrator ma wystarczająco dużo czasu by być na bieżąco z zagrożeniami, metodami działania napastników, wystarczająco głęboko?

Jeśli jesteś Klientem Integratora, któremu przydałoby się takie wsparcie u Ciebie, a może jesteś przedstawicielem Integratora i chciałbyś mieć profesjonalnego Partnera w zakresie Threat Intelligence oraz jego konsumpcji - zapraszam do kontaktu na kontakt {@} whitecatsec.com

W bonusie zostawiam dwa, świeże linki do artykułów systematyzujących tematykę korelacji w systemach typu SIEM:

• Podstawy korelacji - blog Ofer Shezaf
• Mniej znana strona korelacji - j/w

W kolejnych postach przedstawię inne metody konsumpcji wiedzy wynikającej z Threat Intelligence.

Intelligence: dający podstawy do działania

Usługa Threat Intelligence, którą oferujemy na rynku powoduje czasem konsternację, szczególnie kiedy pokazuję, że skupiamy się na trzech górnych warstwach piramidy bólu - TTP, Narzędzia oraz Artefakty Sieciowe i na Hostach.

 

(źródło: http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html)

Uważam, że już czas powiedzieć dość skupianiu się głównie na kolejnych sygnaturach/IOC do systemów bezpieczeństwa także w Polsce. Dlaczego także w Polsce? - bo w Europie i za oceanem nasze podejście nie jest tak zaskakujące.

Nowe sygnatury/IOC to często za mało, szczególnie kiedy skupione są wokół:

• skrótu hash plików,
• adresów IP,
• domen czy URLów

Działa to w sytuacji kiedy napastnik ponownie korzysta z tej samej infrastruktury co wcześniej. A co z tymi, którzy je zmieniają i używają ich po raz pierwszy? A jeśli dana kampania APT nie została jeszcze przez nikogo opisana i nie przekazano w ramach Threat Feedów IOC? - mam nadzieję, że przed takimi napastnikami nie wywieszacie białej flagi.

Wspomnę też o realnej wartości oraz uwzględnieniu liczby fałszywych pozytywów, które generuje używanie prostych IOC, a konsumuje czas analityków.

Threat Intelligence pozwala na podjęcie decyzji szybciej i precyzyjniej niż bez niego albo potrzebujesz innego dostawcy tej usługi.

Podejmowane decyzje implikują działania, które trzeba wykonać - na tym polega konsumpcja. W przypadku tak ulotnych i łatwych w modyfikacji IOC wskazanych powyżej, możliwa jest automatyzacja ich wykorzystania.

Kiedy mówimy o trzech górnych warstwach piramidy bólu, automatyzacja jest utrudniona i często niemożliwa. Trzeba włożyć w to więcej pracy, ale to się opłaca - znacznie podnosisz koszty jakie musi ponieść napastnik by z Tobą wygrać. Jeśli ta większa praca to powód by z tego zrezygnować napiszę to jeszcze raz:

Mam nadzieję, że nie wywieszasz białej flagi przed napastnikiem, którego nie da się skutecznie i długoterminowo opisać za pomocą prostych IOC z dolnej części piramidy bólu.

Wywieszasz flagę czy aktywnie się bronisz?

Szkolenia 2017 - zmiany

W związku z pojawiającymi się pytaniami o szkolenie "Zaawansowany monitoring i obsługa incydentów bezpieczeństwa IT" realizowane przez trenera z White Cat Security: Przemka Skowron, w ramach oferty firmy Securitum - informuję, że współpraca pomiędzy tymi firmami została zakończona.

Z uwagi na unikalność tego typu szkoleń na rynku w Polsce, zamierzamy je przebudować, zaktualizować i uatrakcyjnić o elementy, które pozwolą początkującym zbudować silne, praktyczne fundamenty, a bardziej zaawansowanym rozwinąć skrzydła oraz perspektywę.

W roku 2017 pojawi się zupełnie nowa oferta szkoleniowa, realizowana w całości przez White Cat Security.

Do momentu pojawienia się nowej oferty szkoleniowej, wszystkich zainteresowanych szkoleniami z monitoringu i obsługi incydentów bezpieczeństwa IT w grupach zamkniętych proszę o bezpośredni kontakt na kontakt {@} whitecatsec.com.