2016-11-18

Intelligence: dający podstawy do działania

Usługa Threat Intelligence, którą oferujemy na rynku powoduje czasem konsternację, szczególnie kiedy pokazuję, że skupiamy się na trzech górnych warstwach piramidy bólu - TTP, Narzędzia oraz Artefakty Sieciowe i na Hostach.


 

(źródło: http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html)


Uważam, że już czas powiedzieć dość skupianiu się głównie na kolejnych sygnaturach/IOC do systemów bezpieczeństwa także w Polsce. Dlaczego także w Polsce? - bo w Europie i za oceanem nasze podejście nie jest tak zaskakujące.

Nowe sygnatury/IOC to często za mało, szczególnie kiedy skupione są wokół:

  • skrótu hash plików,
  • adresów IP,
  • domen czy URLów
Działa to w sytuacji kiedy napastnik ponownie korzysta z tej samej infrastruktury co wcześniej. A co z tymi, którzy je zmieniają i używają ich po raz pierwszy? A jeśli dana kampania APT nie została jeszcze przez nikogo opisana i nie przekazano w ramach Threat Feedów IOC? - mam nadzieję, że przed takimi napastnikami nie wywieszacie białej flagi.

Wspomnę też o realnej wartości oraz uwzględnieniu liczby fałszywych pozytywów, które generuje używanie prostych IOC, a konsumuje czas analityków.

Threat Intelligence pozwala na podjęcie decyzji szybciej i precyzyjniej niż bez niego albo potrzebujesz innego dostawcy tej usługi.

Podejmowane decyzje implikują działania, które trzeba wykonać - na tym polega konsumpcja. W przypadku tak ulotnych i łatwych w modyfikacji IOC wskazanych powyżej, możliwa jest automatyzacja ich wykorzystania.

Kiedy mówimy o trzech górnych warstwach piramidy bólu, automatyzacja jest utrudniona i często niemożliwa. Trzeba włożyć w to więcej pracy, ale to się opłaca - znacznie podnosisz koszty jakie musi ponieść napastnik by z Tobą wygrać. Jeśli ta większa praca to powód by z tego zrezygnować napiszę to jeszcze raz:

Mam nadzieję, że nie wywieszasz białej flagi przed napastnikiem, którego nie da się skutecznie i długoterminowo opisać za pomocą prostych IOC z dolnej części piramidy bólu.

Wywieszasz flagę czy aktywnie się bronisz?

Brak komentarzy:

Prześlij komentarz