Cyber threat management: Indicators of Compromise

Indikátory kompromitace (Indicators of Compromise, zkr. IoC), jak již název napovídá, by měly sloužit k identifikaci kompromitovaného zařízení.

Tedy zařízení, kterým může být stejně tak server, jako pracovní stanice, notebook, tablet, mobilní telefon anebo síťový prvek. Jako indikátory kompromitace, jsou zpravidla uváděny konkrétní:

  • IP adresy a domény, ze kterých byl veden útok, nachází se na nich malware, řídící centra, phishingové stránky, či sloužící jako tzv. drop zóna;
  • e-mailové servery šířící SPAM, obsah e-mailů, e-mailové adresy, odkazy, názvy příloh;
  • jména souborů v souborovém systému, dynamických knihoven a jejich hashe, klíče v registrech, apod.

IoC jsou sestavovány organizacemi, které se zabývají bezpečností, monitorují situaci v kyberprostoru a mají přístup k zařízením, která již byla napadena a mohou je analyzovat, identifikovat charakteristické příznaky a ty pak popsat ve formě IoC a distribuovat svým klientům v rámci služby Cyber Threat Intelligence, zkr. CTI.

IoC pak lze nakrmit nejrůznější bezpečnostní nástroje a sledovat, zda nějaký stroj na vnitřní síti nebyl kompromitován a nekomunikuje třeba na nějakou profláknutou adresu, nebo není do organizace aktuálně doručován phishing e-mail, či zda se v systému nenachází soubor s daným hashem anebo záznam v registrech.

Otázka však je, zda lze tímto způsobem skutečně včas detekovat probíhající útok anebo odhalit již kompromitované zařízení. Jistěže lze, ale jen ve velice specifických případech a obzvláště pak plošně vedených útocích. Proč, tomu tak je? Odpověď je nasnadě:

  • IP adresy, ze kterých jsou vedeny útoky, nachází se na nich malware, řídící centra, či slouží jako drop zóna, se velice rychle mění, a jsou detekovány, takže druhý den se na nich již nachází jen naprosto legitimní business;
  • e-maily jsou rozesílány z různých e-mailových adres, různých mailových serverů a mají i různý obsah, jiné názvy a velikosti příloh;
  • jména souborů, dynamických knihoven a jejich hashe a klíče v registrech se mění a jsou kompilovány až na napadeném počítači a jsou generovány jako unikátní.

Významnou roli zde také hraje faktor času, protože je třeba si uvědomit, že útok nejprve musí proběhnout, poté musí být detekován, pak musí být analyzován, aby mohly být následně sestaveny IoC, a ty nakonec musí být zpřístupněny odběratelům služby.

I když se podaří poslední krok plně zautomatizovat, tj. zajistit, aby v okamžiku, kdy je IoC sestaven, tak aby byla aktualizována databáze IoC např. v SIEM řešení či síťovém skeneru, tak uběhne příliš mnoho času mezi zahájením útoku a sestavením IoC.

Ve výsledku tak může být teoreticky detekován kompromitovaný stroj, který se snaží např. komunikovat na IP adresu, na které se nachází C&C server. Spíš je však třeba počítat s tím, že na dané adrese již žádný C&C server nepoběží a bude se jednat o false positive událost.

Toto tvrzení lze opřít i o vlastní výzkum, který byl proveden v posledních 5 letech, kdy veškeré bezpečnostní alerty generované nástrojem SIEM  na základě importovaných IoC, byly false positive.

Na základě výše uvedeného lze konstatovat, že přidaná hodnota služby CTI se zaměřením na IoC je značně nadhodnocena a její přínos není zpravidla takový, jak se obecně míní. Pozitivní je, že se zpracováním IoC se v některých případech může podstatně zkrátit Dwell time.

Vzhledem k tomu, že trendem posledních let je bezsouborový malware a objevují se i nové hrozby, tak je třeba se více zaměřit na vyhodnocování podezřelého chování a přejít od pasivního k aktivnímu řízení hrozeb[1] a nespoléhat se příliš na IoC.

[1] VANHORN, Thom. The Evolution of Endpoint Security: Moving from Passive to Active Threat Management. Channel Futures [online]. 24. leden 2018 [vid. 10. březen 2019]. Získáno z: https://www.channelfutures.com/from-the-industry/the-evolution-of-endpoint-security-moving-from-passive-to-active-threat-management



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

Štítky: ,


K článku “Cyber threat management: Indicators of Compromise” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: