СОВИТ - Пять способов найти злоумышленника в сети

Пять способов найти злоумышленника в сети

Мы все знаем, что атаки в конечном счете пресекаются, единственный вопрос, который остается, - как их найти быстро! Хорошая новость: атака в своем начале очень активна.Злоумышленник может быть идентифицирован и остановлен, если вы знаете, как выглядят некоторые ключевые моменты, которые помогут вам в его обнаружении.

1.     Найдите злоумышленника, пытающегося узнать топологию сети (сканирование портов)

Первоначально злоумышленнику необходимо будет отобразить сетевую среду, в которой он находятся. Посмотрите, можете ли вы понять, сколько портов и мест назначения доступны в разных устройствах в вашей сети, и посмотрите есть ли посторонние.

Источник данных: средства мониторинга или управления сетью, агрегация сетевых потоков

Проблема: атакующие могут пойти «на низком и медленном» уровне.Возможно, вам придется провести некоторый анализ по времени.  Кроме того, может быть много «болтливых» инструментов и протоколов, поэтому требуется время, чтобы отфильтровать шум.

2.     Ищите злоумышленника, пытающегося найти данные(реконфигурация общих папок)

На раннем этапе, когда атакующий (или сетевой вымогатель) пойметкакие общие файлы Windows широко доступны, чтобы охотиться за ценными данными, либо удаленно шифровать их для выкупа. Обнаруженные аномалии в доступе к файлам могут быть ценным сигналом, а также могут предупредить вас о сотруднике, который рассматривает инсайдерскую кражу.

Источникданных: журналы с файловых серверов. Но потребуется анализ, чтобы проанализировать легальные действия пользователейи получить возможность обнаружить аномалии доступа пользователей.

Проблема: к некоторым файлам обычно редко обращаются.Большое количество обращений укажет на необходимость реакции. Кроме того, данные о доступе довольно сложно вычленить и трудно анализировать. Аналогичная ситуация и с сетевыми инструментами, но кропотливая работа по извлечению информации имеет большое значение для обнаружения злоумышленника.

3.     Ищите злоумышленника, пытающегося расширить свой контроль (боковое движение - новое поведение администратора)

Все чаще атакующие «живут за пределами земли», что означает использование меньшего количества вредоносных программ и других средств администрирования и протоколов, чтобы избежать обнаружения агентами антивируса. Но это само по себе аномалия, на которую вы можете обратить внимание. Попытайтесь определить, кто ваши администраторы (например, AD или другие инструменты пользователя), а также какие пользователи используют функции, подобные администратору (SSH или административный доступ через HTTP / adminurl и т.д.). С помощью этого базового уровня вы можете обнаружить, когда атакующий получает контроль и начинает использовать сложные инструменты.

Источник данных: комбинация сетевой информации (netflow, если нужно) и информация AD дают наилучший результат.

Проблема: задача сложная, т.к. нет ни одного явного источника информации. Но даже просто мониторинг использования SSH и RPC дать ценные сведения. Вероятно, у вас будет много ложных срабатываний, но со временем вы сможете просмотреть список одобренных / ожидаемых администраторов, и у них есть базовый уровень, который вы можете обнаружить.

4.     Ищите атакующего, играющего мышцами (чрезмерное использование учетных данных)

Атакующим нравятся учетные записи. Они крадут или генерируют счета и используют их для изучения и получения доступа. Это знак как внешних, так и внутренних злоумышленников. Проанализируйте использование учетных данных, чтобы выявить отклонения, которые свидетельствуют о такой активности атаки.

Источник данных: журналы инфраструктуры аутентификации / авторизации. Извлеките данные и проанализируйте их, чтобы понять, со сколькими системами взаимодействует каждый пользователь. Затем наблюдайте за аномалиями. 

Проблема: существует изменчивость в поведении пользователей, поэтому вы можете завести шаблон поведения «среднего» пользователя. Но даже просто перечисление ваших пользователей с большими объемами томов должно обеспечить достойную видимость - если вы увидите новое имя в списке, вы сможете его проверить.

5.     Ищите механизмы доступа к телефону и постоянному доступу (команда и управление)

Атакующим нужен способ связи между Интернет и конечными точками, которыми они управляют в вашей среде. Несмотря на то, что во время атаки обнаруживается меньше вредоносных программ, чем раньше, все еще могут обнаруживаться вредоносные программы и средство удалённого администрирования (RAT). Следите за исходящими сообщениями и определяйте вредоносный код.

Источник данных: многие из ваших инструментов по периметру, вероятно, уже делают это, но вы можете увеличить шансы обнаружения, просмотрев журналы DNS для шаблонов поиска, которые указывают на вредоносное ПО, пытающееся скрыться от черных списков. Множество выделяющихся запросов, которые выглядят как машинные имена, являются признаком вредоносного ПО, запрограммированного на предотвращение блокировки на основе репутации.

Проблема: у атакующих есть много способов скрыть этот трафик, поэтому необходимо внимательно отслеживать такой трафик. Не полагайтесь только на обнаружение «команда и управление» (C&C) - вы никогда не сможете сказать, какая комбинация обычных интернет-сервисов может быть использована Таким образом, стоит потратить некоторое время на обнаружение С&C, но это не так важно, как некоторые из других шагов (выше), которые существенно сложнее для скрытого атакующего.

В заключение

Как видите, в вашем распоряжении много инструментов, чтобы вовремя выявить злоумышленника. Есть много действий, которые они должны совершить, чтобы учиться и расширять полномочия в атакуемой среде. Для них это первый шаг. Как минимум, к боту нужно как-то подключиться и монетизироватьего (биткойн-майнинг, мошенничество с кликом, спам и т. д.).

В более серьезных случаях первоначальное вторжение - это только плацдарм, который использует атакующий, чтобы затем изучить и расширить сеть в погоне за вашими данными.  В любом случае, не все потеряно при вторжении - есть еще много времени, чтобы найти и обезвредить злоумышленников и вредоносное ПО, прежде чембудет нанесен серьезный ущерб.

Кроме того, можно определить все эти действия и многое другое непосредственно из сети - если вы можете извлечь правильные метаданные из потоков пакетов. Это сложно сделать вручную, но есть отличный вариант автоматизированного анализа -LightCyberMagna. Если требуется автоматизация обнаружения атаки - LightCyberMagnaимеет десятки дополнительных детекторов атак, а также использует машинное обучение для автоматизации определения «обычного» поведения в вашей сети, чтобы впоследствии быстро находить и останавливать нападающих, которые обошли традиционные средства контроля. 

Компания LightCyberявляется ведущим поставщиком решений для обнаружения поведенческих атак, которые обеспечивают точное и эффективное обнаружение атак, которые прошли через бреши традиционных элементов управления безопасностью. Платформа LightCyberMagna - это первый продукт безопасности, который интегрирует пользовательский, сетевой и конечный контекст, чтобы обнаруживать атаки в активной фазе.

 



СОВИТ

Аналитика

Архив

Новости

Архив