Clico Recorded Future: Pametna platforma za pametnu sajberbezbednost
Nije lako raditi u cyber security sektoru. Iako pun svojih čari, težak je to i stresan posao. Osim što čovek razvije paranoju i nesanicu, provede i mnoge sate razmišljajući kako da zaštiti svoju kompaniju na najbolji mogući način. Svako je danas „naoružan” raznim alatima, sigurnim okruženjima, security procedurama, no da li je to zaista i dovoljno. Svi vrhunski alati zavise najviše od jedne stvari kako bi bili efikasni, a to je pravovremena informacija. Šta to tačno znači?
Svedoci smo ovih dana kakve efekte na ceo svet ima ranjivost u Log4j, Java logging biblioteci, jednoj od najčešće korišćenih širom sveta. Nebrojene aplikacije su kreirane Java komponentama, koje se kreću od kritične infrastrukture kao što su VMWare proizvodi do open-source projekata Apache Solr, Apache Druid i mnogih drugih. Krucijalno pitanje je – kako doći do svih potrebnih informacija, kako da znamo što je pre moguće koji softverski proizvodi su afektovani, s kojih IP adresa preti opasnosti i slično. Mnogi cyber security operativci krstare raznim poznatim tehničkim stranicama, blogovima, Twitter-om u poteri za bilo kakvom informacijom koja bi im pomogla u obavljanju svog posla. U ovom momentu Log4Shell CVE opasnost vreba sa 327 IP adresa i afektovano je 937 softverskih proizvoda. Kako ovo znam? Rekla mi je ptičica pod imenom Recorded Future(RF).
Recorded Future za pravi odgovor na izazove
RF je threat intelligence platforma koja isporučuje precizne i pravovremene obaveštajne podatke o bilo kom cyber security događaju, i to već pet minuta po objavljivanju bilo gde na Web-u. U srcu sistema se nalazi Intelligence Graph, koji sadrži najsveobuhvatniji skup podataka, sakupljanih više od 10 godina, koji se neprekidno usavršava. Ono čime se RF posebno ponosi jeste više od 1.000.000 izvora informacija, kao što su svetska štampa, stručni sajtovi i blogovi, društveni mediji, Paste sajtovi s jedne, i Dark Web forumi s druge strane. RF čak ima i svoje igrače u Dark Web svetu koji marljivo sakupljaju informacije do kojih mogu da dođu.
Sastoji se od sedam modula, koji svaki za sebe donosi posebne vrednosti, bilo da se radi o nadgledanju i kontroli brenda ili identifikaciji prethodno nepoznatih pretnji i pravoj reakciji bez potrebe za manuelnim istraživanjem, a što daje Threat Intelligence modul. Ili pak kontrola 3rd party vendora kroz istoimeni modul, zatim modul koji je od izuzetnog značaja SOC centrima, incident risponderima, TIER 1 i 2 incident istražiteljima, analitičarima, a pod imenom SecOps. Ili je cilj da pronađete u vašem okruženju baš one ranjivosti koje se mogu eksploatisati in the Wild. Pristup informacijama može biti kroz Web portal, API integracije ili kroz mobilnu aplikaciju.
Jedan od najinteresantnijih modula svakako je Brand. Modul daje lak i jednostavan pregled svih informacija koje su skupljene iz raznih izvora, a vezane su za kompaniju koju želimo da pratimo. RF ne sakuplja interne informacije kompanije, već pruža uvid u javno dostupne, kao i one s Dark Web-a i na taj način omogućava prepoznavanje pretnji 10 odsto brže. Tu možemo videti ukoliko je pretrpljen neki cyber napad, da li je bilo nekih malicioznih mrežnih aktivnosti koje uključuju vlasništvo kompanije, razne informacije s Dark Web foruma, te da li su neki kredencijali „iscurili” i dostupni su za kupovinu na marketima, typosquats, e-mail i web application security informacije i slično, a bez potrebe da analitičar ovakve informacije traži ručno.
Sve ovo, a i mnogo više, može se pratiti kroz Domain Abuse Alerts opciju, koja automatski prati željene informacije i prezentuje ih s velikim brojem detalja, kao što su IP adresa, DNS rekordi, snimci ekrana typosquat-a, pa čak i mogućnost slanja zahteva za uklanjanje, a što RF može da omogući svojim klijentima.
Raznovrsni moduli za odgovarajuće izazove
Threat Intelligence i SecOps moduli pružaju mogućnosti trijaže upozorenja, detekciju pretnji, kao i prevenciju, naprednu pretragu pretnji i njihovu validaciju, pretragu po Dark Web-u i automatski monitoring pretnji po kompanijski Tech Stack. Ukoliko analitičar ima potrebu za informacijama koji tipovi malvera su aktuelni u određenoj industriji Ili možda koji napadi su se dešavali u Evropi ove godine, a sponzorisala ih je neka država, ovo su pravi moduli za to. Pružaju 22 odsto više identifikovanih napada i pre nego što se oni dogode, a za čak 34 odsto je smanjeno vreme za analizu, te je 50 odsto više incidenata obrađeno.
Ono što je najbitnije jeste da analitičari neće izgubiti dragoceno vreme lutajući po raznim sajtovima, tragajući za informacijama, koje svakako neće imati u ovom broju. Nije samo čista informacija vrednost RF. Njihov analitički tim i analizira informacije, te redovno pruža detaljne izveštaje o trenutnim aktuelnostima iz cyber security sveta. Tako obrađene informacije daju sigurnost analitičarima da brzo odluče koji su sledeći koraci koje treba preduzeti, a s obzirom na to da se RF oslanja na NIST i MITRE, u potpunosti mogu biti sigurni da je sve u skladu sa Security standardima.
Jedna od najvećih noćnih mora svakog cyber security inženjera jeste skeniranje okruženja na ranjivosti i lista na kraju koja može da sadrži i nekoliko hiljada nalaza. Pitanje je da li napadači mogu direktno da iskoriste sve pronađene ranjivosti? Naravno da ne, ali kako saznati koje mogu. Tu u pomoć priskače RF sa sveobuhvatnom listom znanih ranjivosti, njihovom analizom i ocenom, a posebno s preciznom informacijom da li i kako mogu biti zloupotrebljene. RF pruža informacije o novim ranjivostima u proseku 11 dana pre nego što se pojave na NVD (National Vulnerability Database), pruža dinamičke liste sa informacijama o novim ranjivostima, te da li su dovedene u vezu s Pentest alatima ili malverima, vendorima i njihovim proizvodima. Najbitnije je što daje automatsku analizu ranjivosti iz kompanijskog okruženja, kako bi se iskristalisala redna lista primene zakrpa, gde bi prvenstvo imale one ranjivosti koje se mogu direktno iskoristiti. Ova opcija dolazi od dodatka za browser, koji automatski skenira stranicu, markira kritične pronalaske i direktno pruža dublje informacije, bez potrebe ulaska na samu platformu.
Bogatstvo opcija i mogućnosti
Da li je ovo sve što se može očekivati? Naravno da nije. Pored klasičnih integracija, npr. sa SIEM rešenjima, postoje i ekstenzije koje dozvoljavaju povezivanje drugih rešenja sa RF i automatsku proveru informacija, npr. da li se najnoviji malver pojavio u kompanijskom okruženju.
Uzmimo za primer ekstenziju EDR rešenja SentinelOne (S1) i RF. SentinelOne, kao jedan od najozbiljnijih takmaca u sferi XDR rešenja, prepoznao je vrednosti koje se dobijaju obogaćivanjem informacija koje i sam pruža, te je na taj način omogućena i bolja zaštita jednog okruženja. Upotrebom moćne Deep Visibility opcije, koja automatski proverava i analizira pronađeni maliciozni sadržaj, ali i prati benigni u potrazi za odloženim akcijama, dobija se kompletna analiza potencijalnog dešavanja u okruženju, a samo na osnovu SHA1 informacije koja dolazi iz RF. Ukoliko se određeni SHA1 pojavio u okruženju, lov može da počne.
Opcije Deep Visibility i StoryLine omogućavaju brzu analizu i povezivanje procesa i događaja koji su vezani za isti izvor. Na taj način, bez obzira na to šta je izvor, a šta krajnji rezultat jednog napada, dobija se potpuna slika događaja, broj indikatora, zahvaćenih procesa, fajlova, pa i neželjenih upisa u registar. I to sve jednim klikom miša. Svaka od ovih stavki je posebno analizirana i predstavljena na vremenskoj liniji događaja.
E sad, zamislimo da pričamo o Zero day problematici. Ovakva analiza i količina informacija podjednako je dostupna za poznate i nove napade. Međutim, najbitnija je mogućnost remedijacije koju pruža S1 za novootkrivene napade. S1 koristi opciju operativnog sistema Windows pod nazivom VSS (Volume Shadow Copy), a pošto S1 štiti na nivou kernela, u svakom momentu postoji mogućnost vraćanja kompromitovanih dokumenata opcijom Rollback, kao i automatsko smeštanje pretnje na Black listu. I ne samo to. S1 štiti od lateralnih kretnji, fileless napada, raznih eksploita, loših skripti i makroa, eksploatacije memorije, eskalacije privilegija, malicioznih aktivnosti u mreži, izmena procesa, upisa u registar i sve to u realnom vremenu. Za to koristi Static i Behavioral AI, a za threat hunting patentirani, moćni Deep Visibility. Oslanja se na NIST Framework, kao i MITRE matricu. Poseduje firewall krontrolu, kontrolu USB i Bluetooth uređaja, kao i izveštaj o ranjivosti aplikacija prisutnih na mašinama. A ono što dodatno izdvaja S1 od konkurenata jeste rezultat od 0 promašenih/odloženih reakcija na MITRE testu iz ove godine.
Odavno je prošlo vreme kada je običan antivirus bio dovoljan. Budućnost cyber security zaštite leži u udruživanju snaga protiv zajedničkog neprijatelja, čija armija vreba iz pomrčine tamne strane Web-a. Jer, nije dovoljno imati samo informaciju ili samo rešenje koje može napade da zaustavi. Samo ovakvim integracijama možemo od svojih kompanija načiniti najteže moguće mete i dostojne protivnike u cyber security okršaju. Pa nek pobedi bolji.
Korisna adresa: clico.rs
Autor: Tamara Velanac, Senior Security Engineer, CLICO SEE