In einem früheren Blog haben wir über die Bedeutung von Sicherheitsanreicherungen in Ihren Netzwerk-Metadaten gesprochen. Diese dienen als Grundlage für Bedrohungsjäger und Analysten, um Hypothesen während eines Ermittlungsprozesses zu testen und abzufragen. Unser Data-Science-Team wird auch in Zukunft Beispiele für die Arbeit vorstellen, die wir durchführen, um diese Anreicherungen zu ermitteln.
Das heutige Beispiel konzentriert sich auf das Multi-Homed-Attribut, das Sie in Cognito Stream, Cognito Recall und den zugrunde liegenden Engines in Cognito Detect finden. Mit diesem Attribut können Sicherheitsteams noch effizienter feststellen, ob ein identifizierter Command-and-Control- oder Exfiltrationskanal bösartig sein könnte.
Wenn Sie heute den Netzwerkverkehr beobachten, ist es möglich, dass eine Domäne zu mehreren IPs aufgelöst wird. Dies ist wahrscheinlich ein Hinweis auf einen externen Host, der Teil einer größeren Infrastruktur ist. Es ist unwahrscheinlich, dass der Command-and-Control-Kanal (C&C) eines Angreifers eine so große Infrastruktur nutzt, es sei denn, er nutzt Verschleierungstechniken. Dies liegt daran, dass eine optimale Angreifer-Infrastruktur nach bewährten OPSEC-Praktiken (Operations Security) isoliert sein sollte.
Eine isolierte Architektur schafft nicht nur einen kleineren Fußabdruck, sondern erschwert es den Ermittlern auch, einzelne Angriffe zu korrelieren und die Absicht zu bestimmen. Eine größere Angriffsinfrastruktur widerspricht der Notwendigkeit, Operationen zu isolieren, und macht es für Angreifer schwieriger und teurer, ihre Ziele zu erreichen. Zu wissen, ob der Datenverkehr an eine IP-Adresse geht, die über eine größere Infrastruktur geliefert wird, kann hilfreich sein, wenn verschiedene externe Verbindungen auf Command-and-Control-Aktivitäten untersucht werden.
Ein Ermittler oder Bedrohungsjäger kann dies nutzen, um den zu diesen IP-Adressen und Domänen gehenden Datenverkehr aus seinem Ermittlungsbereich zu eliminieren und so Fehlalarme zu verringern und die Effizienz der Prozesse im Security Operations Center (SOC) zu verbessern. Der Grund für die Beseitigung dieses Datenverkehrs ist, dass fortgeschrittene Angreifer mit den besten OPSEC-Praktiken arbeiten und Angreifer auf niedrigerer Ebene die Kosten und die Komplexität einer größeren Infrastruktur vermeiden.
Obwohl er in den zugrunde liegenden Metadaten als einzelnes Attribut dargestellt wird, ist der Generierungsalgorithmus recht leistungsfähig. Es handelt sich um ein dynamisches Modell, das ständig den DNS-Verkehr abhört und A-Datensätze und CNAMES extrahiert. Das Modell löst rekursiv jeden A-Datensatz und CNAME auf und zählt dann die mit jeder Domäne verbundenen IP-Adressen. Da DNS-Zuordnungen flüchtig sind, lernt und vergisst das Modell ständig, um die aktuellste Bestimmung zu gewährleisten. Ein boolesches Attribut mit der Bezeichnung " HostMultihomed" ist jetzt mit den effektiven Zieladressen verknüpft und ist in den iSession-, HTTP- und TLS-Metadatenströmen sowohl in Cognito Stream als auch in Cognito Recall vorhanden.
Für weitere Informationen wenden Sie sich bitte an Ihren lokalen Vectra Vertreter. Wenn Sie ein Vectra Kunde sind und eine Anleitung für das Attribut "multi-homed" in Ihrer Bereitstellung benötigen, wenden Sie sich bitte an Ihren Customer Success Manager.