CTI İğnelerini Bulmak İçin Saman Yığınlarını Araştırın


Siber güvenlik

Bulutlu görüş

CTI sistemleri, toplama ağlarının boyutundan çeşitliliğine kadar değişen ve sonuçta sinyallerine güven derecesini etkileyen bazı önemli sorunlarla karşı karşıyadır. Yanlış pozitifleri veya herhangi bir zehirlenmeyi önlemek için yeterince taze ve yeterince güvenilirler mi? Eski verilere göre hareket etme riskim var mı? Bu fark büyüktür, çünkü bir bilgi sadece bir karar yardımcısıdır, oysa eyleme geçirilebilir bir bilgi doğrudan bir saldırgana karşı silah haline getirilebilir. Ham veriler samanlıksa, bilgi samanlıktır ve iğneler eyleme geçirilebilir sinyaldir.

Toplama ağlarının boyutunu ve çeşitliliğini göstermek için, özellikle kimseyi adlandırmadan, büyük bir CDN sağlayıcısı düşünelim. Rolünüz, HTTP(ler) üzerinden büyük ölçekte içerik sunmaktır. Bu, çok fazla “dikkat” ve sinyal çeker, ancak yalnızca HTTP katmanında. Ayrıca, herhangi bir akıllı saldırgan muhtemelen IP aralıklarınızı (genel olan ve AS’nizde bilinen) araştırmaktan kaçınacaktır. Bu nedenle, yalnızca ayrım gözetmeyen “Mitralyözler” tarayıcıları veya bir HTTP katmanı üzerinden doğrudan saldırılar alırsınız. Bu çok dar bir odak noktasıdır.

Şimdi, büyük bir EDR/XDR veya yüceltilmiş herhangi bir antivirüs iseniz, milyonlarca cihazı kapsayan devasa bir algılama ağınız olduğunu da iddia edebilirsiniz… Varlıklı işletmelerden. Çünkü kabul edelim ki, kar amacı gütmeyen her devlet hastanesi veya yerel kütüphane bu araçlar için para ödeyemez. Bu nedenle, potansiyel olarak yalnızca gelişmiş aktörleri hedef alan ve çoğunlukla LAN makinelerinde kötü amaçlı yazılım tarafından taşınan tehditleri görürsünüz.

Bal küpü cephesinde de sihirli değnek yoktur. “Mitralyöz tarayıcıları”, İnternet’in arka plan radyoaktivitesini temsil ediyor. İnternete bağlı herhangi bir cihazın çevresinde sürekli olarak bulunan bir tür statik gürültü. Buradaki sorun, daha ziyade, hiçbir saygın siber suç grubunun bir bal küpü makinesini hedeflemek için anlamlı herhangi bir kaynak kullanmayacağıdır. Bir saman kuklayı devirmek için bazı DDoS kaynaklarına yatırım yapmanın anlamı nedir? IP’nizi “potansiyel” bir hedef üzerinde yakmak şöyle dursun, herhangi bir anlamlı istismar veya araç kullanır mıydınız? Honeypot’lar “niyetleri”, otomatik sömürüyü, “bu IP, (hala) log4j’ye karşı savunmasız olup olmadığınızı bilmek istiyor“.

Kötü amaçlı IP’lere karşı kitle kaynaklı koruma sunan açık kaynaklı bir güvenlik paketi olan CrowdSec ile oyunun bir adım önünde olun. Mevcut güvenlik altyapınıza basit entegrasyonu sayesinde, davranışsal algılama ve otomatik iyileştirme elde edersiniz. Ayrıca, 180’den fazla ülkeye yayılmış 190.000’den fazla makineden oluşan bir ağdan oluşturulan, sıfır hatalı pozitiflik ve azaltılmış uyarı hacmi ile son derece eyleme geçirilebilir siber tehdit istihbaratından yararlanacaksınız. Tek başınıza savaşmayın, bırakın kalabalık sizi desteklesin. CrowdSec’i ücretsiz kullanmaya başlayın!

CrowdSec Topluluğuna Katılın

Bir dereceye kadar ilginç olabilir, ancak düşük asılı meyvelerle sınırlıdır. Ayrıca, çeşitliliğiniz birçok farklı yere yayılma kapasiteniz ile sınırlıdır. Tüm problarınız (bal küpleri) ondan fazla veya daha kötü, yalnızca 3 veya 4 farklı bulutta oturuyorsa, her şeyi göremezsiniz ve “kaçabilirsiniz”, yani suçlular tespit edilmekten kaçınmak için gönüllü olarak IP aralıklarınızı atlayabilir. Ayrıca dağıtım sisteminizi her platform için düzenlemeniz gerekir ve yine de yalnızca IP’nin GCP, AWS veya birlikte çalıştığınız buluttan kaçmadığını görürsünüz. Ve bu sağlayıcılar STK olmadığından, ağ boyutunuz da… parayla sınırlıdır. XYZ bulut üzerinde çalışan tam otomatik bir HP size aylık 20 ABD dolarına mal oluyorsa, binlercesini çalıştırmak için cebiniz dolu olmalıdır.

Bir karşı saldırı oluşturmak

Kitlesel siber suçun gidişatını frenlemek için özünde sınırlı bir kaynak üzerinde hareket etmemiz gerekiyor, aksi takdirde uygun bir “eksiklik” düzenleyemezsiniz. Ünlü Conti-Leaks, büyük bir siber suç grubunun gerçek sorunlu noktalarına ilginç bir ışık tuttu. Açıkçası (kripto) kara para aklama, işe alma, maaş bordroları, beklediğiniz klasikler. Ancak ilginçtir ki, dahili sohbet sistemlerinde borsaları okuduğunuzda, IP’yi görebilirsiniz, bunları değiştirmek, ödünç almak, kiralamak, temizlemek, araçları kurmak, operasyonları ve C2’yi taşımak vb. masraflıdır. Hem zaman hem de para açısından.

Neredeyse sonsuz karma varyasyonu vardır ve SHA1, 2^160 olasılıklık bir alan sunar. Yani onları toplamak bir şeydir, ancak herhangi bir yeni kötü amaçlı yazılım varyasyonunun farklı bir imzası olacağından neredeyse eminsiniz. Konuştuğumuz gibi, herhangi bir saygın siber suç örgütünün CI/CD prosedürlerinin çoğu, yükü bir hedefe göndermeden önce zaten bir baytın değiştirilmesini içerir.

Alan adlarını hedeflemek, aynı zamanda sonsuz büyüklükte bir alanla mücadele etmektir. Alan1, alan2, alan3 vb. için rezervasyon yaptırabilirsiniz. Teknik olarak varyasyon sayısında bir sınır yoktur. Dışarıda, markanızı koruyan ve son zamanlarda sizinkine benzer alan adlarının rezerve edilip edilmediğini kontrol eden akıllı sistemler var. Suç öncesi tarzdaki bu sistemler, yaklaşmakta olan bir kimlik avı girişimiyle başa çıkmak için çok faydalıdır. Bu tarz duruş ve araçlarla proaktif olmaya başlıyorsunuz.

Hash’lerine veya iletişim kurmaya çalıştıkları C2’ye göre kötü niyetli ikili dosyaları izlemek ve dizine eklemek, hatta bilinen CVE’den otomatik olarak yararlanmaya çalışan IP’yi dizine eklemek yine de yararlıdır, ancak bunu yapmak oldukça reaktif bir duruştur. Düşmanın konumunu veya taktiğini bilerek karşılık vermezsiniz, bunu saldırı yeteneklerini sakatlayarak yaparsınız ve IP adreslerinin çok ilginç olduğu yer burasıdır. Sistem onlarca yıllık ve bizden sonra da orada olacak. Onun

Şimdi gerçekten kıt olan bir kaynak var: IPV4. Tarihi IP alanı, bunların yaklaşık 4 milyarı ile sınırlıdır. Dövüşü bu zemine taşımak verimlidir çünkü kaynak kıtsa gerçekten proaktif olabilir ve IP adreslerini düşman tarafından kullanıldığını fark ettiğiniz kadar hızlı yakabilirsiniz. Şimdi, bu manzara sürekli gelişen bir manzara. VPN sağlayıcıları, Tor ve Yerleşik proxy uygulamaları, siber suçluların karanlık web’deki zaten güvenliği ihlal edilmiş sunuculardan bazılarından yararlanabilmeleri bir yana, bir IP adresi ödünç almaları için bir yol sunar.

Bu nedenle, bir IP adresi şu anda kullanılıyorsa, sonraki bir saat içinde bu adresin kullanılmaması ve ardından engellerseniz yanlış bir pozitif oluşturmanız mümkündür. Çözüm, her büyüklükteki işletmeyi, her tür yerde, coğrafyada, bulutta, evde, özel kolordu DMZ’de vb. ve her tür protokolde koruyan bir kitle kaynak aracı oluşturmaktır. Ağ yeterince büyükse, bu IP rotasyonu bir sorun değildir çünkü ağ bir IP bildirmeyi durdurursa, onu serbest bırakabilirsiniz, oysa bir dizi raporda yükselen yenisinin bir engelleme listesine entegre edilmesi gerekir. Ağ ne kadar büyük olursa, o kadar gerçekçi hale gelir.

Paketleri UDP üzerinden taklit etmek kolay olduğu için hariç tutulması gereken UDP tabanlı olanlar dışında hemen hemen tüm protokolleri izleyebilirsiniz. Dolayısıyla, bir IP’yi yasaklamak için UDP tabanlı bir protokol hakkındaki raporları dikkate alarak kolayca kandırılabilirsiniz. Bunun dışında her protokolün izlenmesi iyidir. Ayrıca kesinlikle CVE’yi arayabilirsiniz, ancak daha da iyisi davranış için. Bunu yaparak, yalnızca CVE tabanlı olmayabilen iş odaklı saldırıları yakalayabilirsiniz. Klasik L7 DDoS’nin ötesinde basit bir örnek, taramalar, kimlik bilgisi kaba kuvveti veya doldurma, ölçeklendirmedir. Scalping, bir ürünü bir web sitesinde bir bot ile otomatik olarak satın alma ve örneğin eBay’de bir fayda için yeniden satma eylemidir. Bu bir iş katmanı sorunu, gerçekten güvenlikle ilgili bir sorun değil. Açık kaynak sistemi CrowdSec, tam olarak bu stratejiyi etkinleştirmek için tasarlandı.

Nihayet son yirmi yıldır bize “IPV6 geliyor, hazır olun” söylendi. Peki… diyelim ki hazırlanmak için zamanımız oldu. Ama şimdi gerçekten burada ve 5G dağıtımı, kullanımını yalnızca katlanarak hızlandıracak. IPV6, 2^128 büyüklüğünde yeni bir IP adreslenebilir havuzla sahneyi değiştirir. Bu hala birçok yönden sınırlıdır, en azından tüm V6 IP aralıkları henüz tam olarak kullanılmadığı için değil, aynı zamanda herkes aynı anda yalnızca bir değil, birçok IPV6 adresi aldığı için. Yine de, şimdi çok büyük bir miktarı hakkında konuşuyoruz.

AI ve Crowdsourcing’i birleştirelim

Büyük bir kitle kaynaklı ağdan büyük miktarda veri akışı başladığında ve küçültmeye çalıştığınız kaynak büyüdüğünde, yapay zeka kulağa keşfedilecek mantıklı bir yol gibi geliyor.

Ağ etkisi zaten kendi başına iyi bir başlangıç. Buradaki bir örnek, kimlik bilgisi doldurma olabilir. Bir IP, yerinizde birkaç oturum açma/geçiş çifti kullanıyorsa, buna kimlik bilgisi kaba kuvveti diyeceksiniz. Şimdi ağ ölçeğinde, farklı oturum açma/geçiş kullanarak farklı yerlerde aynı IP’ye sahipseniz, bu kimlik bilgisi doldurmadır, birisi çalınan kimlik bilgilerini geçerli olup olmadıklarını görmek için birçok yerde yeniden kullanmaya çalışır. Birçok farklı açıdan aynı kimlik bilgilerinden yararlanan aynı eylemi görmeniz, size davranışın amacına dair ekstra bir gösterge verir.

Şimdi, dürüst olmak gerekirse, Kimlik Bilgileri kaba kuvvetini Kimlik Bilgilerinin Yeniden Kullanılması veya Kimlik Bilgilerinin doldurulmasından ayırmak için yapay zekaya ihtiyacınız yok, ancak yine de, özellikle yığınlarca veri almak için büyük bir ağla birlikte kullanıldığında mükemmel olabileceği yerler var.

Başka bir örnek, 1024 ana bilgisayar kullanılarak yapılan büyük bir internet taraması olabilir. Her ana bilgisayar yalnızca bir bağlantı noktasını tarayabilir ve bu muhtemelen fark edilmeyecektir. Pek çok farklı yerde, aynı IP’nin aynı bağlantı noktasını benzer bir zaman diliminde taradığını görmeniz dışında. Yine, bireysel ölçekte zar zor görünürken, büyük ölçekte bariz.

Öte yandan, AI algoritmaları, her seferinde yalnızca bir yere baktığınızda görülemeyecek, ancak büyük bir ağ ölçeğinde bariz olan kalıpları belirlemede iyidir.

Verileri grafikler ve katıştırmalar kullanarak uygun yapılarda temsil etmek, IP adresleri, aralıklar ve hatta AS (Otonom Sistemler) arasındaki karmaşık etkileşim derecelerini ortaya çıkarabilir. Bu, aynı amaca yönelik uyum içinde çalışan makine gruplarının belirlenmesine yol açar. Birkaç IP adresi, tarama, istismar, arka kapı kurma ve ardından hedef sunucuyu bir DDoS çabasına katılmak için kullanma gibi birçok adımda bir saldırıyı sıralıyorsa, bu modeller günlüklerde tekrarlanabilir. Dolayısıyla, grubun 1. IP’si belirli bir zaman damgasında ve 2. 10 dakika sonra vb. görünüyorsa ve bu model birçok yerde aynı IP’lerle tekrarlanıyorsa, herkese güvenli bir şekilde 4 IP adresini aynı anda yasaklamasını söyleyebilirsiniz.

AI ve kitle kaynaklı sinyaller arasındaki sinerji, birbirimizin sınırlamalarını etkili bir şekilde ele almamıza olanak tanır. Kitle kaynaklı sinyaller, siber tehditler hakkında çok sayıda gerçek zamanlı veri sağlarken, kesinlik ve bağlamdan yoksun olabilir ve sonunda yanlış pozitiflere yol açabilir. Öte yandan AI algoritmaları, genellikle yalnızca çok büyük miktarda veriyi emdikten sonra geçerli hale gelir. Buna karşılık, bu modeller gürültüyü ortadan kaldırarak ve gizli kalıpları ortaya çıkararak bu sinyalleri iyileştirmeye ve analiz etmeye yardımcı olabilir.

Burada evlenecek güçlü bir çift var.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link