Po krátkém přerušení pokračujeme další částí seriálu o hierachii potřeb v kyberbezpečnosti, tentokrát zaměřenou na potřebu detekce. Nosným tématem při potřebě detekce je schopnost odlišit neautorizovanou neboli nedovolenou aktivitu od autorizované.

Od znalosti aktiv a viditelnosti do dějů a operací probíhajících s účastí těchto aktiv se dostáváme k tomu, že tuto viditelnost dokážeme využít, analyzovat a vyhodnotit probíhající operace a děje.

Základní jednotkou o které má smysl při detekci mluvit je detekční metoda, případně detekční pravidlo – pro účely tohoto článku je můžeme považovat za zaměnitelné. Pro lepší představu jde vlastně o nějaký popis toho, jak v konkrétním zdroji viditelnosti dokážeme rozlišit neautorizovanou operaci. Zatím jednoduché, že? To ale vlastně nemusí být vždy pravda. Co když chceme popsat a rozlišovat pouze autorizované operace a vše ostatní považujeme za neautorizované? Dostali jsme se na 2 hlavní proudy myšlení při potřebě detekce – detekce vzorů a detekce anomálií.

Detekce vzorů

Ještě poměrně donedávna většina detekčních metod v různých oblastech kyberbezpečnosti byla právě tohoto typu. Pod vzorem rozumíme přesně popsaný děj nebo operaci, kterou se snažíme „najít“ v datech o viditelnosti. Vynikajícími příklady jsou např. antivirové signatury, které přesně popisují danou konkrétní vzorek malware nebo detekce komunikace s konkrétním C & C serverem. Z hlediska celého systému fungujeme v jistém smyslu způsobem „blacklisting“, kdy se snažíme popsat a „vychytat“ všechny závadné operace.

Z tohoto jasně vyplývají základní problém tohoto přístupu – musíme vědět správně a rychle popsat závadné operace, což se při stále rychlejším vývoji a větší komplexnosti útočných technik stává nezvladatelným. Jedním ze způsobů, jak se s tímto trendem částečně vyrovnat je framework MITRE ATT & CK, který se snaží kategorizovat různé útočné techniky a postupy tak, aby umožňovaly systematickou detekci útoků a malwaru podle chování namísto specifických technických charakteristik jako jsou adresy C & C serverů, hashe souborů apod .

Dalším velkým problémem je přenositelnost těchto detekcí, protože stále neexistuje účinný a jednoduchý způsob, jak přenášet detekční metody mezi jednotlivými detekčními nástroji jako jsou např. SIEM nebo NTA řešení. Jako krok dobrým směrem se jeví iniciativa kolem formátu Sigma, což je vlastně generický Metaform SIEM pravidel, který lze po vytvoření překonvertovat do vlastního formátu pro nejrozšířenější SIEM. Podobným systémem fungují i ​​YARA pravidla, která zas popisují různé charakteristiky malwaru a mohou být použity v řadě řešení používaných pro detekci malwaru ať už na endpoint nebo v síťovém provozu.

Snahy o interoperabilitu vidíme i v dalších řešeních v různých oblastech kyberbezpečnosti (IDS, sdílení threat intelligence,), čímž dochází ke zvýšení přenositelnosti, což svým způsobem přispívá k rychlosti tvorby a nasazení detekčních metod – pokud vznikne detekční metoda v přenositelný formátu a je publikována , je možné ji ihned testovat a použít. Velmi kladně hodnotím i různé iniciativy, které umožňují výzkumníkům a firmám, které vyvíjejí detekční metody i ve výše zmíněných formátech, jejich sdílení a potenciálně zpeněžení, čímž představují něco jako bug bounty programy, ale na straně obrany.

Stále však jde o nějaký sdílený „vzor“, který se může za velmi krátký čas změnit a najednou potřebujeme nový vzor, ​​který opět musí někdo vymyslet, popsat, otestovat a nasadit. S tímto se kolektivně snažíme poprat druhým přístupem k detekci a to detekcí anomálii, o čem si více řekneme v dalším článku.

David Kost, Lead Security Analyst, Axenta a.s.

Peter Jankovský, CTO, Axenta a.s.

Další články společnosti Axenta:

Hierarchie potřeb v kyberbezpečnosti – 1.část

Hierarchie potřeb v kyberbezpečnosti – 2. část

Hierarchie potřeb v kyberbezpečnosti – 3. část

Hierarchie potřeb v kyberbezpečnosti – 4.část

Jak se nenechat vydírat ransomwarem

Hierarchie potřeb v kyberbezpečnosti – 6. část

Hierarchie potřeb v kyberbezpečnosti – 7. část

V Brně bylo otevřeno první Junior Centrum Excelence pro kybernetickou bezpečnost v ČR

Obrázek: Matt Swann