Po krátkom prerušení pokračujeme ďalšou časťou seriálu o hierachii potrieb v kyberbezpečnosti, tentokrát zameranou na potrebu detekcie. Nosnou témou pri potrebe detekcie je schopnosť odlíšiť neautorizovanú, čiže nedovolenú, aktivitu od autorizovanej.
Od znalosti aktív a viditeľnosti do dejov a operácii prebiehajúcich s účasťou týchto aktív sa dostávame k tomu, že túto viditeľnosť dokážeme využiť, analyzovať a vyhodnotiť prebiehajúce operácie a deje.
Základnou jednotkou o ktorej má zmysel pri detekcii hovoriť je detekčná metóda, prípadne detekčné pravidlo – pre účely tohto článku ich môžeme považovať za zameniteľné. Pre lepšiu predstavu ide vlastne o nejaký popis toho, ako v konkrétnom zdroji viditeľnosti dokážeme rozlíšiť neautorizovanú operáciu. Zatiaľ jednoduché, však? To ale vlastne nemusí byť vždy pravda. Čo ak chceme popísať a rozlišovať len autorizované operácie a všetko ostatné považujeme za neautorizované? Dostali sme sa na 2 hlavné prúdy myslenia pri potrebe detekcie – detekcia vzorov a detekcia anomálií.
Detekcia vzorov
Ešte pomerne donedávna väčšina detekčných metód v rôznych oblastiach kyberbezpečnosti bola práve tohto typu. Pod vzorom rozumieme presne popísaný dej alebo operáciu, ktorú sa snažíme „nájsť“ v dátach o viditeľnosti. Vynikajúcimi príkladmi sú napr. antivírové signatúry, ktoré presne popisujú danú konkrétnu vzorku malware alebo detekcie komunikácie s konkrétnym C&C serverom. Z hľadiska celého systému fungujeme v istom zmysle spôsobom „blacklistingu“, kedy sa snažíme popísať a „vychytať“ všetky závadné operácie.
Z tohto jasne vyplývajú základný problém tohto prístupu – musíme vedieť správne a rýchlo popísať závadné operácie, čo sa pri stále rýchlejšom vývoji a väčšej komplexnosti útočných techník stáva nezvládnuteľným. Jedným zo spôsobov, ako sa s týmto trendom čiastočne vyrovnať je framework MITRE ATT&CK, ktorý sa snaží kategorizovať rôzne útočné techniky a postupy tak, aby umožňovali systematickú detekciu útokov a malwaru podľa správania namiesto špecifických technických charakteristík ako sú adresy C&C serverov, hashe súborov a pod.
Ďalším veľkým problémom je prenositeľnosť týchto detekcií, keďže stále neexistuje efektívny a jednoduchý spôsob, ako prenášať detekčné metódy medzi jednotlivými detekčnými nástrojmi, ako sú napr. SIEMy alebo NTA riešenia. Ako krok dobrým smerom sa javí iniciatíva okolo formátu Sigma, čo je vlastne generický metaformát SIEM pravidiel, ktorý je možné po vytvorení prekonvertovať do vlastného formátu pre najrozšírenejšie SIEMy. Podobným systémom fungujú aj YARA pravidlá, ktoré zas popisujú rôzne charakteristiky malwaru a môžu byť použité v rade riešení používaných na detekciu malwaru či už na endpointoch alebo v sieťovom provoze.
Snahy o interoperabilitu vidíme aj v ďalších riešeniach v rôznych oblastiach kyberbezpečnosti (IDS, zdieľanie threat intelligence, ), čím dochádza k zvýšeniu prenositeľnosti, čo svojim spôsobom prispieva aj k rýchlosti tvorby a nasadenia detekčných metód – ak vznikne detekčná metóda v prenositeľnom formáte a je publikovaná, je možné ju hneď testovať a použiť. Veľmi kladne hodnotím aj rôzne iniciatívy, ktoré umožňujú výskumníkom a firmám, ktoré vyvíjajú detekčné metódy aj vo vyššie zmienených formátoch, ich zdieľanie a potenciálne speňaženie, čím predstavujú niečo ako bug bounty programy, ale na strane obrany.
Stále však ide o nejaký zdieľaný „vzor“, ktorý sa môže za veľmi krátky čas zmeniť a zrazu potrebujeme nový vzor, ktorý opäť musí niekto vymyslieť, popísať, otestovať a nasadiť. S týmto sa kolektívne snažíme popasovať druhým prístupom k detekcii a to detekciou anomálii, o čom si viac povieme v ďalšom článku.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Peter Jankovský, CTO, Axenta a.s.
