Den antimalware programvare som vi har hengt hattene på i så lang tid gir litt mer enn en illusjon av trygghet.
Heldigvis for meg, jeg prøvde ut en demo enhet uansett, sette den opp til å fange vår kant Internett-trafikk av en Switched Port Analyzer port. Hva helt sjokkerte meg var at så snart jeg slått på apparatet og logget inn, jeg så hvor ille vårt problem egentlig var. Vi begynte umiddelbart å se malware påvisninger fra mer enn et dusin systemer i selskapet, selv om de alle hadde antivirus installert og ble oppdatert med de siste virusdefinisjonene. Hver av disse infeksjonene var travelt opptatt med å lage command-and-control tilbakeanrop til servere halvveis rundt i verden, og sannsynligvis hadde vært en stund: Vi hadde bare ikke visst det. Noen av trafikken ut til å være ganske snille koblingen svindel, men annen malware var å sende krypterte data som vi var i stand til å tyde. Uansett, var det klart at vi hadde et problem og at noe måtte gjøres. Dermed begynte min reise inn i verden av sikkerhetsanalyse.
Malware påvirker oss alle, uansett hva forsvar våre organisasjoner har på plass. Det er en stealthy og sofistikert trussel, og antimalware programvare som vi har hengt hattene på i så lang tid gir litt mer enn en illusjon av trygghet.
I denne artikkelen vil vi diskutere ulike typer produkter som trengs for å oppdage og forhindre moderne malware, avanserte vedvarende trusler (Apts), zero-day utnytter og mer, og dekke måter å mate data inn i et sikkerhets analytics program for å lage en ny, bredere perspektiv på de truslene som organisasjonen står overfor.
den første, og kanskje viktigst, teknologi som støtter en malware-sentriske sikkerhets analytics system er en dedikert avansert malware forebygging produkt som den jeg beskrev ovenfor. I mitt tilfelle, FireEye var den leverandøren som jeg har valgt, basert på sin unike bruk av virtualiseringsteknologi, men leverandørene inkludert Damballa, Bit9 og mange andre tilbyr tilsvarende overbevisende produkter.
FireEye trussel-forebygging plattform analyserer trafikken i sanntid tid, og begrenser malware i en virtuell maskin for videre analyse. Produktet er fortsatt i stand til å se etter felles signaturer malware, men det er også i stand til basen deteksjon på heuristisk oppførselen til systemet. Dette er spesielt viktig for å identifisere leiligheter med og zero-day angrep for at signaturer rett og slett ikke eksisterer.
En ulempe med FireEye produktet er at det oppdager malware bare på systemer som er koblet til nettverket som enheten dekker. Det er et stort gap; mange mobile enheter ville gå ubeskyttet. Det er der agentbaserte tilnærminger av selskaper som Trusteer eller Bit9 komme Ved å installere agenter på hver av endepunkter, kan du beskytte enhetene uansett hvor de er:.. På kontoret, hjemme eller på veien
Hvis det å ha en dedikert malware forebygging systemet vil ikke fungere for organisasjonen, kan det være lurt å ta en titt på din Intrusion Prevention system (IPS). Jeg har lagt merke til et stort antall IPS leverandører bygger malware deteksjonsregler i sine produkter, med noen som kommer nær den funksjonaliteten som dedikert avanserte malware gjenkjenning leverandører tilbyr.
Konfigurasjonsstyring er også en viktig del av en sikkerhetsanalyse program. Ideen her er at du bør ta en opptelling av nøkkel konfigurasjoner og kjørbare filer på kritiske systemer (domenenavn servere, applikasjonsservere, webservere, databaseservere og så videre) fordi en angriper vil typisk prøve å erstatte disse filene med nye versjoner i for å opprettholde et fotfeste i miljøet. Den åpne kildekode-versjon av Tripwire er et gratis data-integritet overvåkingsverktøy som er utmerket, og at sikkerhetsfolk har brukt for lang tid.
Det kan virke litt rart, men vår nettverksskanning verktøy spiller en stor rolle i vår sikkerhets analytics program. Den beste måten å hindre malware fra å kompromittere et miljø er med effektiv herding. Hvis jeg kan bruke en nettverksskanner for å søke etter unpatched og utdaterte systemer på nettverket mitt, kan jeg avhjelpe dem før skurkene kompromittere dem. Den gode nyheten er at fordi det er så mange konkurrerende nett-skanning leverandører, det er mange gode tilbud å være hadde, og funksjonene varierer ikke mye fra produkt til produkt. Det er også minst et par gratis verktøy der ute for å utføre nettverksskanning, inkludert Nessus og OpenVAS, selv om de har visse begrensninger i forhold til de betalte verktøy.
En annen viktig del av sikkerhetsanalyse for trusseloppdagelse er log ledelse. Ideen er å ta alle loggene fra alle systemer og lagre dem i en sentralisert og sikkert sted for fremtidig behandling. Når en angriper kompromisser et system, prøver han eller hun som regel å slette bevis for inntrenging ved å redigere eller slette systemlogger. Lossing disse loggene til et sentralt lager sikrer at angriperen måtte gå til langt større lengder for å tukle med dem. Også med sentralisert logging, blir det langt enklere å søke og kjøre rapporter på alle dine systemer og programmer samtidig
Det er noen ting som er verdt å undersøke i loggene. Flere mislykkede innloggingsforsøk, etterfulgt av en vellykket en brukere som normalt logger inn fra en IP eller sted, men plutselig kommer fra andre steder, maskiner som kobler seg til nettverket IP-adresser uten å gjøre DNS-oppslag, eller forbindelser med store mengder egress trafikk. Hvilken som helst av disse hendelsene kan eller ikke kan være et problem, men en kombinasjon kan indikere et angrep.
Igjen, hvis en kommersiell log ledelse eller sikkerhetsinformasjon og event management produktet er ikke et alternativ, det er noen gode gratis Siem verktøy tilgjengelig. Splunk er som en søkemotor for loggene, og det kan være lisensiert for gratis for bruk med opptil 500 MB stokker per dag. Jeg har aldri brukt dette neste en selv, men andre jeg kjenner har hatt suksess med en fri, åpen kildekode log-management verktøy kalt LogStash.
Den siste brikken som jeg vil anbefale for alle sikkerhetsanalyseprogram er en nettverksanalyseverktøy som er i stand til å fange og analysere strømningsdata fra ulike nettverk. Denne strømmen av data er en oppsummering av IP-adresser, porter, protokoller og data størrelser av trafikken flyter over nettverket. I utgangspunktet er det alt, men selve dataene.
Din nettverks analyseverktøy vil tillate deg å søke etter mønstre i trafikken som tidligere var skjult. For eksempel tidlig i fjor HD Moore postet en bloggpost på utnyttelse av Universal Plug and Play, eller UPnP, Simple Service Discovery Protocol enheter på Internett. Ved hjelp av min nettverks analyseverktøy, løp jeg et mønster spørring for en ekstern kilde IP-adresse, rettet en av mine offentlige IP-adresser, ved hjelp av User Datagram Protocol på port 1900. I 24 timer var det 539 kamper for dette mønsteret. Barbarene er faktisk banker på våre porter.
Fordi videresending flyt data er egentlig bare en funksjon på enkelte rutere og svitsjer, må du finne en måte å fange og se dette. Dette kan være via en dedikert nettverk analyseverktøy fra selskaper som Solarwinds, NetScout eller Lancope, eller fra en av log-verktøy som allerede er nevnt. I valgt et verktøy kalt LYNXeon ved 21CT, basert på dens evne til å gjøre mønsteranalyse av ikke bare flyte data, men også andre datatyper. Tillat meg å utdype det
Jeg hadde en presentasjon på flere konferanser i fjor heter The Magic of symbiotisk Security
, der jeg beskrev en sikkerhet økosystem som fremmer integrering -. Bryte våre verktøy ut av siloer og la dem arbeide sammen for maksimal effektivitet. Vårt endelige mål i sikkerhetsanalyse skal gjøre hver av delene som jeg nevner ovenfor arbeide sammen for å få et klart bilde av truslene vi står overfor. Vi tar varslings data fra våre malware- og inntrenging forebyggende systemer, som inneholder informasjon om malware type, mål og kilde. Vi tar også all informasjonen vi har på systemer der filen signaturer har endret uventet. Vi tar data om sårbarheter som finnes på de ulike systemene i vårt miljø. Og så tar vi informasjon fra loggfiler, for eksempel mislykkede påloggingsforsøk eller konto lockout. Vi gjør dette ved hjelp av hva betyr at leverandøren gir oss tilgang til dataene. Dette kan være via et API-kall, en Simple Network Management Protocol varsel eller en direkte databasespørring. Alle disse data er matet inn i LYNXeon. Deretter bruker vi Mønster Query Language å finne potensielt skadelige mønstre på tvers av noen eller alle av disse datasettene
Her er noen eksempler på rapporter som vi kjører for å gi oss bedre innsikt i sikkerheten i nettverket vårt.
interne systemer kobler til servere i
interne systemer som kobler seg til mange andre interne systemer over en kort periode.
interne systemer å koble til eksterne systemer http://www.malwaredomainlist.com. som vår malware- eller inntrenging-forebygging plattformer har utløst en alarm.
interne systemer som bruker DNS-servere som ikke er en del av vår bedrifts infrastruktur.
i tillegg, en av de virkelig kule fordelene ved å kombinere strømnings data med andre datatyper i min organisasjon er at vi er i stand til å lage mønstre basert på hendelser på ett sted, og bruke disse mønstrene til å finne lignende problemer på andre steder som ikke har alle de samme deteksjonsmekanismer på plass.
Rådene er skissert ovenfor er basert på hva som har fungert bra for meg, og er absolutt ikke en omfattende liste over verktøy eller verktøy kategorier, men det gir et grunnlag for å komme i gang med bruk av sikkerhetsanalyse for trusseloppdagelse. Etablering av et sikkerhets analytics programmet på din bedrift vil trolig ikke skje over natten, men det absolutt kan gjøres og vil utvilsomt vise seg å være svært verdifull i å øke din evne til å oppdage malware i hele organisasjonen. Ikke glem å holde gode beregninger som du avanserer, slik at du kan vise ROI til ledelsen. Lykke til!