Kako se vektori napada množe i napadači postaju sve sofisticiraniji, bezbjednosni timovi se bore da održe korak s obimom i složenošću savremenih sajber prijetnji.
SOC-ovi (Security Operations Centers) i MSSP-ovi (Managed Security Service Providers) djeluju u okruženju visokog rizika gdje svaka minuta broji.
Glavni izazovi bezbjednosnih timova
Zastarjeli reaktivni bezbjednosni pristupi često ne uspijevaju riješiti nekoliko kritičnih izazova:
Preveliki obim upozorenja: Bezbjednosni timovi rutinski se suočavaju s zamorom od upozorenja, pri čemu se hiljade bezbjednosnih događaja generira svakodnevno. Analitičari provode vrijeme istražujući lažne pozitivne rezultate.
Ograničen kontekst o prijetnji: Bezbjednosnim timovima često nedostaje dovoljan kontekst o napadaču, tehnikama napada i potencijalnom uticaju. Ovo ometa efektivno donošenje odluka i strategije reagovanja.
Ograničeni resursi: Kako SOC-ovi, tako i MSSP-ovi djeluju pod strogim budžetima i ograničenjima u broju zaposlenih, uključujući nestašicu kvalifikovanih stručnjaka za sajber bezbjednost.
Pritisak poslovnog uticaja: Timovi se suočavaju sa sve većim pritiskom da pokažu mjerljivu poslovnu vrijednost. Ključni pokazatelji uspješnosti (KPI) kao što su prosječno vrijeme do otkrivanja (MTTD) i prosječno vrijeme do reagovanja (MTTR) direktno utiču na otpornost organizacije i zadovoljstvo klijenata.
Promjenjivo okruženje prijetnji: Napadači neprestano prilagođavaju svoje taktike, tehnike i procedure (TTP).
Obavještajni podaci o prijetnjama: Strateška prednost
Obavještajni podaci o sajber prijetnjama su primjenjive informacije o napadačima, njihovim alatima, infrastrukturi i TTP-ovima, zajedno sa metodama za otkrivanje i prioritetizaciju reagovanja na prijetnje.
Oni pretvaraju sirove podatke u smislene uvide, osnažujući SOC-ove i MSSP-ove da predvide i spriječe napade, poboljšaju donošenje odluka i unaprijede lov na prijetnje.
Obilni kontekstualni podaci omogućavaju timovima za odgovor na incidente da brzo shvate prirodu i obim napada, što dovodi do bržeg obuzdavanja, iskorjenjivanja i oporavka.
Moderni obavještajni podaci o prijetnjama adresiraju osnovne poslovne ciljeve na sljedeće načine:
Smanjenje MTTD: Organizacije koje koriste sveobuhvatne obavještajne podatke o prijetnjama brže identifikuju prijetnje i obično vide poboljšanje vremena otkrivanja od 30-50%.
Ubrzavanje MTTR: Kada dođe do incidenata, obavještajni podaci o prijetnjama pružaju neposredan kontekst o metodama napada, pogođenim sistemima i preporučenim koracima za otklanjanje problema. Ovo smanjuje vrijeme istraživanja i omogućava brže obuzdavanje.
Pokazivanje povrata investicija (ROI): Poboljšanjem ključnih bezbjednosnih metrika i smanjenjem uticaja incidenata, obavještajni podaci o prijetnjama pružaju mjerljivu poslovnu vrijednost koja opravdava bezbjednosna ulaganja rukovodstvu.
Pretraga obavještajnih podataka o prijetnjama: Slučajevi upotrebe i poslovne koristi
ANY.RUN-ov alat za pretragu obavještajnih podataka o prijetnjama predstavlja promjenu paradigme ka kontekstualno obogaćenim, primjenjivim obavještajnim podacima.
On pruža dinamički pristup sveobuhvatnim podacima o prijetnjama koji se mogu pretraživati, izvedenim iz miliona sesija analize zlonamjernog softvera i istraga incidenata preko 15.000 korporativnih timova za sajber bezbjednost.
On isporučuje obavještajne podatke o postojećim i novim prijetnjama, sa novim uzorcima koji se kontinuirano analiziraju kako bi se osigurala pokrivenost najnovijim tehnikama napada.
Sa preko 40 parametara pretrage, uključujući nazive prijetnji, heševe datoteka, IP adrese, ključeve registra i YARA pravila, analitičari mogu brzo istraživati i otkrivati veze između različitih indikatora.
Testirajte pretragu obavještajnih podataka o prijetnjama: 50 besplatnih zahtjeva za pretragu kako biste vidjeli kako svježi, obogaćeni indikatori poboljšavaju detekciju i reagovanje.
Svaki indikator prijetnje podržan je detaljnim sesijama analize u sandboxu, omogućavajući duboke uvide u ponašanje zlonamjernog softvera, mrežne komunikacije i sistemske modifikacije.
Pogledajmo kako ovaj alat poboljšava radne tokove SOC-a na nekoliko praktičnih primjera.
1. Viša stopa otkrivanja prijetnji
SOC analitičar prima upozorenje o sumnjivom mrežnom saobraćaju sa nepoznate IP adrese. Analitičar provjerava IP adresu putem alata za pretragu obavještajnih podataka.
Za samo nekoliko sekundi, usluga otkriva da je ova IP adresa povezana sa Lumma Stealer-om, poznatim zlonamjernim softverom za krađu informacija, i pruža veze ka stvarnim sesijama analize u sandboxu gdje je ova veza uočena.
destinationIP:”85.90.196.155”
Rezultati pretrage IP adrese: trenutni “maliciozni” nalaz, povezanost sa Lumma stealerom.
Analitičar može odmah eskalirati timu za odgovor na incidente sa primjenjivim obavještajnim podacima, značajno smanjujući rizik od povrede podataka i povezane troškove.
2. Brži odgovor na incidente
Nastavljajući prethodni scenario, tim za odgovor na incidente dobija obavještenje o Lumma Stealer-u i pristupa povezanim sesijama analize u sandboxu putem alata za pretragu obavještajnih podataka.
Sandbox analize koje prikazuju sumnjivu IP adresu.
Ove sesije otkrivaju potpuni lanac napada zlonamjernog softvera: početne vektore infekcije, mehanizme postojanosti, tehnike prikupljanja vjerodajnica i metode eksfiltracije.
Jedna od analiza Lumma stealer-a.
Tim odmah razumije mogućnosti prijetnje i može implementirati ciljane mjere obuzdavanja.
Ovo ubrzano reagovanje smanjuje prosječno vrijeme do odgovora (MTTR) i prosječno vrijeme do obuzdavanja (MTTC), minimizirajući potencijalni gubitak podataka i operativne poremećaje.
3. Proaktivno traganje za skrivenim prijetnjama
Stručnjak za lov na prijetnje, pregledajući evidenciju izvršavanja PowerShell-a, primjećuje neuobičajen obrazac komandi.
Umjesto da troši vrijeme na ručnu analizu skripte, oni izdvajaju jedinstveni tekstualni isječak iz komande i pretražuju ga u alatu za pretragu obavještajnih podataka.
Endpoint događaji sa sumnjivom skriptom pokrenutom putem PowerShell-a, pronađeni pomoću dijela komande.
Pretraga otkriva da je isječak dio poznatog okvira napada, vraćajući naziv prijetnje, povezane porodice zlonamjernog softvera (AsyncRAT trojan), i sveobuhvatne analize u sandboxu.
Potonje sadrže dodatne IOC-e (npr. povezane heševe datoteka, nazive domena ili mute)**kse) i prikazuju potpune lance izvršavanja.
TI Lookup pokazuje da AsyncRAT koristi skriptu koja sadrži karakteristični fragment.
Bezbjednosni timovi mogu identifikovati kampanje napada u njihovim ranim fazama, prikupiti dodatne IOC-e i koristiti ih za traganje za povezanim aktivnostima širom svoje infrastrukture.
Zaključak: Transformacija bezbjednosnih operacija kroz obavještajne podatke
Pružanjem kontekstualno obogaćenih, primjenjivih obavještajnih podataka, alat za pretragu obavještajnih podataka omogućava timovima SOC-a i MSSP-ova da pređu sa reaktivnih bezbjednosnih operacija na proaktivno upravljanje prijetnjama.
Poslovne koristi su mjerljive i značajne: poboljšane stope detekcije smanjuju bezbjednosne incidente, brže vrijeme reagovanja minimizira poslovni uticaj, a proaktivne mogućnosti traganja jačaju cjelokupno bezbjednosno držanje.
Za MSSP-ove, ova poboljšanja se direktno pretvaraju u poboljšano zadovoljstvo klijenata i konkurentsku prednost na tržištu menadžovanih bezbjednosnih usluga.
Za SOC-ove, jasan povrat ulaganja u bezbjednost pokazuje smanjene operativne troškove kroz efikasnost rukovodstvu i jača organizacioni stav prema riziku.
Da li ste iz SOC/DFIR timova! – Integrišite ANY.RUN u svoju kompaniju da dobijete 50 besplatnih TI Lookup-ova. – Kontaktirajte prodaju da zatražite besplatnu probnu verziju.
Prvi put objavljeno na Cyber Security News.