- Miért ragadt a kiberbiztonsági ágazat a reagálási ciklusban?
- 1. alapelv: Az ellenfél mindig gyorsabban alkalmazkodik, mint a statikus védelmi rendszerek
- 2. alapelv: A jelek Fusion bármelyik egyedi algoritmust Fusion
- 3. alapelv: Az érzékelő rendszereknek információt kell generálniuk, nem csupán felhasználniuk azt
- Építsd az észlelést arra, amit a támadók nem tudnak megváltoztatni
Miért ragadt a kiberbiztonsági ágazat a reagálási ciklusban?
A kiberbiztonsági ágazat állandó reagálási kényszerben van. Minden negyedév új típusú fenyegetéseket, új kijátszási technikákat és új rövidítéseket hoz magával, amelyek a védelem újragondolását ígérik. Ez paradox helyzetet teremt azoknak a CISO-knak és CTO-knak, akik hosszú távú infrastruktúra-döntésekért felelnek: az észlelési stratégiáknak öt-tíz évig relevánsnak kell maradniuk, még akkor is, ha a fenyegetési környezet néhány havonta változik. A többrétegű védelem elengedhetetlen. A nyitott kérdés az, hogy mire kell ezeket a rétegeket alapozni, hogy a fenyegetések fejlődésével is megállják a helyüket.
Egy ilyen tartós stratégia kidolgozása azt jelenti, hogy túl kell tekintenünk a fenyegetési környezetben bekövetkező változásokon, és meg kell határoznunk, mi az, ami nem változik: azokat az alapvető korlátozó tényezőket, amelyek továbbra is meghatározzák a fenyegetések viselkedését, függetlenül attól, hogy az eszközök hogyan fejlődnek. Ezek az állandó tényezők biztos alapot nyújtanak a többrétegű védelmi rendszereknek, így az észlelési architektúra releváns marad, még akkor is, ha a konkrét fenyegetések és technikák változnak. Ebben a bejegyzésben három ilyen állandó tényezőre összpontosítunk, mivel ezeknek van a legközvetlenebb hatása arra, hogyan kell felépíteni a modern észlelési folyamatokat.
A kritikus infrastruktúra nem engedheti meg magának a reagálási ciklust
Az OT- és a kritikus infrastruktúra-környezetekben a rendszerek frissítése nem történik meg azonnal; a frissítéseket gyakran a gyártók irányítják, és az üzemszünet működési következményekkel jár. Ha egy rosszindulatú fájl bekerül ebbe a környezetbe, ritkán marad elszigetelve. Számos észlelési módszer még mindig olyan feltételezéseken alapul, amelyek ilyen körülmények között nem állják meg a helyüket:
- A fenyegetések hasonlóak lesznek a már tapasztaltakhoz
- A statikus vizsgálat teljes mértékben képes megállapítani a szándékot
- A késleltetett elemzés elfogadható kompromisszum
Az invariánsok egy másik valóságra utalnak:
- Az ismeretlen fenyegetések továbbra is felbukkannak majd
- A szándék feltárásához viselkedéselemzésre van szükség
- Az észlelés gyorsasága befolyásolja a terjedés megfékezésének eredményeit
- A többcsatornás jelek hatékonyabbak, mint az egycsatornás észlelés
- Az érzékelő rendszereknek saját információkat kell generálniuk
A feltételezések és a valóság közötti rés az a terület, ahol a támadók a leghatékonyabban tudnak működni. A következő szakasz azzal az első alapelvvel kezdődik, amely ezt következetesen feltárja.
1. alapelv: Az ellenfél mindig gyorsabban alkalmazkodik, mint a statikus védelmi rendszerek
A statikus védelem csak átmeneti illúzió. A támadók visszafejtik az észlelési logikát, megosztják egymással a kijátszási technikákat, és folyamatosan fejlesztik módszereiket. Ha egy védelmi technológiát egyszer bevezetnek, és nem frissítik, az motivált ellenfél ellen hosszú távon nem marad hatékony. Ez már az első sandbox bevezetése óta így van, és a mesterséges intelligenciával létrehozott kártevő programok csak felgyorsítják ezt a ciklust.
Ennek gyakorlati következménye, hogy a kiszámíthatatlan kártevő programoknak nem kell minden észlelési réteget áttörniük. Csak azt kell kijátszaniuk, amelyikre támaszkodsz. A változatokat ma már gyorsabban lehet előállítani, a védelmi mechanizmusokkal szemben tesztelni, majd rövid ciklusokban finomítani. Ami korábban hetekig tartó fejlesztést igényelt, ma már órákban mérhető ciklusokban valósulhat meg.
Miért az OT-környezetek viselik el elsőként a károkat?
Az OT-környezetekben az adaptációs probléma még súlyosabbá válik. A javítási ciklusok hosszúak, a rendszereket gyakran a gyártók irányítják, a szoftverek pedig firmware-frissítések, gyártói csomagok és helyszíni eszközök útján érkeznek, amelyeket nem lehet könnyen kicserélni. Ugyanezek a fájlok válnak ideális terjesztési csatornákká, mivel várhatóak, megbízhatónak számítanak, és működés megzavarása nélkül nehéz ellenőrizni őket.
Ezek közül a fájlok közül néhány megtisztítható, mások viszont nem. A futtatható fájloknak, a firmware-képfájloknak és a javítófájloknak a tervezett módon kell működniük, ami korlátozza a tartalom-semlegesítés és -rekonstrukció alkalmazási területeit. Ezáltal a megvalósítható ellenőrzési módszerek köre szűkül, és sok ilyen környezetben gyakran a statikus ellenőrzés válik az alapértelmezett védelmi eszközzé, annak ellenére, hogy a támadók már megtanulták, hogyan lehet ezt kijátszani.
Hogyan szünteti meg az utasításszintű emuláció a kijátszási előnyt
A hagyományos, virtuális gépen alapuló szandboxolás továbbra is fontos szerepet játszik, de olyan feltételeket teremt, amelyeket a támadók már megtanultak kihasználni. A kijátszási technikák képesek felismerni a virtualizált környezetet, késleltetni a végrehajtást, vagy az elemzési jelek alapján megváltoztatni a viselkedést. Sok esetben az elemzésre csak azután kerül sor, hogy a fájl már eljutott a végponthoz, így az észlelés inkább megerősítéssé válik, mintsem megelőzéssé.
MetaDefender ezt úgy oldja meg, hogy a virtuális gépen alapuló aktiválás helyett az emulációra épülő dinamikus elemzésre tér át. Az utasításszintű emuláció segítségével az észlelési folyamat a fájlokat olyan ellenőrzött környezetben futtatja, amely nem teszi láthatóvá azokat a nyomokat, amelyekre a kártevő programok általában az észlelés elkerüléséhez támaszkodnak. Az anti-VM ellenőrzések nem találnak semmit, amit azonosítani lehetne, a késleltetett végrehajtási útvonalakat figyelemmel kísérik, és a többfázisú hasznos terheléseknek lehetőséget adnak a kibontakozásra.
Hagyományos Sandbox . MetaDefender dinamikus elemzés
Hagyományos virtuális gépen alapuló Sandbox | MetaDefender | |
Kibúvóhelyek ellenállása | Érzékeny az anti-VM, az időzítés és a környezeti ellenőrzésekre | Az utasításszintű emuláció hatástalanítja a virtuális gépek elleni védelmet és a késleltetésen alapuló kijátszási módszereket |
Támogatott fájltípusok | Korlátozott | Több mint 50 fájltípus, beleértve a futtatható fájlokat, szkripteket, javítófájlokat és telepítőprogramokat |
Az ítélet szövege | Egyetlen homokozó eredménye | Egyetlen, átfogó értékelés, amely ötvözi a hírnevet, a dinamikus elemzést, a fenyegetések pontozását és a fenyegetések felkutatását |
Sebesség | Fájlonként 10–15 perc | Szinte valós időben; szerverenként naponta több mint 25 000 elemzés |
Telepítés | A legtöbb esetben Cloud | Helyi, felhőalapú vagy hibrid |
Hírszerzési információk gyűjtése | Korlátozott IOC-kivonás | A viselkedésalapú IOC-k visszacsatolódnak az észlelési folyamatba, és újratanítják a Predictive Alin AI-t |
A gyakorlatban ez inkább a fájl viselkedését tárja fel, mintsem a külső megjelenését. A teljes végrehajtási út láthatóvá válik, függetlenül attól, hogy a minta milyen kijátszási logikát tartalmaz. Azoknál a fájltípusoknál, amelyeket nem lehet megtisztítani – például a futtatható fájlok, javítófájlok, szkriptek és telepítők esetében –, ez a fajta dinamikus elemzés a legmegbízhatóbb módszer a fájl szándékának megállapítására, mielőtt az mélyebbre hatolna a rendszerbe.
Egy kormányzati nyomozószerv gyakorlati körülmények között bizonyította ezt. Feladatául kapta a gyanús eszközökről lefoglalt fájlok elemzését, amelyek közül sok mélyen beágyazott kártevő szoftvert tartalmazott olyan formátumokban, amelyek a bizonyító erejük megsértése nélkül nem módosíthatók. A szerv a hagyományos víruskeresőket és a kézi ellenőrzést többféle szkenneléssel és emulációalapú homokozóval kombinált megoldással váltotta fel. Azokat a fájlokat, amelyek ellenőrzése korábban órákig tartott, perceken belül sikerült ellenőrizni, és azok a fenyegetések, amelyek elrejtőztek a szignatúraalapú eszközök elől, a viselkedéselemzés során felszínre kerültek anélkül, hogy a bizonyítékok integritását veszélyeztették volna.
Van még egy olyan korlát, amelyet érdemes kiemelni. A mélyreható elemzés javítja az átláthatóságot, de lassítja a döntéshozatali folyamatot. Ha minden ismeretlen fájlt teljes körűen meg kell vizsgálni, mielőtt döntés születik, akkor a késleltetés az architektúra szerves részévé válik, és a támadók megpróbálják majd kijátszani. Ez a feszültség közvetlenül a következő alapelvhez vezet: egyetlen módszer sem elegendő önmagában, bármilyen hatékony is legyen.
2. alapelv: A jelek Fusion bármelyik egyedi algoritmust Fusion
Egyetlen felismerő motor sem képes önmagában optimális eredményeket elérni. Ez nem egy adott technológia korlátja. Hanem a független osztályozók kombinálásának statisztikai tulajdonsága. Amikor több motor különböző módszerekkel értékeli ugyanazt a fájlt, hibaszázalékuk nem halmozódik lineáris módon. Hanem kiegészítik egymást, így olyan kombinált felismerési képességet eredményezve, amely következetesen felülmúlja bármelyik egyedi motor teljesítményét, függetlenül attól, hogy az mennyire fejlett.
A következtetés egyértelmű, még ha kellemetlen is. A kiszámíthatatlan kártevő programoknak nem kell minden lehetséges védelmi mechanizmust kijátszaniuk. Csak azt kell kijátszaniuk, amelyikre a leginkább támaszkodunk. Egy olyan fájl, amely megkerüli a hírnév-ellenőrzéseket, de viselkedési jelzőket vált ki, vagy elkerüli a szignatúra-alapú észlelést, de rendkívüli hasonlóságot mutat egy ismert kártevőcsaláddal, egy többrétegű ellenőrzési folyamatban kiszűrésre kerül. Egy egyrétegű modellben viszont továbbjut.
Miért nem működik a gyakorlatban az egyhajtóműves repülőgépek észlelése?
A legtöbb környezetben már több eszközt is használnak, de az általuk generált jelzések gyakran nem állnak összefüggésben egymással. Az egyik rendszer gyanúsnak jelöli meg egy fájlt, a másik pedig tiszta minősítéssel engedi át, míg egy harmadik olyan jelzőket állít elő, amelyek kézi értelmezést igényelnek. A korreláció feladata így az elemzőre hárul.
Ez két következetes hibahelyzetet eredményez:
- A kijátszás akkor sikerül észrevétlenül, ha a fenyegetés megkerüli az elsődleges ellenőrzést, és soha nem vált ki mélyebb vizsgálatot
- A riasztások száma megnő, ha az egymást átfedő vagy egymással ütköző jelek zavaró zajt keltenek, ami megnehezíti a helyzet felismerését
Nagy léptékben egyik eredmény sem fenntartható. A nagy adatforgalmú környezetekben az észlelés vagy elmulasztja a lényeges eseményeket, vagy túlterheli a reagálással megbízott csapatot.
MetaDefender négy jelzést egyetlen megbízható döntéssé alakít
MetaDefender ezt úgy oldja meg, hogy az észlelést nem egymástól független ellenőrzések gyűjteményeként, hanem egységes folyamatként szervezi meg. Minden réteg ugyanazt a fájlt vizsgálja, de más-más szempontból, és az eredményeket egyetlen, összefüggő értékeléssé egyesítik.
MetaDefender észlelési folyamat és a jelek hozzájárulása
Réteg | Miben járul hozzá |
Hírnév | Korán blokkolja az ismert kockázati tényezőket, például a rosszindulatú hash-értékeket, domainneveket és IP-címeket |
Dinamikus elemzés | Ismeretlen mintákat futtat, hogy feltárja a rejtett viselkedést és kinyerje az IOC-ket |
Fenyegetésértékelés | A jeleket összehangolja egy bizalmi alapú kockázati pontszámmá |
Fenyegetésfelderítés | Meghatározza a minták közötti összefüggéseket, összekapcsolva a tevékenységeket a kampányokkal és a családokkal |
Minden réteg egy-egy különböző kérdésre ad választ. A hírnév-elemzés a már ismert tényezőket vizsgálja. A dinamikus elemzés feltárja a még ismeretleneket. A pontozás kontextust biztosít, a fenyegetéskeresés pedig összekapcsolja az elszigetelt eseményeket, hogy azokból cselekvésre alkalmas információ szülessen. Az eredmény egy, az összes rendelkezésre álló bizonyítékra alapuló döntés, nem pedig négy különálló eredmény. A négy réteg együttes működésével a folyamat 99,9%-os hatékonyságot ér el a zero-day támadások felismerésében.
Egy globális pénzügyi intézmény megszüntette a SOC-folyamatok szűk keresztmetszeteit
Egy globális pénzügyi intézmény, amely naponta közel 1000 gyanús e-mailt dolgozott fel, a biztonsági operációs központjában (SOC) dinamikus elemzéseket hajtott végre egy SOAR-automatizálással integrált, virtuális gépen (VM) futó sandbox segítségével. A rendszer addig működött, amíg a feldolgozandó mennyiség meg nem nőtt. Sandbox megteltek, a kiemelt fontosságú incidensek miatt kézi beavatkozásra volt szükség, és az automatizálás a hatékonyságnövelő eszköz helyett szűk keresztmetszetté vált.
MetaDefender hálózati peremre történő telepítésével a szervezet a jelek összevonását előrehozta. A fájlokat már az átvitel előtt elemezték, nem pedig a végpontokon történő futtatás után. A sorban állás okozta szűk keresztmetszetek megszűntek, az elemzési idő percekről másodpercekre csökkent, és a biztonsági operációs központ (SOC) újra arra tudott összpontosítani, hogy a felhalmozódott feladatok kezelése helyett a vizsgálatokra fordítsa figyelmét.
Az Alin AI prediktív megoldása feloldja a sebesség és a mélység közötti kompromisszumot
A többrétegű feldolgozási folyamat javítja a pontosságot. Ez azonban önmagában nem csökkenti az ítélet meghozatalához szükséges időt. Nagy adatmennyiség esetén az összes fájl mélyreható elemzésének végrehajtása késleltetést okoz, és ezt a késedelmet a támadási lánc más pontjain ki lehet használni.
A Predictive Alin AI a feldolgozási folyamatot megelőzően, végrehajtás előtti intelligencia-rétegként működik, vagyis a döntéseket a fájl végrehajtása előtt hozza meg, anélkül, hogy a sandboxot beindítaná. A rendszer vállalati szintű, adatvédelmi szempontból biztonságos adatkészletek alapján lett betanítva, és folyamatosan újratanítják a sandboxban igazolt zero-day sebezhetőségek alapján,
A Predictive Alin AI milliszekundumok alatt hoz gépi tanuláson alapuló döntéseket, anélkül, hogy a fájlokat futtatni kellene. A rosszindulatúnak ítélt fájlokat azonnal leállítja, míg a többi fájl továbbhalad a részletesebb vizsgálatra. A döntések 99%-os pontossággal 100 ms alatt születnek, a téves riasztások aránya pedig mindössze 0,1%, ami azt jelenti, hogy a nagy forgalmú környezetekben gyors és pontos döntések születnek anélkül, hogy az elemzőket felesleges adatáradattal terhelnék.
A cél nem a kölcsönös kiváltás, hanem az összehangolás. A nagy sebességű előrejelzés kezeli a periférián felhalmozódó adatmennyiséget, míg a réteges elemzés ott biztosít mélységet, ahol arra szükség van. Idővel a kettő közötti visszacsatolási kör mindkettőt megerősíti, javítva a korai felismerést anélkül, hogy növelné a zajszintet.
A tanulság az, hogy a problémát nem a motorok számának növelése, hanem az összehangolt jelek oldják meg. Az észlelés hatékonysága javul, ha ezeket a jeleket összekapcsolják, összefüggésbe hozzák és rendszerként kezelik. Ez vezet a végső alapelvhez: azok az észlelési rendszerek, amelyek csupán felhasználják az információkat, végül lemaradnak azokról, amelyek maguk is generálják azokat.
3. alapelv: Az érzékelő rendszereknek információt kell generálniuk, nem csupán felhasználniuk azt
Jelentős különbség van a külső fenyegetési adatfolyamokat feldolgozó észlelési rendszer és a saját hírszerzési adatokat előállító rendszer között. Az adatfolyam-alapú észlelésnek van egy strukturális korlátja: csak azt tudja azonosítani, amit mások már korábban felfedeztek, dokumentáltak és megosztottak. Az új típusú fenyegetések, a módosított változatok és a nyilvános észlelési infrastruktúra kijátszására tervezett célzott támadások e határon kívül esnek.
A dinamikus elemzés változtat ezen a helyzeten. Amikor egy fájlt emulációalapú vizsgálat keretében futtatnak, az eredmény nem csupán egy egyszerű minősítés. A folyamat viselkedési mutatókat, hálózati tevékenységeket, konfigurációs adatokat és futási nyomokat generál. Ezek első kézből származó információkká válnak, amelyek lehetővé teszik a visszamenőleges nyomozást, a változatok csoportosítását és a proaktív blokkolást – mindezt a bejelentett mutatók helyett a megfigyelt viselkedés alapján.
Miért van szükség a szabályozott iparágaknak bizonyítékokra, és nem csupán ítéletekre?
A kritikus infrastruktúra, a pénzügyi szolgáltatások és a védelmi szektor területén az ellenőrizhető bizonyíték nem csupán egy tervezési szempont. Ez egy működési követelmény, amely szorosan összefügg a szabályozási előírások betartásával és az ellenőrizhetőséggel.
A szabályozási keretek egyre inkább az ismeretlen fenyegetések ellenőrizhető elemzését várják el, nem csupán a feed-alapú érvényesítést. A bizonyítékokkal alátámasztatlan, egyértelmű döntés nem állja ki az ellenőrzés vagy a vizsgálat próbáját. Az észlelési rendszereknek képesnek kell lenniük bemutatni, hogy a fájl hogyan viselkedett, milyen mutatókat vontak ki belőle, és hogyan született a döntés.
Ez egyúttal megváltoztatja azt is, ahogyan a szervezetek saját kockázataikat értelmezik. Az a környezet, amely saját hírszerzési adatokat generál, idővel egy helyspecifikus képet alkot a fenyegető tevékenységekről. Kialakulnak bizonyos mintázatok a kampányok, az infrastruktúra újrafelhasználása, valamint az egyes munkafolyamatokat célzó visszatérő viselkedési minták tekintetében. A külső adatforrások, valamint a belsőleg generált hírszerzési adatok biztosítják a részletességet.
Hogyan zárják be a kört MetaDefender és a Predictive Alin AI
MetaDefender az észlelési folyamat részeként hírszerzési adatokat generál. Az emulációalapú dinamikus elemzéssel vizsgált minden fájl viselkedési mutatókat, kivont adatokat és összefüggő jeleket eredményez, amelyek visszacsatolódnak a rendszerbe. Az észlelés így nem egyszeri döntés, hanem folyamatos tanulási folyamat lesz.
Ez az információ nem marad elszigetelten. A Predictive Alin AI rendszerbe kerül, ahol a sandbox-környezetben megerősített zero-day sebezhetőségeket felhasználják a végrehajtás előtti észlelési modellek újratanítására. Minden megerősített fenyegetés erősíti a rendszer képességét, hogy a végrehajtás bekövetkezte előtt, korábban felismerje a hasonló mintákat. Ez visszacsatolási hurkot hoz létre a mélyreható elemzés és a gyors előrejelzés között.
Az érzékeny rendszerek és az állampolgárok adatainak védelméért felelős állami hatóság példája jól illusztrálja a működési különbséget. Korábbi tesztkörnyezete ugyan részletes jelentéseket állított elő, de az elemzőknek kézzel kellett értelmezniük a széttöredezett viselkedési jeleket, és a zero-day támadások észlelésébe vetett bizalom is megrendült, mivel a rendszer mellett elkerülő minták átcsúsztak a szűrőn.
MetaDefender bevezetését követően a sandboxing egy önálló jelentéskészítő eszközből egy egységes észlelési folyamatgá alakult át, amely fájlonként egyetlen értékelést adott, strukturált viselkedési bizonyítékokkal és fenyegetésértékeléssel alátámasztva. Ez volt az a fajta információ, amely alapján az ügynökség végre közvetlenül cselekedhetett.
Mit nyújt az Intelligence Loop a biztonsági operációs központok (SOC) csapatainak
A SOC-csapatok számára ez a változás mérhető eredményekkel jár. Az elemzők már nem elszigetelt, kézi értelmezést igénylő jelzéseket kapnak, hanem viselkedési bizonyítékokkal alátámasztott, előre összefüggésbe hozott értékeléseket. Csökken a téves riasztások száma, és rövidül a vizsgálati idő, mivel minden észleléshez már eleve hozzá van rendelve a kontextus.
Nagy léptékben ez a különbség jelentős. Azok az észlelési rendszerek, amelyek csupán információkat feldolgoznak, a mennyiség növekedésével általában egyre több munkát generálnak. Azok a rendszerek viszont, amelyek maguk is információkat állítanak elő, idővel javítják a pontosságot és a kontextusértelmezést, ezzel csökkentve a terhelést.
A cél az, hogy az észlelést olyan tényezőkre építsük, amelyeket a támadók nem tudnak megváltoztatni. Az információgyűjtés egyike ezeknek a korlátoknak, és azok a rendszerek, amelyek ezt alapvető funkcióként kezelik, olyan előnyt szereznek, amely minden új fenyegetéssel egyre nagyobbá válik.
Építsd az észlelést arra, amit a támadók nem tudnak megváltoztatni
Ez a három változatlan tényező korlátozó tényezőként hat mind a támadókra, mind pedig az őket megakadályozni hivatott rendszerekre. Az ellenfél folyamatosan alkalmazkodni fog, az egyrétegű észlelés továbbra is elmulasztja majd azokat a jeleket, amelyeket a többrétegű rendszerek képesek kiszűrni, az információkat generáló rendszerek pedig továbbra is felülmúlják majd azokat, amelyek csupán felhasználják azokat.
Ezek az invariánsok azért hasznosak, mert leírják, mit nem tudnak a támadók megváltoztatni. Ennek közvetlen hatása van az észlelési rendszerek felépítésére. A statikus védelmi módszerek hatékonysága idővel csökken. A jelek összevonása következetesen jobb eredményeket hoz, mint az elszigetelt módszerek. Minden megerősített zero-day-támadás vagy javítja a következő észlelési rendszer hatékonyságát, vagy pedig elszalasztott lehetőségként végződik, amelyet végül más fog ki.
MetaDefender és a Predictive Alin AI ezekre a korlátokra épül. Az emulációalapú dinamikus elemzés feltárja a valós viselkedést, a többrétegű feldolgozási folyamat a jeleket egyetlen döntéssé összegezve értelmezi, az intelligencia-hurok pedig biztosítja, hogy a rendszer minden elemzett fájl után fejlődjön.
A súlyos következményekkel járó környezetben működő szervezetek számára ez gyakorlati előnyökkel jár. Az észlelés gyorsabbá, pontosabbá és megbízhatóbbá válik. Az elemzők kevesebb időt töltenek a jelek összehangolásával, és többet a jelek alapján történő cselekvéssel.
Ha szeretné megismerni az észlelési invariánsok teljes körét és az azok mögött álló architektúrát, olvassa el „A kiberbiztonság invariánsai” című fehérkönyvünket: opswat
