Un nouveau paradigme pour la chasse aux cyber-menaces

Ce n’est pas un secret que s’attendre à ce que les contrôles de sécurité bloquent tous les vecteurs d’infection est irréaliste. Pour la plupart des organisations, les chances sont très élevées que les menaces ont déjà pénétré leurs défenses et se cachent dans leur réseau.

Repérer de telles menaces rapidement est essentiel, mais les approches traditionnelles pour trouver ces aiguilles dans la botte de foin sont souvent insuffisantes.

Il existe maintenant une opportunité unique pour des capacités de chasse aux menaces plus réalisables et plus efficaces, et cela découle d’un effort inhabituel : repenser l’approche du réseautage à grande échelle.

Quand on regarde la cyber kill-chain aujourd’hui, il y a deux phases majeures : l’infection et la post-infection. Les experts en sécurité reconnaissent que les organisations peuvent être infectées, peu importe la qualité de leurs contrôles de sécurité.

Le simple fait est, les vecteurs d’infection changent rapidement et continuellement. Les attaquants utilisent de nouvelles méthodes de livraison - de l’ingénierie sociale aux exploits du jour zéro - et ils sont souvent efficaces.

Dans la plupart des cas, une infection est un événement singulier. La méthode de livraison est singulière, ce qui diminue les chances de détection par les contrôles de sécurité destinés à empêcher les menaces d’entrer.

Malheureusement, la plupart des organisations consacrent encore plus de ressources à la prévention plutôt qu’à la détection. Les principaux outils qu’ils déploient aujourd’hui comprennent le pare-feu, l’anti-spam, le sandboxing, IPS (prévention des intrusions), les flux d’informations, le filtrage d’URL, les anti-logiciels malveillants et les anti-robots.

Ces solutions sont conçues pour être en face de ce qui reste du périmètre pour prévenir les tentatives d’infection. Cependant, une fois qu’une menace se faufile dans le périmètre, l’outil ne peut pas le voir ou l’arrêter.

La chasse aux menaces est en hausse

Cela a donné lieu à la notion de « chasse aux menaces », ou au processus de recherche proactive du réseau pour détecter les menaces qui ont échappé aux mesures de sécurité existantes.

La recherche de menaces nécessite un changement vers une mentalité post-infection et des ensembles d’outils tels que SIEM (incident de sécurité et gestion des événements), EDR (détection et réponse des points finaux) et NDR (détection et réponse réseau).

Même avec ces outils, la chasse aux menaces est un défi pour diverses raisons.
D’une part, ces solutions sont « lourdes ». Elles nécessitent une sorte de collecte de données qui implique l’installation d’agents sur les terminaux et / ou le matériel placé sur les réseaux. Cela peut devenir assez cher pour une grande entreprise.

De plus, il peut rater le trafic des appareils mobiles sur lesquels l’agent de collecte n’est pas installé. Un autre problème est que ces solutions reposent sur les données de fond disponibles à un moment donné. Ces données n’ont pas un contexte plus large et une perspective historique.

Par exemple, lorsqu’un outil SIEM reçoit des alertes et des journaux provenant de nombreuses solutions de sécurité ponctuelles différentes, les alertes sont détachées les unes des autres, de sorte que chaque conclusion est différente sans les données brutes derrière les alertes.

Il y a trop d’événements sans suffisamment de contexte pour que les analystes de sécurité puissent localiser une infection. De plus, peu d’organisations ont les compétences et les ressources pour analyser les données et identifier les menaces persistantes.

Une nouvelle opportunité pour la chasse aux menaces

Assez curieusement, l’entreprise passe à un réseau étendu défini par logiciel (SD-WAN) comme un service basé sur le cloud offre maintenant un moyen alternatif pour mener une chasse aux menaces qui corrige les lacunes des approches existantes.

SD-WAN basé sur le cloud est une nouvelle architecture de réseau dans laquelle toutes les entités du réseau d’entreprise type - le siège social, le ou les centres de données, les succursales, l’infrastructure de cloud faisant partie du réseau externe (AWS, Azure, etc.), ainsi que les utilisateurs mobiles - sont tous connectés à un réseau dans le nuage.

Ces éléments se connectent au backbone du réseau de cloud à travers une série globale de points de présence (PoP). Cela crée un seul réseau unifié qui achemine tout le trafic des différentes entités d’entreprise connectées, y compris l’Internet d’entreprise et le trafic WAN. Avoir tout ce flux de trafic sur un réseau constitue un ensemble de données précieux pour la chasse aux menaces.

Cato Networks a identifié l’opportunité d’utiliser cette source unique et unifiée de données circulant à travers son réseau Cato Cloud comme entrée d’un nouveau service de recherche de menaces.

Ceci étend l’offre de sécurité convergente de Cato qui inclut déjà le pare-feu en tant que service, un pare-feu nouvelle génération, une passerelle Web sécurisée et une protection avancée contre les menaces.

Ce qui rend la recherche de menaces via un réseau basé sur le cloud unique

Les solutions de sécurité réseau traditionnelles sont construites au niveau d’un réseau à une seule branche. Tout le trafic qu’ils inspectent est isolé et limité à un emplacement spécifique, tel qu’une succursale ou un emplacement géographique.

Parce que Cato a son propre backbone réseau, dans lequel il a une visibilité complète, le fournisseur de services peut voir tout le trafic réseau, de tous les clients, partout dans le monde. Cette visibilité sur autant de flux réseau et de données est unique et permet à Cato de créer des modèles qui permettent une recherche complète des menaces basée sur des données brutes illimitées.

Le modèle de Cato fait évoluer trois aspects du contexte des données : la classification du client, la cible et l’heure ( voir la figure 1).). Jetons un coup d’œil à chacun de ces éléments, et comment le fait de rassembler les trois pièces donne un très haut degré de confiance qu’une menace est présente sur le réseau.

Classification du client

Cela commence avec la classification du client. Lorsque d’autres solutions de sécurité inspectent le flux du client source, des entités telles que l’adresse IP source, le nom d’utilisateur et le nom du périphérique sont prises en compte.

Habituellement, cette information est utilisée pour distinguer différents périphériques sur le réseau, mais elle est rarement utilisée dans la prise de décision réelle de savoir si le trafic est malveillant ou non.

Cato a étendu la classification des clients dans un schéma plus large, en utilisant des éléments tels que si HTTP ou TLS fait partie des communications principales, les empreintes digitales uniques de divers navigateurs, et les types de bibliothèques qu’ils utilisent. Ces éléments fournissent beaucoup plus de détails, et en analysant ces données avec l’apprentissage automatique, Cato peut classer les différents clients sur son réseau très précisément.

La cible

L’élément de contexte suivant que Cato utilise est la cible, l’adresse IP ou de domaine à laquelle un client se connecte. La cible fait généralement partie du flux utilisé dans le processus de prise de décision pour savoir si quelque chose est malveillant ou non. La plupart des solutions de sécurité comparent simplement la cible à une liste de flux de sécurité.
Cato va plus loin en créant un « score de popularité » pour chaque cible qu’il voit. Le score est calculé en fonction du nombre de fois où les clients communiquent avec les cibles. Les scores de toutes les cibles sont ensuite stockés, et généralement les cibles les moins bien notées sont des indicateurs de sites malveillants ou de sites de commande et de contrôle.
Communication au fil du temps
Le dernier paramètre de contexte de Cato est le temps. Les logiciels malveillants actifs continuent de communiquer au fil du temps. par exemple, pour obtenir des commandes du serveur C & C ou pour exfiltrer des données. Le temps (répétitivité) n’est souvent pas pris en compte par d’autres solutions de sécurité, alors que Cato le considère comme un élément de données important.
Plus la communication externe est répétée uniformément, plus il y a de chances qu’une machine ou un bot génère ce trafic, et donc plus susceptible d’être un trafic malveillant.

Un exemple réel

L’exemple suivant provient d’un vrai client de Cato. Il y a une machine sur le réseau Cato Cloud qui essaie de se connecter à environ 150 domaines où plus de 90% d’entre eux sont des requêtes DNS non résolues. Les domaines eux-mêmes ressemblent à un algorithme qui les a générés (voir figure 2).

Historiquement, les analystes peuvent voir que cet événement se produit toutes les trois heures, ce qui indique qu’il s’agit probablement d’un trafic de robots. Certains des domaines ont été résolus, après quoi il y avait une session HTTP qui permet aux analystes de résoudre le client.

Basé sur les algorithmes de classification des clients, ce client est inconnu de Cato pour toutes les données que le fournisseur de réseau a obtenues. À ce stade, il est possible de conclure qu’un bot inconnu communique fréquemment avec un site Web à faible popularité. Une analyse plus approfondie avec le client propriétaire de la machine montre qu’elle est infectée par un logiciel malveillant.

Cato a pu détecter cette menace automatiquement sans aucun flux externe ou signature IPS. La découverte était purement le résultat de l’examen des flux de réseau. Aucun agent ou matériel supplémentaire n’a été nécessaire pour collecter les données, car elles proviennent toutes des flux qui traversent normalement le réseau Cato.

Le client final n’a déployé aucun effort pour chasser cette menace, mis à part regarder la machine que Cato a identifiée comme suspectée d’abriter des logiciels malveillants. C’est en effet un nouveau paradigme pour la chasse aux menaces.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 26 |

Actu en image