Dans un blog précédent, nous avons parlé de l'importance des enrichissements de sécurité dans les métadonnées de votre réseau. Ces enrichissements servent de base aux chasseurs de menaces et aux analystes pour tester et interroger des hypothèses au cours d'un processus d'investigation. Notre équipe de science des données continuera à partager des exemples du travail que nous effectuons pour faire apparaître ces enrichissements.
L'exemple d'aujourd'hui se concentre sur l'attribut multi-homed que vous pouvez trouver dans Cognito Stream, Cognito Recall et les moteurs sous-jacents de Cognito Detect. Cet attribut confère aux équipes de sécurité un niveau d'efficacité supplémentaire lorsqu'elles déterminent si un canal de commande et de contrôle ou d'exfiltration identifié peut être malveillant.
Si vous observez le trafic réseau aujourd'hui, il est possible qu'un domaine soit résolu en plusieurs adresses IP. Cela indique probablement qu'il s'agit d'un hôte externe faisant partie d'une infrastructure plus vaste. Il est peu probable que le canal de commande et de contrôle (C&C) d'un pirate utilise une infrastructure aussi vaste, à moins qu'il n'ait recours à des techniques d'obscurcissement. En effet, les meilleures pratiques en matière de sécurité des opérations (OPSEC) exigent que l'infrastructure optimale d'un attaquant soit cloisonnée.
Une architecture cloisonnée ne crée pas seulement une empreinte plus petite, mais rend également difficile pour un enquêteur de corréler des attaques distinctes et de déterminer l'intention. Une infrastructure d'attaque plus vaste va à l'encontre de la nécessité de cloisonner les opérations et fait en sorte qu'il soit plus difficile et plus coûteux pour les attaquants d'atteindre leurs objectifs. Le fait de savoir si le trafic est dirigé vers une adresse IP délivrée par une infrastructure plus vaste peut être utile lors de l'examen de diverses connexions externes en vue d'y déceler des activités de commande et de contrôle.
Un enquêteur ou un chasseur de menaces peut s'en servir pour éliminer de sa surface d'investigation le trafic à destination de ces adresses IP et de ces domaines, ce qui permet de tempérer les faux positifs et d'améliorer l'efficacité des processus des centres d'opérations de sécurité (SOC). L'élimination de ce trafic se justifie par le fait que les attaquants avancés opèrent avec les meilleures pratiques OPSEC et que les attaquants de niveau inférieur évitent le coût et la complexité d'une infrastructure plus importante.
Bien qu'il soit représenté par un seul attribut dans vos métadonnées sous-jacentes, l'algorithme de génération est très puissant. Il s'agit d'un modèle dynamique qui écoute en permanence le trafic DNS et extrait les enregistrements A et les CNAMES. Le modèle résout récursivement chaque enregistrement A et CNAME, puis compte les adresses IP associées à chaque domaine. En raison de la nature transitoire des mappages DNS, le modèle apprend et oublie constamment, ce qui garantit la détermination la plus récente. Un attribut booléen appelé HostMultihomed est désormais associé aux adresses de destination effectives et est présent dans les flux de métadonnées iSession, HTTP et TLS dans Cognito Stream et Cognito Recall.
Pour plus d'informations, veuillez contacter votre représentant local Vectra . Si vous êtes un client de Vectra et que vous avez besoin de conseils sur l'attribut multi-homed dans votre déploiement, veuillez contacter votre responsable de la réussite des clients.