Les outils et les techniques d'attaque peuvent évoluer au fil du temps, mais les comportements d'attaque restent un indicateur stable des attaquants au sein du réseau. L'utilisation du comportement des attaquants comme un signal de haute fidélité vous permet de prendre rapidement des mesures pour mettre fin aux attaques ou prévenir d'autres dommages.
En utilisant les métadonnées du réseau, vous pouvez créer des détections qui ciblent des outils, des exploits ou des techniques d'attaque spécifiques. Ces détections peuvent être utilisées pour donner une indication précoce de l'activité d'un attaquant de bas niveau ou pour étiqueter les outils et les exploits utilisés par les attaquants pour les détections comportementales.
Vectra fournit les meilleurs modèles d'IA et de ML pour exposer les attaquants au sein de votre réseau en se concentrant sur ces comportements stables des attaquants. Nous fournissons également des métadonnées de réseau au format Zeek que vous pouvez utiliser soit avec notre produit, soit directement dans votre système de gestion des informations de sécurité (SIEM) avec notre logiciel de gestion des informations de sécurité. Vectra Recall produit, soit directement dans votre système de gestion des informations de sécurité (SIEM) avec notre offre. Vectra Stream offre. Vous pouvez utiliser nos métadonnées de réseau pour compléter les détections comportementales intégrées basées sur l'IA et le ML afin de découvrir les outils et les exploits des attaquants.
Les éléments constitutifs de la recherche d'outils et d'exploits d'attaquants
La combinaison des métadonnées du réseau Vectra et d'une variété de techniques peut aider à identifier les outils et les exploits des attaquants au sein de votre réseau. Ces techniques peuvent être utilisées séparément ou ensemble pour créer des correspondances généralisées avec des classes d'outils ou d'exploits, ou des correspondances très spécialisées avec des outils ou des exploits spécifiques.
Voici quelques-uns des éléments de base des métadonnées du réseau qui permettent de trouver les outils et les exploits des attaquants :
- Domaines DNS
Le domaine DNS est-il un mauvais domaine connu ? WannaCry, par exemple, a utilisé des domaines DNS comme kill switch, mais d'autres utilisent le DNS pour C2 et pour l'exfiltration de données.
- Émetteur du certificat
L'émetteur du certificat est-il la racine attendue et approuvée ? Les émetteurs de certificats bon marché ou gratuits sont fréquemment utilisés dans le cadre de l'accaparement de domaines pour intercepter le trafic via des attaques de type "man-in-the-middle" (MITM) afin de voler des informations d'identification.
- IP de la source et de la destination
Le sous-réseau source ou de destination est-il connu pour être mauvais ou suspect ? Les adresses IP peuvent être utilisées pour identifier un trafic inhabituel ou suspect au sein de votre réseau.
- Agents utilisateurs
Les agents utilisateurs sont-ils attendus dans ce réseau ou sous-réseau ? Les agents utilisateurs sont utilisés pour décrire le navigateur ou le cadre utilisé et peuvent signaler une utilisation inhabituelle ou suspecte.
- Hachures JA3/JA3S
Le client ou le serveur est-il un mauvais acteur connu ? JA3 prend l'empreinte des clients (JA3) et des serveurs (JA3S) en examinant une grande variété d'informations divulguées au cours de la poignée de main TLS. (Consultez ce blog pour découvrir d'autres façons d'utiliser les hachages JA3/JA3S dans les enquêtes et la chasse aux menaces).
Recherches curatives avec Vectra Recall
Il n'est pas toujours facile d'effectuer de bonnes recherches, même lorsque l'on dispose des meilleurs outils et éléments de construction ! Certaines recherches seront trop larges et trop bruyantes, tandis que d'autres passeront à côté d'une menace réelle en raison d'un champ de recherche légèrement plus restreint.
Mais Vectraest là pour vous aider ! Notre équipe de recherche en sécurité et de science des données investit continuellement dans de nouvelles recherches qui ciblent des exploits, des outils et des cadres spécifiques. Ces recherches sont publiées sur notre plateforme Recall et vous donnent une longueur d'avance pour trouver et étiqueter les comportements d'attaque de bas niveau dans votre réseau.
Récemment, nous avons créé et publié des recherches de haute qualité sur le site Recall pour les menaces et vulnérabilités suivantes :
- Vulnérabilité de Citrix ADC (CVE-2019-19781)
- Vulnérabilité Curveball dans les bibliothèques cryptographiques de Microsoft (CVE-2020-0601)
- Le cheval de Troie d'accès à distance Pupy, utilisé par des APT bien connus
- Campagne Fox Kitten, utilisée par les APTs ciblant les vulnérabilités VPN
Ces nouveaux ajouts complètent notre vaste bibliothèque de recherches existantes qui peuvent aider à trouver et à étiqueter les menaces utilisant les exploits et les outils suivants :
- EternalBlue
- Cobalt Strike
- Metasploit
- Kali Linux
- L'Empire
- Et bien d'autres mauvaises tactiques, techniques et procédures (TTP) connues.
Automatiser les recherches avec Vectra Recall Modèles personnalisés
Les recherches de haute qualité sont précieuses pour les enquêtes, mais leur création et leur test peuvent prendre beaucoup de temps. Laissez Vectra faire le travail. Grâce à Recall Custom Models, nous pouvons automatiser ces recherches de détections en temps quasi réel. Il suffit d'activer les détections de "modèles personnalisés" pour une recherche Vectra Recall pour qu'elles correspondent automatiquement et qu'une alerte soit émise lorsque des correspondances sont trouvées.
L'activation de modèles personnalisés pour un outil d'attaque, un exploit ou un TTP vous permet de suivre rapidement et facilement le comportement d'une attaque de bas niveau au sein de votre réseau avant qu'elle ne devienne une attaque à part entière. L'étiquetage de ces activités permet également de réagir plus rapidement et plus efficacement en identifiant le cahier des charges de l'attaquant.
Pour voir de plus près comment utiliser Vectra Recall pour trouver les outils et les exploits des attaquants, planifiez une démonstration.