Multi-Homed-Attribut bringt mehr Effizienz bei der Bedrohungssuche
16. August 2019Ein wichtiges Element für die schneller Erkennung sind eingedrungene Angreifer sind die sicherheitsrelevanten Datenanreicherungen in Netzwerk-Metadaten. Diese dienen als Grundlage für Bedrohungsjäger und Analysten, um während eines Untersuchungsprozesses Hypothesen zu testen und abzufragen. Ein wesentlicher Aspekt dabei ist das Multi-Homed-Attribut.
Das Multi-Homed-Attribut ermöglicht Sicherheitsteams zusätzliche Effizienz, da sie feststellen können, ob ein identifizierter Command-and-Control- oder Exfiltrations-Kanal schädlich sein könnte. Vectra, Anbieter von Cyber-Sicherheit aus Basis künstlicher Intelligenz, klärt auf. Wenn man heute den Netzwerkverkehr beobachtet, ist es möglich, dass eine Domain auf mehrere IPs aufgelöst wird. Dies ist wahrscheinlich ein Hinweis auf einen externen Host, der Teil einer größeren Infrastruktur ist.
Der Command-and-Control-Kanal eines Angreifers wird auf eine so große Infrastruktur kaum zurückgreifen, es sei denn, er nutzt Verschleierungstechniken. Deswegen diktieren Best-Practices für Operations Security (OPSEC) eine Silostruktur als optimale Angreifer-Infrastruktur.
Eine Silo-Architektur schafft nicht nur einen kleineren Footprint, sondern erschwert es auch einem Sicherheitsanalysten, einzelne Angriffe zu korrelieren und die Absicht des Angreifers zu bestimmen. Eine größere Angriffsinfrastruktur widerspricht der Idee des Silobetriebs und macht es für Angreifer schwieriger und teurer, ihre Ziele zu erreichen.
Dem Datenverkehr auf der Spur
Zu wissen, ob der Datenverkehr zu einer IP-Adresse geht, die über eine größere Infrastruktur bereitgestellt wird, kann bei der Untersuchung verschiedener externer Verbindungen für Command-and-Control-Aktivitäten hilfreich sein. Ein Ermittler oder Bedrohungsjäger kann dies nutzen, um den Datenverkehr zu diesen IP-Adressen und Domains aus seinem Untersuchungsgebiet zu eliminieren, Fehlalarme effektiv einzudämmen und die Effizienz in SOC-Prozessen zu verbessern. Die Begründung für die Beseitigung dieses Datenverkehrs ist, dass fortgeschrittene Angreifer die besten OPSEC-Praktiken kennen und Angreifer auf niedrigerem Niveau die Kosten und Komplexität einer größeren Infrastruktur vermeiden.
Obwohl es als ein einziges Attribut in den zugrundeliegenden Metadaten dargestellt wird, ist der Generierungsalgorithmus recht leistungsfähig. Es ist ein dynamisches Modell, das ständig den DNS-Verkehr verfolgt und A Records und CNAMES extrahiert. Das Modell löst rekursiv jeden A Record und CNAME auf und zählt dann die der jeweiligen Domain zugeordneten IP-Adressen. Aufgrund des transitiven Charakters von DNS-Mappings lernt und vergisst das Modell ständig und gewährleistet so die aktuellste Bestimmung.
Ein Boolesches Attribut, das als HostMultihomed bezeichnet wird, ist nun den effektiven Zieladressen zugeordnet und in den Metadatenströmen iSession, HTTP und TLS sowohl in Cognito Stream, als auch in Cognito Recall vorhanden. (rhh)