У меня создалось впечатление, что вера среди широких масс в то, что IoC-и - это основа современной безопасности, достигла своего апогея. Уже вполне толковые ребята со сцены всерьез (хотя, может, шутил, но я шутку не почувствовал) заявляют о том, что они у себя выкинули антивирус и заменили его на EDR с хешевым фидом, и это - революционный подход к безопасности. Удивительно?!
В целом, любому здравомыслящему человеку понятно, что даже файловая антивирусная сигнатура - куда более продвинутая технология детектированя, чем хеш, как минимум, потому, что одна сигнатрура может детектить одно и то же зло с разными хешами, а современный EPP еще имеет кучу других технологий, в том числе, и по поведению (кстати, единственный способ детекта malware less атак). Если рассмотреть Пирамиду Боли, то статические индикторы - низшие в иерархии. Ниже я раскрасил где о чем написано.
В целом, любому здравомыслящему человеку понятно, что даже файловая антивирусная сигнатура - куда более продвинутая технология детектированя, чем хеш, как минимум, потому, что одна сигнатрура может детектить одно и то же зло с разными хешами, а современный EPP еще имеет кучу других технологий, в том числе, и по поведению (кстати, единственный способ детекта malware less атак). Если рассмотреть Пирамиду Боли, то статические индикторы - низшие в иерархии. Ниже я раскрасил где о чем написано.
Да и EDR - не панацея сама по себе, но только в связке с EPP. А вообще, нужна целая совокупность технологий и сервисов, и только тогда, может быть, будет возможность эффектино обнаруживать и реагировать.
Но в каждой сказке есть своя доля правды. Чем более таргетированными становятся атаки, тем сложнее вендорам их найти в Интернет и выпустить детект, тем больше временной зазор, в течение которого атака, нацеленная на конкретную инфраструктуру может оставаться необнаруженной. Поэтому я много писал и говорил об актином поиске угроз (Threat hunting) в конкретной инфраструктуре, так как только таким образом можно оперативно находить то, что пропустили, а также акцентировать внимание на том, что актуально для данной конкретной сети. Проще говоря, так мы компенсируем вендорское проблемы с Оперативностью (нужна защита не завтра, а сейчас) и Релевантностью (нужна защита от угроз в моей сети, а не угроз, найденных где-то у кого-то).
Для решения этой задачи можно немного поколхозить. Раз выше упоминался коллега с хешовыми фидами, продолжим эту же тему (хотя подход может быть растянут на любые другие индикторы). Нормальные EPP умеют создавать кастомизированные черные списки по хешам (ну уж EDR-ы - точно умеют, любой современный EPP и EDR тоже - вон, Гарнтер, их уже и различать перестал). В целом, можно этот Черный список формировать скриптами. Тогда компенсация проблем с Оперативностью и Релевантностью может выглядеть как-то так.
1. Я каким-то образом обнаружил вредоносных хеш, который пока не обнаруживается вендорским ЕРР.
2. Добавляю этот хеш в мой кастомизированный Черный спискок.
3. Сэмпл добавляю в папочку, которая постоянно сканируется моим вендорским EPP в применяемой у меня комплектации (я бы порекомендовал использовать полную комплектацию - с облаком, с поведенческими и эвристирческими движками и т.п.) - это будет моя "лаборатория постоянной проверки детекта"
4. Как только сэмпл стал обезвреживаться используемым у меня ЕРР, его можно удалить из Черного списка, чтобы список не был бесконечно большим, но содержал ровно то, что для меня релевантно, но пока не покрывается вендором ЕРР.
Не раз писал, что я фанат схемок, поэтому ниже картинка про эти 4 пункта. Черными буквами на синем фоне отражено описание ситуации в указанной точке, белыми буквами на синем фоне - мои действия.
Теперь, когда концепт понятен, важное дополнение относительно "лаборатории постоянной проверки детекта". ЕРР может обнаруживать в разных режимах - при запуске файла, при просто его обнаружении на диске, при получении в виде почтового вложения, при скачивании из Интернет и т.п. Детакт может работать в одном режиме и не работать в другом. Поэтому, постонно проверять детект надо в той же ситуации, в которой вы ожидаете детект. Т.е. если вы ожидаете, что вложение будет удалено из почнового сообщения, правильно было бы не положить сэмпл в папочку, а посылать его по почте, чтобы проверять именно ожидаемую ситуацию. Если так сложно, то хотя бы запускать сэмпл в песочнице с установленным и обновленным вашим ЕРР, - это будет более достоверная проверка наличия детекта, чем сканирование папочки (где по сути отработает только файловый детект, что не евляется единственным детектирующим движком в современных ЕРР).
No comments:
Post a Comment