Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

AlphaSOC käyttää Wisdom API -sovellustaan kaikkeen toimintaansa. Wisdom API sijaitsee pilvessä ja suorittaa automatisoituja hakuja yhteistyössä kolmansien osapuolten palveluiden kanssa sekä lukuisia uhkasyötteitä hyödyntäen. Näihin syötteisiin, hakuihin ja hieman myös järjestelmän sisäiseen taikuuteen perustuen Wisdom API tuottaa informaatiota, joka päihittää perinteiset IP-osoiteluettelot ja URL-listaukset mennen tullen.

Ei vihollinen - mutta ehkä silti uhkamallissa

”Pilvi!” joku huutaa kovaan ääneen. ”Sehän tarkoittaa, että minun tietoni lähetetään pilveen. Minun kullankalliit telemetriatietoni pahantahtoisten muukalaisten käsissä paljastaen minusta aivan liikaa!”

Pitää paikkansa. Läpinäkyvyyden nimissä, tarkastellaanpa siis hieman, mitä kulissien takana oikeasti tapahtuu.

Mitä on telemetria

Telemetria on ”raakadata” jota kerätään tapahtumien prosessoimiseksi ja tulosten tuottamiseksi. Telemetria voidaan jakaa neljään kategoriaan (DNS, IP, HTTP ja TLS). DHCP- ja VPN-tietoja käytetään vain analytiikkakoneessa tietojen rikastamiseen. Telemetriakategorioiden määrä riippuu siitä, mitä tietoja viedään Splunkiin. Tietojen prosessointiin liittyy kaksi komponenttia – analytiikkakone (Analytics Engine AE) ja AlphaSOC Wisdom API. 

Alla olevassa taulukossa esitellään, mikä tieto kulkee millekin komponentille.

DNS

IP

HTTP

TLS

DHCP/VPN

Analytics Engine

Deployment

Tämä komponentti voi olla pilvipohjainen tai paikallisesti asennettu. 

  • Timestamp
  • Source IP address
  • DNS request record type
  • Timestamp
  • Source IP & port
  • Bytes in and bytes out
  • Application protocol
  • Security apparatus action
  • Session duration
  • Timestamp
  • Source IP
  • HTTP client method
  • HTTP client referrer
  • HTTP server status
  • HTTP server content type
  • Security apparatus action
  • Bytes in and bytes out
  • Web application fingerprint
  • Timestamp
  • Source IP
  • Source IP
  • Source hostname
  • Source MAC
  • Source username
  • Lease duration
  • Lease termination
Wisdom API

Deployment

The komponentti on aina pilvipohjainen.

  •  DNS request FQDN
  • Destination IP & port
  • Network protocol
  • URL
  • HTTP client user agent
  • TLS server IP & port
  • TLS server X.509 certificate
  • TLS client JA3 fingerprint
  • TLS server JA3S fingerprint

Mitä tietoja tallentuu pilveen

Jotkin tiedot jotka Wisdom API käsittelee, tallennetaan pilveen. Syyt tietojen tallentamiselle ovat seuraavat:

  • KÄYTTÖTAPAUKSET

    Järjestelmä suorittaa aikajana-analyysiä havaitakseen pitkäkestoisia verkkosessioita, liikennepoikkeamia sekä pitkäaikaisia pulssimaisia liikennöintejä. Hyödyntämällä näitä aikajana-analyysejä ja yhdistelemällä niitä muuhun tietoon ja kontekstiin kyetään havaitsemaan tietojen vuotamista sekä C2 liikennettä (esim. beacon-liikennettä vastarekisteröityihin domainehin jonka nimi on muodoltaan epäilyttävä).

  • TUTKIMUS

    Uusien ominaisuuksien tuottaminen, tuoreisiin uhkiin vastaaminen sekä uusien käyttötapausten kehittäminen vaatii paljon tietoa. AlphaSOC prosessoi miljoonia ja miljoonia yksittäisiä tapahtumia päivittäin.

Kaikki tallennetut tiedot salataan tallennusta varten. Pääsy tietoihin on vain AlphaSOCin henkilökunnalla. Pääsy edelyttää vahvaa tunnistautumista. Kokonaisuus auditoidaan kolmannen osapuolen toimesta vuosittain.

Asennusvaihtoehdot

1. AlphaSOC Wisdom API:n käyttäminen pilvipohjaisen AE:n kautta

Tässä skenaariossa AlphaSOC NBA -lisäosa on asennettu Splunk search headiin. Lisäosa lähettää raa’at telemetriatiedot pilvessä sijaitsevalle analytiikkakoneelle (AE) ja siitä Wisdom API -sovellukseen. Lisäksi AE ja Wisdom API ”näkee” käyttäjän lähde-IP-osoitteen (Splunk asennuksen lähde-ip:n). Jokaisen AlphaSOC-käyttäjän on arvioitava, onko tämä asia merkityksellinen omassa uhkamallissaan – vähintään tämä edellyttää tietyn ulospäin lähtevän verkkoliikenteen sallimista Splunk search headeilta.

AlphaSOC - cloud and Wisdom API

2. AlphaSOC Wisdom API:n käyttäminen paikalliselta AE-palvelimelta

Tässä skenaariossa AlphaSOC NBA -lisäosa on asennettu Splunk search headiin. Lisäosa lähettää raa’at telemetriatiedot analytiikkakoneelle (AE). AE-palvelin käyttää AlphaSOC Wisdom API:a kyselläkseen sellaisten kohteiden tietoja, joita se ei ole vielä nähnyt. Raaka telemetriadata on ja pysyy AlphaSOC NBA:n ja AE-palvelimen välillä. Wisdom API ”näkee” AE:n lähde-IP-osoitteen (Splunk asennuksen lähde-ip:n), mutta tässä tilanteessa Splunk search headista ei tarvitse sallia ulospäin lähtevää verkkoliikennettä. AE-palvelin voidaan sijoittaa omaan aliverkkoonsa ja NATata näkymään julkisiin verkkoihin eri reittiä kuin Splunk search headit. Kokonaisuutena pilveen lähetetään vähemmän tietoja ja käyttäjäkohtaisten tietojen tarkempi yksilöinti on paljon hankalampaa.

 

AlphaSOC - running an on-prem AE server

Miltä elämä näytti ennen AlphaSOC:ia?

Tässä skenaariossa päätimme olla käyttämättä AlphaSOCia lainkaan. Annamme edelleen analyytikoiden työskennellä omalla tavallaan, kuten he ovat tähänkin asti työskennelleet. Manuaalisia hakuja tehdään runsaasti. Jonkunlainen uhkasyöte saattaa olla käytössä, tai sitten ei, mutta harvoin kuitenkaan yhtä syötettä enempää. Uhkasyötteeseen liittyy tässä skenaariossa erillinen kustannus, eikä se tule Splunk Enterprise:n mukana. Kun analyytikko tekee analyytikon työtä – etsii ja löytää jotain, joka voi olla merkityksellistä – analyytikko lähettää nämä tiedot manuaalisesti useille kolmansien osapuolien sivustoille saadakseen lisätietoja. Jälleen kerran, kaikki tämä on käsityötä. Ja lisäksi, kun analyytikko toimii näin, analyytikon lähde-IP paljastuu – samoin kuin kaikki ne kohteet, joihin liittyviä tietoja kolmansien osapuolten palveluista etsitään.

AlphaSOC - the traditional analyst

Ilman AlphaSOC:ia meillä on manuaalisia hakuja, manuaalisia tutkimuksia ja… hyvin paljon manuaalisia juttuja. Lisäksi ”vuodamme” (paremman sanan puutteessa) kolmansille osapuolille kaikki samat tiedot, kuin vuosimme paikallisessa AE-palvelin-skenaariossa AE-palvelimelle. Mitä voitimme? Emme käytännössä yhtään mitään.

Ajatuksia ja suosituksia

Paikallinen AlphaSOC AE on hyvä vaihtoehto silloin, kun verkon segmentointi, lähtevän liikenteen rajoitukset ja ulospäin lähetettävien tietojen minimointi ovat osa työkalupakkiasi jolla hallitset riskejä ja uhkamalleja. Monille yrityksille AlphaSOC Wisdom API:n käyttö suoraan on yhtä toimiva ratkaisu kuin paikallisen AE-palvelimen käyttö.

Riski tehdä raskasta käsityötä normaaliin ”virka-aikaan” sen sijaan että on olemassa automaattinen järjestelmä, joka suorittaa väsymättä analysointia 24/7 puolestasi – ja herättää sinut vain siinä tapauksessa, kun paska todellakin oikeasti iskee tuulettimeen – on todennäköisesti paljon suurempi kuin mikä tahansa riski jonka joudut ottamaan päästäksesi käsiksi Wisdom API:in – riippumatta siitä, millä tavalla sitä käytät.

Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.