Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

AlphaSOC käyttää Wisdom API -sovellustaan kaikkeen toimintaansa. Wisdom API sijaitsee pilvessä ja suorittaa automatisoituja hakuja yhteistyössä kolmansien osapuolten palveluiden kanssa sekä lukuisia uhkasyötteitä hyödyntäen. Näihin syötteisiin, hakuihin ja hieman myös järjestelmän sisäiseen taikuuteen perustuen Wisdom API tuottaa informaatiota, joka päihittää perinteiset IP-osoiteluettelot ja URL-listaukset mennen tullen.

Ei vihollinen - mutta ehkä silti uhkamallissa

”Pilvi!” joku huutaa kovaan ääneen. ”Sehän tarkoittaa, että minun tietoni lähetetään pilveen. Minun kullankalliit telemetriatietoni pahantahtoisten muukalaisten käsissä paljastaen minusta aivan liikaa!”

Pitää paikkansa. Läpinäkyvyyden nimissä, tarkastellaanpa siis hieman, mitä kulissien takana oikeasti tapahtuu.

Asennusvaihtoehdot

1. AlphaSOC Wisdom API:n käyttäminen suoraan

Tässä skenaariossa AlphaSOC NBA -lisäosa on asennettu Splunk search headiin. Lisäosa lähettää raa’at telemetriatiedot – erityisesti FQDN-, IP- ja URL-osoitteet (aikaleimat mukaan lukien) joita asiakkaasi ja käyttäjäsi käyttävät, suoraan Wisdom API -sovellukseen. Lisäksi Wisdom API ”näkee” käyttäjän lähde-IP-osoitteen. Jokaisen AlphaSOC-käyttäjän on määritettävä, onko tämä asia merkityksellinen omassa uhkamallissaan – vähintään tämä edellyttää tietyn ulospäin lähtevän verkkoliikenteen sallimista Splunk search headeilta.

AlphaSOC - cloud and Wisdom API

2. AlphaSOC Wisdom API:n käyttäminen paikalliselta AE-palvelimelta

Tässä skenaariossa AlphaSOC NBA -lisäosa on asennettu Splunk search headiin. Lisäosa lähettää raa’at telemetriatiedot – erityisesti FQDN-, IP- ja URL-osoitteet (aikaleimat mukaan lukien) joita asiakkaasi ja käyttäjäsi käyttävät, AE-palvelimelle. AE-palvelin käyttää AlphaSOC Wisdom API:a kyselläkseen sellaisten kohteiden tietoja, joita se ei ole vielä nähnyt. Raaka telemetriadata on ja pysyy AlphaSOC NBA:n ja AE-palvelimen välillä. Wisdom API ”näkee” käyttäjän lähde-IP-osoitteen, mutta tässä tilanteessa Splunk search headista ei tarvitse sallia ulospäin lähtevää verkkoliikennettä. AE-palvelin voidaan sijoittaa omaan aliverkkoonsa ja NATata näkymään julkisiin verkkoihin eri reittiä kuin Splunk search headit. Kokonaisuutena pilveen lähetetään vähemmän tietoja ja tietojen tarkempi yksilöinti on paljon hankalampaa.

 

AlphaSOC - running an on-prem AE server

Miltä elämä näytti ennen AlphaSOC:ia?

Tässä skenaariossa päätimme olla käyttämättä AlphaSOCia lainkaan. Annamme edelleen analyytikoiden työskennellä omalla tavallaan, kuten he ovat tähänkin asti työskennelleet. Manuaalisia hakuja tehdään runsaasti. Jonkunlainen uhkasyöte saattaa olla käytössä, tai sitten ei, mutta harvoin kuitenkaan yhtä syötettä enempää. Uhkasyötteeseen liittyy tässä skenaariossa erillinen kustannus, eikä se tule Splunk Enterprise:n mukana. Kun analyytikko tekee analyytikon työtä – etsii ja löytää jotain, joka voi olla merkityksellistä – analyytikko lähettää nämä tiedot manuaalisesti useille kolmansien osapuolien sivustoille saadakseen lisätietoja. Jälleen kerran, kaikki tämä on käsityötä. Ja lisäksi, kun analyytikko toimii näin, analyytikon lähde-IP paljastuu – samoin kuin kaikki ne kohteet, joihin liittyviä tietoja kolmansien osapuolten palveluista etsitään.

AlphaSOC - the traditional analyst

Ilman AlphaSOC:ia meillä on manuaalisia hakuja, manuaalisia tutkimuksia ja… hyvin paljon manuaalisia juttuja. Lisäksi ”vuodamme” (paremman sanan puutteessa) kolmansille osapuolille kaikki samat tiedot, kuin vuosimme paikallisessa AE-palvelin-skenaariossa AE-palvelimelle. Mitä voitimme? Emme käytännössä yhtään mitään.

Ajatuksia ja suosituksia

AlphaSOC AE on hyvä vaihtoehto silloin, kun verkon segmentointi, lähtevän liikenteen rajoitukset ja ulospäin lähetettävien tietojen minimointi ovat osa työkalupakkiasi jolla hallitset riskejä ja uhkamalleja. Monille yrityksille AlphaSOC Wisdom API:n käyttö suoraan on yhtä toimiva ratkaisu kuin paikallisen AE-palvelimen käyttö.

Riski tehdä raskasta käsityötä normaaliin ”virka-aikaan” sen sijaan että on olemassa automaattinen järjestelmä, joka suorittaa väsymättä analysointia 24/7 puolestasi – ja herättää sinut vain siinä tapauksessa, kun paska todellakin oikeasti iskee tuulettimeen – on todennäköisesti paljon suurempi kuin mikä tahansa riski jonka joudut ottamaan päästäksesi käsiksi Wisdom API:in – riippumatta siitä, millä tavalla sitä käytät.

Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.