AlphaSOC käyttää Wisdom API -sovellustaan kaikkeen toimintaansa. Wisdom API sijaitsee pilvessä ja suorittaa automatisoituja hakuja yhteistyössä kolmansien osapuolten palveluiden kanssa sekä lukuisia uhkasyötteitä hyödyntäen. Näihin syötteisiin, hakuihin ja hieman myös järjestelmän sisäiseen taikuuteen perustuen Wisdom API tuottaa informaatiota, joka päihittää perinteiset IP-osoiteluettelot ja URL-listaukset mennen tullen.
Ei vihollinen - mutta ehkä silti uhkamallissa
”Pilvi!” joku huutaa kovaan ääneen. ”Sehän tarkoittaa, että minun tietoni lähetetään pilveen. Minun kullankalliit telemetriatietoni pahantahtoisten muukalaisten käsissä paljastaen minusta aivan liikaa!”
Pitää paikkansa. Läpinäkyvyyden nimissä, tarkastellaanpa siis hieman, mitä kulissien takana oikeasti tapahtuu.
Mitä on telemetria
Telemetria on ”raakadata” jota kerätään tapahtumien prosessoimiseksi ja tulosten tuottamiseksi. Telemetria voidaan jakaa neljään kategoriaan (DNS, IP, HTTP ja TLS). DHCP- ja VPN-tietoja käytetään vain analytiikkakoneessa tietojen rikastamiseen. Telemetriakategorioiden määrä riippuu siitä, mitä tietoja viedään Splunkiin. Tietojen prosessointiin liittyy kaksi komponenttia – analytiikkakone (Analytics Engine AE) ja AlphaSOC Wisdom API.
Alla olevassa taulukossa esitellään, mikä tieto kulkee millekin komponentille.
DNS
IP
HTTP
TLS
DHCP/VPN
- Timestamp
- Source IP address
- DNS request record type
- Timestamp
- Source IP & port
- Bytes in and bytes out
- Application protocol
- Security apparatus action
- Session duration
- Timestamp
- Source IP
- HTTP client method
- HTTP client referrer
- HTTP server status
- HTTP server content type
- Security apparatus action
- Bytes in and bytes out
- Web application fingerprint
- Timestamp
- Source IP
- Source IP
- Source hostname
- Source MAC
- Source username
- Lease duration
- Lease termination
- DNS request FQDN
- Destination IP & port
- Network protocol
- URL
- HTTP client user agent
- TLS server IP & port
- TLS server X.509 certificate
- TLS client JA3 fingerprint
- TLS server JA3S fingerprint
Mitä tietoja tallentuu pilveen
Jotkin tiedot jotka Wisdom API käsittelee, tallennetaan pilveen. Syyt tietojen tallentamiselle ovat seuraavat:
Kaikki tallennetut tiedot salataan tallennusta varten. Pääsy tietoihin on vain AlphaSOCin henkilökunnalla. Pääsy edelyttää vahvaa tunnistautumista. Kokonaisuus auditoidaan kolmannen osapuolen toimesta vuosittain.
Asennusvaihtoehdot
1. AlphaSOC Wisdom API:n käyttäminen pilvipohjaisen AE:n kautta
Tässä skenaariossa AlphaSOC NBA -lisäosa on asennettu Splunk search headiin. Lisäosa lähettää raa’at telemetriatiedot pilvessä sijaitsevalle analytiikkakoneelle (AE) ja siitä Wisdom API -sovellukseen. Lisäksi AE ja Wisdom API ”näkee” käyttäjän lähde-IP-osoitteen (Splunk asennuksen lähde-ip:n). Jokaisen AlphaSOC-käyttäjän on arvioitava, onko tämä asia merkityksellinen omassa uhkamallissaan – vähintään tämä edellyttää tietyn ulospäin lähtevän verkkoliikenteen sallimista Splunk search headeilta.
2. AlphaSOC Wisdom API:n käyttäminen paikalliselta AE-palvelimelta
Tässä skenaariossa AlphaSOC NBA -lisäosa on asennettu Splunk search headiin. Lisäosa lähettää raa’at telemetriatiedot analytiikkakoneelle (AE). AE-palvelin käyttää AlphaSOC Wisdom API:a kyselläkseen sellaisten kohteiden tietoja, joita se ei ole vielä nähnyt. Raaka telemetriadata on ja pysyy AlphaSOC NBA:n ja AE-palvelimen välillä. Wisdom API ”näkee” AE:n lähde-IP-osoitteen (Splunk asennuksen lähde-ip:n), mutta tässä tilanteessa Splunk search headista ei tarvitse sallia ulospäin lähtevää verkkoliikennettä. AE-palvelin voidaan sijoittaa omaan aliverkkoonsa ja NATata näkymään julkisiin verkkoihin eri reittiä kuin Splunk search headit. Kokonaisuutena pilveen lähetetään vähemmän tietoja ja käyttäjäkohtaisten tietojen tarkempi yksilöinti on paljon hankalampaa.
Miltä elämä näytti ennen AlphaSOC:ia?
Tässä skenaariossa päätimme olla käyttämättä AlphaSOCia lainkaan. Annamme edelleen analyytikoiden työskennellä omalla tavallaan, kuten he ovat tähänkin asti työskennelleet. Manuaalisia hakuja tehdään runsaasti. Jonkunlainen uhkasyöte saattaa olla käytössä, tai sitten ei, mutta harvoin kuitenkaan yhtä syötettä enempää. Uhkasyötteeseen liittyy tässä skenaariossa erillinen kustannus, eikä se tule Splunk Enterprise:n mukana. Kun analyytikko tekee analyytikon työtä – etsii ja löytää jotain, joka voi olla merkityksellistä – analyytikko lähettää nämä tiedot manuaalisesti useille kolmansien osapuolien sivustoille saadakseen lisätietoja. Jälleen kerran, kaikki tämä on käsityötä. Ja lisäksi, kun analyytikko toimii näin, analyytikon lähde-IP paljastuu – samoin kuin kaikki ne kohteet, joihin liittyviä tietoja kolmansien osapuolten palveluista etsitään.
Ilman AlphaSOC:ia meillä on manuaalisia hakuja, manuaalisia tutkimuksia ja… hyvin paljon manuaalisia juttuja. Lisäksi ”vuodamme” (paremman sanan puutteessa) kolmansille osapuolille kaikki samat tiedot, kuin vuosimme paikallisessa AE-palvelin-skenaariossa AE-palvelimelle. Mitä voitimme? Emme käytännössä yhtään mitään.
Ajatuksia ja suosituksia
Paikallinen AlphaSOC AE on hyvä vaihtoehto silloin, kun verkon segmentointi, lähtevän liikenteen rajoitukset ja ulospäin lähetettävien tietojen minimointi ovat osa työkalupakkiasi jolla hallitset riskejä ja uhkamalleja. Monille yrityksille AlphaSOC Wisdom API:n käyttö suoraan on yhtä toimiva ratkaisu kuin paikallisen AE-palvelimen käyttö.
Riski tehdä raskasta käsityötä normaaliin ”virka-aikaan” sen sijaan että on olemassa automaattinen järjestelmä, joka suorittaa väsymättä analysointia 24/7 puolestasi – ja herättää sinut vain siinä tapauksessa, kun paska todellakin oikeasti iskee tuulettimeen – on todennäköisesti paljon suurempi kuin mikä tahansa riski jonka joudut ottamaan päästäksesi käsiksi Wisdom API:in – riippumatta siitä, millä tavalla sitä käytät.
