Chris McNab

Chris McNab

Chris McNab is an author, computer hacker, and founder of AlphaSOC (https://www.alphasoc.com). McNab is best known for his Network Security Assessment books, which detail practical penetration testing tactics that can be adopted to evaluate the security of networks.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

AlphaSOC käsittelee tietoverkkojen telemetriatietoja ja paljastaa sekä tunnettuja että tuntemattomia, uusia uhkia. Monitasoisen analyysimenetelmän avulla tietoturva-asiantuntijat voivat löytää jopa kolme kertaa enemmän haittaohjelmia kuin pelkästään IOC-indikaattoreita käyttämällä.

Avainsanana AE

AlphaSOC:n Analytics Engine (AE) käsittelee asiakkaiden DNS, IP, HTTP ja TLS -telemetriaa mistä tahansa lähteestä (esim. Splunk, Elastic, Snowflake, Amazon S3) ja luo korkean tarkkuuden signaaleja tietoturvatiimien käyttöön. Splunk-käyttäjät voivat hyödyntää natiivia integraatiokyvykkyyttä tekemällä havaintoja nopeasti lisätutkimusta varten — kuten alla on esitetty.

AlphaSOC - Indikaattorilistojen tuolla puolen
https://splunkbase.splunk.com/app/4052/

Tässä esimerkissä AE merkitsee microsoflonline -linkin vakavaksi uhaksi live-ominaisuusanalyysin ja esiintyvyyspisteytyksen avulla. Verkkotunnusta ei ole listattu uhkatietolähteissä, mutta se on nyt korostettu kolmen signaalin yhdistelmän vuoksi.

Heikkojen signaalien yhdistäminen tällä tavalla antaa tietoturvatiimeille mahdollisuuden tunnistaa epäilyttävät liikennemallit välittömästi ja osallistua ennakoivasti uhkien metsästykseen.

AE:n käsittelyvaiheet

AE:n analyysipinkka koostuu kuudesta erillisestä kerroksesta.
AlphaSOC - Indikaattorilistojen tuolla puolen

Jos tarkastellaan näitä kerroksia tämän päivän Network Traffic Analysis -tuotteiden (NTA) markkinoilla, voimme osoittaa eron AlphaSOC:n ja muiden toimittajien välisessä tietojen prosessoinnin syvyydessä.

AlphaSOC - Indikaattorilistojen tuolla puolen
AlphaSOC - Indikaattorilistojen tuolla puolen

Uhkien tunnistaminen käytännössä

Levinneisyyden mittaamisen ohella AE korreloi telemetriaa kolmansien osapuolten palveluiden kanssa ja merkitsee kohteita aktiivisesti sormenjäljillä hyödyllisen kontekstin tarjoamiseksi. Alla oleva esimerkki näyttää alustan luomat liput, kun se kohtaa tunnetun haittaohjelmien jakelusivuston.
AlphaSOC - Indikaattorilistojen tuolla puolen

AE ilmoittaa verkkotunnuksen olevan hyvin tuore, ja sillä on merkittävät sandbox-pisteet (esim. liitettyjä haittaohjelmanäytteitä) ja se on mukana julkisessa listassa. Kun katsomme kohdetta, havaitsemme, että se on rekisteröity 7. kesäkuuta 2021 ja jakaa Remcos RAT -haittaohjelmaa.

AlphaSOC - Indikaattorilistojen tuolla puolen
AlphaSOC - Indikaattorilistojen tuolla puolen

Automaation lisääminen

Tietoturva-analyytikot ja -tiimit hyödyntävät tätä kykyä käsittelemään gigatavuittain verkon telemetriaa reaaliaikaisesti ja paljastamaan liikennettä C2-infrastruktuuriin, haittaohjelmien jakelutoimialueisiin, kryptovaluuttapooleihin, P2P-palveluihin (esim. Tor ja I2P) ja moniin muihin epäilyttäviin kohteisiin.

Chris McNab

Chris McNab

Chris McNab is an author, computer hacker, and founder of AlphaSOC (https://www.alphasoc.com). McNab is best known for his Network Security Assessment books, which detail practical penetration testing tactics that can be adopted to evaluate the security of networks.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.