tầm nhìn bị che khuất
Các hệ thống CTI đang phải đối mặt với một số vấn đề lớn, từ quy mô của mạng lưới thu thập đến tính đa dạng của chúng, điều này cuối cùng ảnh hưởng đến mức độ tin cậy mà chúng có thể đặt vào tín hiệu của mình. Chúng có đủ tươi và đủ tin cậy để tránh bất kỳ kết quả dương tính giả hoặc ngộ độc nào không? Tôi có mạo hiểm hành động trên dữ liệu lỗi thời không? Sự khác biệt này là lớn vì một phần thông tin chỉ là công cụ trợ giúp quyết định, trong khi một phần thông tin có thể hành động có thể trực tiếp được vũ khí hóa để chống lại kẻ xâm lược. Nếu dữ liệu thô là bãi cỏ khô, thông tin là đống cỏ khô và kim tiêm là tín hiệu có thể hành động.
Để minh họa quy mô và điểm đa dạng của mạng bộ sưu tập mà không nêu tên cụ thể bất kỳ ai, hãy tưởng tượng một nhà cung cấp CDN lớn. Vai trò của bạn là phân phối, trên quy mô lớn, nội dung qua (các) HTTP. Điều này thu hút rất nhiều “sự chú ý” và tín hiệu, nhưng chỉ trên lớp HTTP. Ngoài ra, bất kỳ kẻ tấn công thông minh nào cũng có thể tránh thăm dò dải IP của bạn (dải công khai và được biết đến trong AS của bạn). Do đó, bạn chỉ nhận được các máy quét bừa bãi “Gatling gun” hoặc các cuộc tấn công trực tiếp qua lớp HTTP. Đây là một trọng tâm rất hẹp.
Giờ đây, nếu bạn là một EDR/XDR lớn hoặc bất kỳ phần mềm chống vi-rút được tôn vinh nào, bạn cũng có thể lập luận rằng mình có một mạng phát hiện khổng lồ trải rộng trên hàng triệu thiết bị… Của các doanh nghiệp giàu có. Bởi vì hãy đối mặt với nó, không phải mọi tổ chức phi lợi nhuận, bệnh viện công hoặc thư viện địa phương đều có thể trả tiền cho những công cụ đó. Do đó, bạn có khả năng chỉ nhìn thấy các mối đe dọa nhắm mục tiêu vào các tác nhân tinh vi và chủ yếu là các mối đe dọa do phần mềm độc hại mang theo trên các máy LAN.
Ở mặt trước của hũ mật ong, cũng không có viên đạn bạc nào. “Máy quét súng Gatling” đại diện cho nền phóng xạ của Internet. Một loại tiếng ồn tĩnh thường xuyên xuất hiện trong môi trường xung quanh bất kỳ thiết bị kết nối Internet nào. Ở đây, vấn đề là không có nhóm tội phạm mạng đàng hoàng nào sẽ sử dụng bất kỳ tài nguyên có ý nghĩa nào để nhắm mục tiêu vào một máy honeypot. Điểm đầu tư một số tài nguyên DDoS để hạ gục một hình nộm rơm là gì? Bạn có sử dụng bất kỳ khai thác hoặc công cụ có ý nghĩa nào, chứ đừng nói đến việc ghi IP của bạn, vào mục tiêu “tiềm năng” không? Honeypots thu thập “ý định”, khai thác tự động, đại loại như “IP này muốn biết liệu bạn (vẫn) dễ bị tấn công log4j hay không”.
Luôn dẫn đầu cuộc chơi với CrowdSec, một bộ bảo mật mã nguồn mở cung cấp khả năng bảo vệ dựa trên nguồn lực cộng đồng chống lại các IP độc hại. Với sự tích hợp đơn giản vào cơ sở hạ tầng bảo mật hiện tại của bạn, bạn có thể phát hiện hành vi và khắc phục tự động. Ngoài ra, bạn sẽ được hưởng lợi từ thông tin tình báo về mối đe dọa mạng có khả năng hành động cao với kết quả xác thực chính xác bằng 0 và giảm số lượng cảnh báo được tạo từ mạng gồm hơn 190 nghìn máy trải rộng trên hơn 180 quốc gia. Đừng chiến đấu một mình, hãy để đám đông hỗ trợ bạn. Bắt đầu với CrowdSec miễn phí!
Tham gia Cộng đồng CrowdSec
Nó có thể thú vị ở một mức độ nhất định nhưng nó chỉ giới hạn ở những loại trái cây thấp. Ngoài ra, sự đa dạng của bạn bị hạn chế bởi khả năng lan rộng của bạn ở nhiều nơi khác nhau. Nếu tất cả các đầu dò của bạn (honeypots) nằm trên mười hoặc tệ hơn, chỉ có 3 hoặc 4 đám mây khác nhau, thì bạn không thể nhìn thấy mọi thứ và bạn có thể bị “né”, nghĩa là bọn tội phạm có thể tự nguyện bỏ qua dải IP của bạn để tránh bị phát hiện. Bạn cũng cần tổ chức hệ thống triển khai của mình cho mọi nền tảng, tuy nhiên, bạn sẽ chỉ thấy IP không né tránh GCP, AWS hoặc bất kỳ đám mây nào mà bạn đang làm việc. Và vì những nhà cung cấp đó không phải là tổ chức phi chính phủ, quy mô mạng lưới của bạn cũng bị giới hạn bởi…tiền. Nếu một chiếc HP hoàn toàn tự động chạy trên đám mây XYZ tiêu tốn của bạn 20 đô la hàng tháng, thì hầu bao của bạn phải rủng rỉnh để chạy hàng nghìn chiếc.
Thành lập một cuộc phản công
Để hạn chế quỹ đạo của tội phạm mạng hàng loạt, chúng ta cần hành động dựa trên nguồn tài nguyên về bản chất là có hạn, nếu không, bạn không thể tổ chức một “sự thiếu hụt” thích hợp. Conti-Leaks nổi tiếng đã đưa ra ánh sáng thú vị về những điểm đau thực sự của một nhóm tội phạm mạng lớn. Rõ ràng là (tiền điện tử), rửa tiền, tuyển dụng, bảng lương, những thứ cổ điển mà bạn mong đợi. Nhưng khá thú vị, khi bạn đọc các trao đổi trên hệ thống chat nội bộ của họ, bạn có thể thấy IP, thay đổi chúng, mượn, thuê, dọn dẹp, cài đặt công cụ, di chuyển op và C2, v.v.. rất tốn kém. Cả thời gian và tiền bạc khôn ngoan.
Có các biến thể băm gần như vô hạn và SHA1 cung cấp khoảng 2^160 khả năng. Vì vậy, thu thập chúng là một chuyện, nhưng bạn gần như chắc chắn rằng bất kỳ biến thể phần mềm độc hại mới nào cũng sẽ có dấu hiệu khác. Như chúng ta đã nói, hầu hết các quy trình CI/CD của bất kỳ nhóm tội phạm mạng tử tế nào đều đã bao gồm việc sửa đổi một byte trước khi gửi trọng tải đến mục tiêu.
Dù sao thì cũng rất hữu ích khi theo dõi và lập chỉ mục các nhị phân ác ý dựa trên Băm của chúng hoặc C2 mà chúng cố gắng liên hệ hoặc thậm chí lập chỉ mục IP đang cố gắng tự động khai thác CVE đã biết, nhưng làm như vậy là một lập trường khá phản ứng. Bạn không tấn công lại bằng cách biết vị trí hoặc chiến thuật của kẻ thù, bạn làm như vậy bằng cách làm tê liệt khả năng tấn công của nó và đây là nơi các địa chỉ ip rất thú vị. Hệ thống này đã có tuổi đời hàng chục năm và vẫn sẽ ở đó sau chúng ta. Của nó
Bây giờ có một tài nguyên thực sự khan hiếm: IPV4. Không gian IP lịch sử được giới hạn trong khoảng 4 tỷ trong số đó. Đưa cuộc chiến đến mặt đất này là hiệu quả vì nếu tài nguyên khan hiếm, bạn thực sự có thể chủ động và ghi địa chỉ IP nhanh nhất có thể khi bạn biết địa chỉ đó đang bị kẻ thù sử dụng. Bây giờ, cảnh quan này là một cảnh quan không ngừng phát triển. Các nhà cung cấp VPN, Tor và ứng dụng proxy dân dụng cung cấp một cách để tội phạm mạng mượn địa chỉ IP, chưa nói đến việc chúng có thể tận dụng một số từ các máy chủ đã bị xâm phạm trên web tối.
Vì vậy, nếu một địa chỉ IP được sử dụng tại một thời điểm, thì có thể giờ sau địa chỉ đó không còn được sử dụng nữa và sau đó bạn sẽ tạo ra thông báo sai nếu bạn chặn địa chỉ đó. Giải pháp là tạo ra một công cụ cung cấp dịch vụ cộng đồng bảo vệ mọi quy mô doanh nghiệp, trên mọi loại địa điểm, khu vực địa lý, đám mây, nhà ở, quân đoàn tư nhân DMZ, v.v. và trên mọi loại giao thức. Nếu mạng đủ lớn, thì việc xoay vòng IP này không thành vấn đề vì nếu mạng ngừng báo cáo một IP, bạn có thể giải phóng IP đó, trong khi IP mới xuất hiện trong một số báo cáo cần được tích hợp vào danh sách chặn. Mạng càng lớn, nó càng trở nên thực tế hơn.
Bạn có thể giám sát hầu hết mọi giao thức ngoại trừ giao thức dựa trên UDP, giao thức này phải được loại trừ vì rất dễ giả mạo các gói qua UDP. Vì vậy, bằng cách xem xét các báo cáo về giao thức cấm IP dựa trên UDP, bạn có thể dễ dàng bị lừa. Ngoài ra, mọi giao thức đều tốt để theo dõi. Ngoài ra, bạn chắc chắn có thể tìm kiếm CVE nhưng tốt hơn nữa là tìm kiếm hành vi. Bằng cách đó, bạn có thể nắm bắt được các hành vi gây hấn theo định hướng kinh doanh có thể không chỉ dựa trên CVE. Một ví dụ đơn giản, ngoài DDoS L7 cổ điển, quét, bruteforce thông tin xác thực hoặc nhồi nhét là nhân rộng. Mở rộng quy mô là hành động mua tự động một sản phẩm bằng bot trên một trang web và bán lại sản phẩm đó để kiếm lợi trên eBay chẳng hạn. Đó là sự cố ở tầng doanh nghiệp, không thực sự là vấn đề liên quan đến bảo mật. Hệ thống nguồn mở CrowdSec được thiết kế chính xác để kích hoạt chiến lược này.
Cuối cùng, trong hai thập kỷ qua, chúng tôi được thông báo rằng “IPV6 đang đến, hãy sẵn sàng”. Chà… giả sử chúng ta có thời gian để chuẩn bị. Nhưng nó thực sự ở đây và việc triển khai 5G sẽ chỉ tăng tốc độ sử dụng của nó theo cấp số nhân. IPV6 thay đổi giai đoạn với nhóm địa chỉ IP mới lớn tới 2^128. Điều này vẫn còn hạn chế theo nhiều cách, không chỉ bởi vì tất cả các dải IP V6 chưa được sử dụng đầy đủ mà còn bởi vì mọi người đều nhận được nhiều địa chỉ IPV6 cùng một lúc chứ không chỉ một. Tuy nhiên, chúng tôi nói về một số lượng lớn trong số họ bây giờ.
Hãy kết hợp AI & Crowdsourcing
Khi dữ liệu bắt đầu chảy ồ ạt từ một mạng lớn có nguồn từ đám đông và tài nguyên mà bạn cố gắng thu hẹp ngày càng lớn hơn, AI có vẻ như là một con hẻm hợp lý để khám phá.
Bản thân hiệu ứng mạng đã là một khởi đầu tốt. Một ví dụ ở đây có thể là thông tin xác thực. Nếu một IP sử dụng một số cặp đăng nhập/vượt qua tại địa điểm của bạn, bạn sẽ gọi đó là một lực lượng vũ phu thông tin xác thực. Bây giờ ở quy mô mạng, nếu bạn có cùng một IP gõ ở các địa điểm khác nhau bằng cách sử dụng thông tin đăng nhập/mật khẩu khác nhau, thì đó là nhồi nhét thông tin xác thực, ai đó đang cố sử dụng lại thông tin đăng nhập bị đánh cắp ở nhiều nơi để xem chúng có hợp lệ hay không. Việc bạn nhìn thấy cùng một hành động, tận dụng cùng thông tin xác thực từ nhiều góc độ khác nhau, sẽ cung cấp cho bạn thêm dấu hiệu về mục đích của chính hành vi đó.
Bây giờ, thành thật mà nói, bạn không cần AI để loại bỏ Credential bruteforce khỏi Credential Reuse hoặc Credential stuffing, nhưng có những nơi AI có thể vượt trội, đặc biệt là khi được hợp tác với một mạng lớn để lấy hàng đống dữ liệu.
Một ví dụ khác có thể là một lần quét internet lớn, được thực hiện bằng 1024 máy chủ. Mỗi máy chủ chỉ có thể quét một cổng và điều đó có thể không được chú ý. Trừ khi bạn thấy, ở nhiều nơi khác nhau, cùng một IP quét cùng một cổng trong một khung thời gian tương tự. Một lần nữa, hầu như không thể nhìn thấy ở quy mô cá nhân, rõ ràng trên quy mô lớn.
Mặt khác, các thuật toán AI rất tốt trong việc xác định các mẫu sẽ không thể nhìn thấy nếu bạn chỉ nhìn vào một nơi tại một thời điểm nhưng rõ ràng ở quy mô của một mạng lớn.
Biểu diễn dữ liệu thành các cấu trúc thích hợp bằng cách sử dụng biểu đồ và nhúng có thể khám phá mức độ tương tác phức tạp giữa các địa chỉ IP, phạm vi hoặc thậm chí AS (Hệ thống tự trị). Điều này dẫn đến việc xác định các nhóm máy hoạt động đồng loạt hướng tới cùng một mục tiêu. Nếu một số địa chỉ IP đang sắp xếp một cuộc tấn công theo nhiều bước như quét, khai thác, cài đặt cửa hậu, sau đó sử dụng máy chủ mục tiêu để tham gia nỗ lực DDoS, thì các mẫu đó có thể lặp lại trong nhật ký. Vì vậy, nếu IP đầu tiên của nhóm thuần tập hiển thị tại một dấu thời gian nhất định và IP thứ hai sau 10 phút, v.v. và mô hình này lặp lại với cùng một IP ở nhiều nơi, thì bạn có thể yêu cầu mọi người cấm 4 địa chỉ IP cùng một lúc một cách an toàn.
Sức mạnh tổng hợp giữa AI và các tín hiệu có nguồn gốc từ đám đông cho phép chúng tôi giải quyết các hạn chế của nhau một cách hiệu quả. Mặc dù các tín hiệu có nguồn gốc từ đám đông cung cấp nhiều dữ liệu thời gian thực về các mối đe dọa mạng, nhưng chúng có thể thiếu độ chính xác và bối cảnh, cuối cùng dẫn đến kết quả dương tính giả. Mặt khác, các thuật toán AI thường chỉ trở nên phù hợp sau khi hấp thụ một lượng dữ liệu khổng lồ. Đổi lại, những mô hình đó có thể giúp tinh chỉnh và phân tích các tín hiệu này, loại bỏ nhiễu và tiết lộ các mẫu ẩn.
Có một cặp vợ chồng quyền lực kết hôn ở đây.
