インシデント対応(IR)の取り組みが始まる時、最初の指標はスタート地点のように思えますが、実際には、それはほとんど全体像ではありません。
舞台裏では、攻撃者はインフラストラクチャのクラスターを構築し、バッチで登録し、複数のホスティング プロバイダーに配置し、冗長性を念頭に置いて構成します。アラートをトリガーしたキャンペーンは、ほぼ常に SIEM に浮上した単一のアーティファクトよりも広い基盤で実行されています。対応中に調査が発見したものだけをカバーした場合、攻撃者が自分自身のために再度侵入する方法を残している可能性が高いです。
これは修復ギャップです。プロセスまたはアナリストスキルの失敗ではなく、単一の指標から外側に向かって機能し、不完全なインフラストラクチャの可視性で作業する構造的な制限です。このギャップを埋めるには、異なるスタート地点と、より積極的なセキュリティプラットフォームが必要です。
従来の IR ワークフローは指標を中心に構築されています。ドメインがアラートを発火させ、IP がログに表示されます。アナリストはそれを充実させ、それが悪意のあるものであることを確認し、そこから外側に向かって作業を開始します。ブロックリストが更新され、侵害されたアセットが封じ込められ、レポートが作成されます。
問題はそのプロセスが見落とすものです。単一の指標が浮上するまでに、攻撃者のインフラストラクチャは通常、数週間運用されています。アラート内のドメインは、ステージング資産、バックアップインフラストラクチャ、および関連ドメインの大規模なネットワーク内の単一のノードであり、これらはすべて一貫した運用パターンで管理されています。標準エンリッチメントツールは指標が何であるかを確認しますが、それが接続されているすべてのものを明らかにすることはめったにありません。
問題
標準エンリッチメントが示すもの
ドメインがアラートを発火させ、アナリストがそれが悪意のあるものであることを確認し、ブロックリストが更新され、レポートが作成されます。
実際に
そこにあるもの
アラート内のドメインは、ステージング資産、バックアップインフラストラクチャ、および関連ドメインの大規模なネットワーク内の単一のノードであり、すべて一貫した運用パターンで管理されています。
IR チームが必要とするのは、指標が悪意のあるものであることの確認だけではありません。彼らはそれと一緒に構築されたすべてのマップが必要です。
インフラストラクチャには系統がある
すべての敵キャンペーンは、そのインフラストラクチャがどのように構築され、管理されたかについて、足跡を残しています。同じウィンドウで登録されたドメイン。証明書設定を共有するサーバー。同じホスティングパターンで解決する DNS レコード。プロバイダーが変わっても、一貫した登録行動の周りにクラスターされる WHOIS データ。
Silent Push Context Graphはこれを追跡するために構築されました。毎日インターネット全体の DNS、WHOIS、証明書データ、ホストスキャン、および行動指紋を継続的に分析することで、存在するインフラストラクチャだけでなく、それがどのように作成され、どのように管理されているかをマップします。これらの管理パターンが、単一の悪意のある指標をそれが属する、より広いクラスターに接続するものです。
IR チームがドメインまたは IP アドレスで調査を開始すると、Context Graph は同じインフラストラクチャ系統に関連するすべての資産をサーフィングできます:同じ時期に登録されたドメイン、サーバー設定を共有する IP、同じスケジュールでローテーションする証明書、および敵の既知の運用 TTP と一致するホスティングパターン。断片化されたツール全体で手動でピボットするのに何時間もかかる可能性があるものは、調査が開始された瞬間から利用可能な完全なインフラストラクチャマップになります。
私たちはこれを構築しました。なぜなら、業界はそれを必要としていたからです。すべてのセキュリティチーム、すべての脅威インテリジェンス機能、すべての IR チームは、基礎データがそこにないため、本来よりもはるかに懸命に働いています。Context Graph はその基礎です。
Ken Bagnall
共同創業者&CEO、Silent Push
違反を修復することは、攻撃者がアクティブなキャンペーン中に使用したもの だけでなく、攻撃者が構築したすべてを説明することを意味します。
その区別が重要なのは、敵が検出を計画しているからです。バックアップインフラストラクチャが存在するのは、彼らの資産の一部が焼き払われることを期待しているためです。修復スコープが、アクティブな調査中に確認された指標のみをカバーしている場合、攻撃者は運用能力を保持します。その後のインシデントは新しい攻撃ではありません。それは同じものであり、見つからなかったインフラストラクチャで実行されています。
完全な修復は次のようなものです:
01
単一の確認された指標は、完全なインフラストラクチャマップへのエントリポイントになります。
02
IR チームは DNS 履歴と WHOIS レコードを通じてその資産の系統を遡って追跡し、ステージング環境がいつ最初に構築されたかを理解します。
03
すべての接続されたドメインと IP が特定されます。インシデント中にアクティブであったかどうか、または予備として保持されていたかどうかは関係ありません。
04
ブロックリストエントリは、アラートをトリガーしたサブセットではなく、完全なクラスターに対して記述されます。
Context Graph はすべての段階でこれをサポートします。数年の DNS と WHOIS 履歴により、インフラストラクチャがいつ最初に設定され、どのように進化したかを追跡することができます。リアルタイムインフラストラクチャ関係は、現在の指標をまだ使用されていない資産に接続します。その結果、修復スコープは敵の実際のフットプリントに基づいており、その見える端ではありません。
より高速な調査、より確信のある調査結果
このワークフローが実施されると、IR チームが一貫して報告する二次的なメリットがあります:調査はより早く終わり、調査結果はより良く保持されます。
手動ピボットは遅いです。DNS レコード、WHOIS データ、証明書履歴、およびホスティング関係を複数のツール間で相互参照することは、アクティブなインシデントがほぼ許さない時間がかかります。Context Graph のAPI と SOAR 統合を通じてそのプロセスが自動化されると、インフラストラクチャマップが、以前は単一の指標を充実させるのにかかっていた時間で構築されます。アナリストは相関関係に時間を費やしていません。彼らは実際に人間の判断が必要とする重要な決定にその時間を費やしています。
信頼レベルも変わります。IR レポートが既知の悪い指標のリストではなく、完全なインフラストラクチャクラスターを記録している場合、修復推奨事項はより多くの重みを持ちます。リーダーシップは完全な画像を取得します。ブロックリストは敵の実際のフットプリントを反映しています。セキュリティチームは、休止中の資産がオンラインに戻ったため、3 週間後に同じ脅威を再度検討する必要はありません。
すべての IR エンゲージメントの目標は、クリーンクローズです。残存アクセスがなく、再アクティブ化を待機している休止中のインフラストラクチャがなく、初期調査が見落とした何かまでさかのぼる後続インシデントがないものです。
そこに到達するには、インフラストラクチャのタイムラインの早い段階で始まり、敵が実際に構築したより多くをカバーする可視性が必要です。Context Graph は IR チームにその可視性を提供し、最初の指標から完全なクラスターまでです。その結果は、最初に浮上した部分ではなく、完全な画像を反映する修復です。
完全な修復はインフラストラクチャインテリジェンスから始まります。完全な画像が見えると、チームは攻撃の前後のすべてのドアを閉じることができ、開いたドアだけに対応するのではありません。
プリエンプティブサイバーディフェンスが実際に機能する方法を確認するには、Shifting Lift ホワイトペーパーをダウンロードしてください
Silent Push プリエンプティブサイバーディフェンスは、攻撃が開始される前に敵のインフラストラクチャをマップします。IR チームが Context Graph を使用して、単一の指標を完全なインフラストラクチャ画像に拡張し、自信を持って調査を完了する方法を学びます。
Context Graph はどのように関連インフラストラクチャを見つけるのですか?
Silent Push Context Graph は、キャンペーンを構築および管理する時に敵が使用する行動パターンを分析することで、関連インフラストラクチャを特定します。既知の悪いアセットのリストと照合する代わりに、インフラストラクチャがどのように作成され、運用されるかを見て、同じウィンドウで登録されたドメイン、証明書設定を共有するサーバー、一貫したホスティングパターンで解決する IP、および同じ登録行動の周りにクラスターされる WHOIS レコードを調べます。これらのパターンが既知の敵の TTP と一致する場合、Context Graph は完全なクラスター全体の点を接続します。単一の確認された指標は、それと一緒に構築および管理されるすべての資産へのエントリポイントになり、それらの資産がまだ使用されているかどうかは関係ありません。
どのようなデータソースを使用しますか?
Context Graph は 5 つの主要層にデータを集約します。Passive-Aggressive DNS(PADNS)は、Silent Push が毎日見つけられるすべてのホスト名を積極的に再解決し、受動的な観察のみに頼るのではなく、インターネット全体の DNS 変化の継続的な記録を構築します。
WHOIS とゾーンファイル監視は、所有権と登録の変更をリアルタイムで追跡します。ホストスキャンと SSL 証明書分析は、一意のサーバー設定を特定し、その進化を追跡します。
ハニーポットデータは、敵の偵察活動からの直接的な相互作用をキャプチャします。そして、当社の Traffic Origin センサーは、異常な通信パターンを分析して、プロキシと VPN トラフィックを実際の原産国に属性付けします。これらのレイヤーは合わせて、単一のデータソースが提供できない、インフラストラクチャ系統の統一された見方を IR チームに提供します。
Context Graph を使用した調査にはどのくらいの時間がかかりますか?
従来の手動ワークフローよりもかなり少ない時間。DNS レコード、WHOIS 履歴、証明書データ、およびホスティング関係を複数のツール間でピボットすることは、単一の指標で数時間かかる可能性があるプロセスです。Context Graph を使用すると、その相関は自動的に発生します。API と事前構築された SOAR 統合は、インフラストラクチャマップが以前は 1 つのドメインを充実させるのにかかっていた時間で構築されることを意味します。
IR チームは、完全なクラスターが時間的圧力の下で一つずつ組み立てられるのではなく、最初から見える状態にあるため、調査がより早く終わり、より大きな信頼を持って終わることを一貫して報告しています。
翻訳元: https://www.silentpush.com/blog/complete-remediation/
