サイバーセキュリティに関わるほとんどの人々は、いくらかの罠に陥っています。私たちは過去を見ることでネットワークを防御することを教えられてきました。私たちは侵害の指標(IOC)に依存しています。これらは悪質なIPやファイルハッシュなどのものです。それらを主な防御として使用することは、実は戦略ではありません。単に後追いしているだけです。
IOCはすでに発生した犯罪の記録です。それがあなたの画面に表示される時には、あなたはすでに「爆発後の状態」にあります。攻撃者がすでに目的を達成している間に、あなたは混乱をクリーンアップするために奮闘しています。これはフォレンジックであり、防御ではありません。
最初の被害者問題
私は、世界を約束しながら何も提供しなかったと過度に宣伝された技術を展開してから取り外す人々を見てきました。IOCベースのセキュリティは少しそのようなものです。それは実は見ると非常に厳しい反応サイクルです。そのモデルにインテリジェンスが存在するためには、他の誰かが最初に打撃を受けなければなりません。ドメインは企業を成功裏に攻撃するために使用された後、初めてインジケータになります。
これらの「既知の悪い」資産のリストが更新されるのを待っている間に、犯罪者は自動化を使用して数秒で新しいインフラストラクチャを構築しています。彼らはファストフラックスのような技術を使用してIPを回転させるか、AWSやAzureのような大規模プロバイダーの後ろに意図を隠しています。ほとんどのセキュリティツールは、これらのグループが行っていることの大多数に対して本質的に盲目です。
なぜ私たちは厳しい仕事をするのか
ジョン・ジェンセンと私がSilent Pushを構築したとき、私たちは何が起こったかを見るのをやめ、何が構築されているかを見始める必要があることを知っていました。それを正しく行うには、サードパーティのフィードまたはリサイクルデータに依存することはできません。データの収集とコンテキスト化を自分で管理する必要があります。
私たちはすべてのインターネットインフラストラクチャとその変化する関係を監視するための最も積極的なデータ収集プラットフォームを設定するタスクを引き受けました。これは世界の純粋な見方を得る唯一の方法だからです。私たちは脅威アクターが誰かを打つのを待つことはありません。彼らがまだステージング段階にある間に彼らが残すフィンガープリントを探します。
フィンガープリントを見つける
私は現在のサイバー犯罪の風景を私掠船の時代のように考えるのが好きです。これらのグループは、お金が帰国し、家庭内の被害者がいない限り、犯罪を犯すことに彼らの母国政府から微妙なうなずきを持っています。しかし、彼らは習慣の生き物です。彼らはDNSレコードに署名を残し、Webサーバーを構成する方法も残します。
すべてのインターネット信号を一箇所で追跡することにより、攻撃が準備されているのを見ることができます。駐車中のドメインが突然攻撃者制御のサーバーに切り替わる「アクティベーション」イベントを検出します。これは、私たちが将来の攻撃の指標(IOFA)と呼ぶものを提供します。平均して、このアプローチは104日のリードタイムを提供します。これは攻撃が発動される前の数ヶ月の警告です。
もう推測ではなく(それは可能です)
「おそらく疑わしい」アラートまたは曖昧な確率スコアを提供するツールに時間をかけることはできません。これは単にアラート疲れを引き起こし、チームを疲弊させます。焦点は決定論的データにある必要があります。それは攻撃者インフラストラクチャであるか、そうではないかのいずれかです。
その程度の明確さがあれば、推測する必要はありません。脅威アクターの意図が組織化されているのを見て、それをシャットダウンします。これは「最初の被害者」モデルから離れて、最終的に彼らの一歩先を行くことについてです。
