脅威アクターにはプロセスがあり、ほとんどのセキュリティツールはそれに事後対応するよう設計されています。先制的サイバー防御は、悪意のあるものが到達する前の準備段階で敵のインフラストラクチャを特定することでそれを変えます。
フィッシングキャンペーンが受信箱に到達する前に、コマンド・アンド・コントロール(C2)サーバが最初のコールバックを受ける前に、準備期間があります。インフラストラクチャが登録され、老化します。サーバはオンラインになり、DNSレコードが解決され、証明書がローテーションします。攻撃者のプロセスは体系的であり、それが体系的であるため、痕跡を残します。
ほとんどのセキュリティツールはそのタイムラインの間違った部分を監視しています。Indicator of Compromise(IOC)がスタックに表示される時点で、攻撃者はすでに準備段階を完了しています。インフラストラクチャは数週間ライブで運用されています。ツールは仕事をしていますが、行動する時間が既に閉じられた後です。
私たちはその時間枠のためにSilent Push Context Graphを構築しました。
Context Graphは継続的にインターネットのDNAをマッピングし、毎日DNS、WHOIS、証明書、およびホスティングデータ全体でインフラストラクチャがどのように作成、変更、管理されているかを追跡します。重要なのは、既知の悪いインフラストラクチャだけでなく、すべてを分析することです。将来の脅威は既知の悪いソースだけから生じるわけではありません。今日は通常に見えるものから成長します。正規のホスティングプロバイダー上のクリーンなドメイン、まだ悪意のある指示を受けていないサーバ、数千人の他のものと同一に見える証明書について考えてください…
脅威アクターは、既存のツールが既にフラグが立てられたインターネットの部分のみを監視していることを知っているため、意図的に通常に見えるインフラストラクチャ内に操作をステージングします。Context Graphはすべてを監視します。それが何が起ころうとしているのかを見る唯一の方法だからです。
敵がキャンペーンをどのように構築・運用するかに合致する管理パターンが出現する場合、Context Graphはそれらを将来の攻撃指標®(IOFA)に変えます:誰に対しても使用される前に存在する段階的な地面の確認された信号。
ドメイン年齢または登録履歴に基づくリスクスコアとは異なり、IOFAはインフラストラクチャがどのように積極的に構築・管理されているかに基づいており、敵が毎回使用する同じ運用上の戦術、技術、および手順(TTP)に従います。ホスティングプロバイダーをローテーションさせたりサブネットを変更したりしても、プロセスは一貫したままです。Context Graphはこれらのプロセスを知っており、それがそれが到達する前に何が起こるかを明らかにする方法です。
セキュリティチームの場合、これは防御の根本的な形を変えます。最後のキャンペーンに追いつく代わりに、次のキャンペーンのリードタイムがあります。既に起こったことを修復する代わりに、キャンペーンがそれから出る前に段階的な地面をブロックします。
セキュリティワークフローが信頼できる真実のソース
セキュリティチームは、SIEMおよびSOARプラットフォーム内で自動化されたワークフローとAIが支援するトリアージを実行しています。これらのワークフローの品質は、それらに供給されるデータの品質に完全に依存します。ノイズの多い確率スコアと検証されていない脅威フィードは信頼できない自動化を生成します:アナリストの時間を消費する誤検知、間違った信号に作用する自動応答、およびデータプロバイナンスが明確でないデータから欠陥のある結論を引き出すAIエージェント。
当社のプラットフォームは、最初からマシン消費できるように構築されています。すべての信号は明確なデータプロバイナンスを伝えています。APIは自動トリアージのために明示的に設計されています。セキュリティワークフローが確率推測ではなく決定論的信号から推論するとき、ノイズの生成を停止し、信頼できるアクションを実行開始します。エージェント的なセキュリティワークフローを構築しているチームの場合、Context Graphは安全な自動化を可能にする種類の信頼できる事前相関インテリジェンスを提供します。
SOCおよびIRチームの場合、実際にはこのようになります。
- SOCチーム:自動トリアージとノイズ抑制。自動ワークフローは、Context GraphをSIEMまたはSOARプラットフォームに直接消費して、アラートを自動的に検証、充実、および処理できます。Threat Check APIは、任意のインジケータに対してインスタント、決定論的なtrue/falseの回答を提供し、手動の相互参照を完全に排除します。単一のアラートを検証するためにツール間をピボットするのに数時間を費やす代わりに、充実は自動的に行われ、検証された脅威のみがキューに到達します。検出までの平均時間とトリアージまでの平均時間の両方が大幅に低下します。
- IRチーム:インスタントスコープおよび完全な根絶。アクティブなインシデント中に、Context Graphを活用する自動化されたシステムは、単一のIOCを取得し、敵のインフラストラクチャフットプリント全体をマッピングするために即座にピボットできます。接続されたDNS履歴、証明書チェーン、およびIPクラスターは数時間ではなく数秒で表示されます。IRチームは、最初に見つけたエントリーポイントではなく敵の操作の完全なスコープをカバーする包括的なブロックリストを生成できます。これは、同じ攻撃者が見落とした基盤を通じて戻るのを防ぐものです。
- 自動的に攻撃前の脅威をブロック。Context Graphは攻撃ライフサイクルの上流で動作するため、自動化されたワークフローはIOFAを運用化して、攻撃が発生する前に段階的なインフラストラクチャを中和できます。既に周囲に到達している脅威への対応を自動化する代わりに、まだ到達していない脅威の防止を自動化します。
区別は重要です。セキュリティオートメーションがアラートキューをより速くクリアするだけに焦点を当てている場合、あなたはまだ攻撃者のゲームをしています。より速いだけです。Context Graphをワークフローに埋め込むことで、自動化をタイムラインのポイントに移動させます。敵には奪うオプションがまだあります。
Context Graphがセキュリティスタックにどのようにフィットするか
Context Graphは、チームが既に使用しているツールの置き換えではありません。履歴脅威インテリジェンス、インターネットスキャン、ノイズフィルタリング:これらは実際の機能であり、成熟したセキュリティスタックに属しています。どれもカバーしていないのは準備段階です。敵がインフラストラクチャの構築を開始し、それがアクティブになるまでの間。
先制的サイバー防御は従来のセキュリティを置き換えません。それは従来のセキュリティがカバーするために設計されたことのないギャップを埋めます。
Context Graphは、完全にAPI優先アーキテクチャを介してSIEM、SOAR、およびTIPワークフローに直接統合され、検証されたインジケータをチームが既に機能しているプラットフォームに供給します。アナリストは、システム間をピボットすることに時間を費やす代わりに、既に相関と検証されたインテリジェンスに対応することに時間をより多く費やします。
始めましょう
Context Graphの活動を見ることに興味がありますか?Silent Pushがチームが周囲に到達する前に脅威を中和するのをどのように支援できるかについて、プラットフォームの専門家の1人と話してください。
また、無料のコミュニティ版を提供しており、セキュリティプラクティショナーと研究者にSilent Pushプラットフォームとデータセットへの入門アクセスを提供しています。
翻訳元: https://www.silentpush.com/blog/preemptive-cyber-defense-context-graph/
