Спонсорская функция Большинство аналитиков безопасности в наши дни тратят свое время на наблюдение за подозрительной активностью в своих сетях. Трудно уследить за всем, но что, если бы мы могли заранее знать, по каким путям скорее всего пойдут злоумышленники?
Эта идея лежит в основе моделирования пути атаки — технологии, которую компания Darktrace, занимающаяся кибербезопасностью, добавляет в свой портфель. Он включает в себя взгляд на целевую инфраструктуру снаружи, чтобы определить и укрепить ее слабые места, и использует машинное обучение, чтобы сделать это в масштабе.
Подход Darktrace к кибербезопасности напоминает «петлю» из четырех частей: предотвращение, обнаружение, реагирование и устранение. Его корпоративная иммунная система (EIS) обрабатывает часть обнаружения, используя машинное обучение для понимания цифровой активности. Затем он может исследовать новое поведение, чтобы отслеживать все, что выходит за рамки того, что он считает нормальным.
Ответная часть основана на семействе продуктов компании Antigena. Это требует пропорционального ответа на любые угрозы, которые идентифицирует EIS, от удержания электронной почты до помещения в карантин всего сервера.
Взгляд на безопасность со стороны
Однако компании по-прежнему не хватало чего-то для обработки внешних данных. Это позволит ему не только справляться с возникающим злонамеренным поведением внутри сети, но и предвидеть вторжения и поместить свой ИИ в сознание злоумышленника.
Вместо того, чтобы создавать эту технологию, Darktrace ускорила процесс, приобретя ее. 1 марта 2022 года он закрыл покупку компании Cybersprint, занимающейся управлением поверхностью атаки (ASM). Продукт конкретизирует методы Darktrace на основе ИИ, которые сосредоточены на внутренней безопасности клиентов, предлагая представление о уязвимости компании из внешнего Интернета, объясняет Max Хайнемайер, вице-президент по киберинновациям в Darktrace.
«Все это сводится к целостному пониманию того, как компания может быть атакована», — объясняет он. Уязвимым местом может быть личность пользователя, которая подвергается компрометации с помощью фишинговых писем. «Или может быть техническая уязвимость в активе, связанном с Интернетом», — добавляет он.
Хайнемайер видел решения, которые выявляют потенциальные пути атак в одном домене. «Но ничто не ищет по-настоящему междоменные уязвимости в сетях, путях атак через человека и через Интернет», — предупреждает он.
Это задача, которая обычно ложится на пентестеров. Эти люди-эксперты ломятся в двери компании, чтобы найти слабые места. Это очень ручной процесс, что делает его дорогим. Тоже спорадически. Вы можете время от времени вызывать этичных хакеров для проверки своей безопасности, но инфраструктуры — и команды людей, которые их используют, — развиваются быстрее.
Darktrace хотела уменьшить этот человеческий фактор, автоматизировав процесс. Это позволило бы ему масштабировать операцию, постоянно оценивая пути атаки.
Автоматизация этого также предоставит клиентам более научный способ определения и определения приоритетов критических путей атаки, которые являются наиболее рискованными для их бизнеса. Требовался инструмент, основанный на данных, который нашел бы самый быстрый и простой способ для хакеров добраться до драгоценных камней в короне клиента, чтобы принять меры по смягчению последствий до того, как произойдет атака.
Darktrace хотела интегрировать новый продукт в свое более широкое технологическое видение — обеспечить непрерывный цикл обратной связи ИИ, который постоянно повышает безопасность. Это поможет клиентам решить возникающие проблемы с безопасностью. По словам Хайнемайера, существует несколько инструментов, которые могут обеспечить полное представление об угрозах извне и критических активах организации внутри.
«Теперь мы видим поверхность атаки с использованием бесконтактного подхода на основе SaaS», — говорит он. «Мы знаем, пострадает ли сотрудник, какое влияние это окажет и какой доступ к системам у этого сотрудника. соединения являются общими. И мы знаем, если что-то уязвимо или доступно из Интернета».
Как работает управление поверхностью атаки
Управление поверхностью атаки (ASM) обеспечивает непрерывную аналитику с внешней точки зрения, устраняя слепые зоны.
Эти данные не являются информацией об угрозах, используемой многими инструментами управления уязвимостями. Они поддаются решениям на основе правил, основанных на индикаторах компрометации, таких как вредоносные IP-адреса, хэши вредоносных программ и доменные имена.
Вместо этого технология Cybersprint начинается с отправной точки, такой как адрес электронной почты клиента, доменное имя или IP-адрес сервера. Оттуда он сканирует обширную базу информации об инфраструктуре Интернета, которую он собрал в Интернете, включая DNS и другие данные. Хайнемейер описывает его как копию Интернета, но сосредотачивается на метаданных интернет-ресурсов, а не на контенте.
Это включает в себя больше, чем просто очень большой набор DNS-запросов. Эта технология использует методы на базе искусственного интеллекта, такие как компьютерное зрение, для обнаружения логотипов компаний на веб-страницах, что может дать больше информации о взаимосвязях между брендами и активами. Он также достаточно умен, чтобы искать в Интернете активы, похожие на название бренда, чтобы он мог подобрать двойников.
Cybersprint также изучает, какие технологические компании используют, тщательно анализируя данные, видимые извне. Это помогает создать более подробную картину того, что может быть уязвимым и как.
Моделирование пути атаки с использованием теории графов
Как только инструмент соберет эти данные, он структурирует их в графическую модель, созданную Darktrace. При этом используются точки данных, известные как узлы, которые соединены друг с другом через ребра. Это распространенный формат для представления множества сложных транзитивных отношений. Компании Adtech используют его для понимания того, кто что просматривает. Социальные сети используют его для отображения отношений между пользователями.
Darktrace использует теорию графов для поиска потенциальных путей атаки и количественной оценки их риска. Для этого используется классическая матрица рисков, которая рассматривает каждый путь атаки в двух измерениях: вероятность и воздействие.
График оценивает вероятность того, что злоумышленник воспользуется маршрутом, исследуя факторы, присущие его краям. К ним относятся восприимчивость к социальной инженерии, текущий статус исправления известных уязвимостей и вероятность того, что злоумышленник разработает атаку нулевого дня для системы.
Моделирование пути атаки также использует сами узлы для измерения риска воздействия. Он проверяет точки данных, например, кто контролирует актив, принимая во внимание их роль, а также количество других лиц, имеющих к нему доступ.
Служба использует эти точки данных, чтобы сделать вывод о таких вещах, как чувствительность актива, а также его важность для процессов компании. Если множество клиентов получают доступ к данным с сервера, то любое влияние на этот сервер может нарушить рабочие процессы многих сотрудников.
Поиск уязвимых активов
По словам Хайнемейера, технология сможет выявлять серьезные уязвимости для клиентов — такие вещи, которые, если их не проверить, могут попасть в нежелательные заголовки. К ним относятся негерметичные корзины AWS S3 и базы данных, открытые в общедоступном Интернете, которые предоставляют конфиденциальные данные об использовании.
«Это также может быть сервер со стандартным паролем в облаке с большим количеством информации о клиентах», — говорит он.
Система также может находить законные онлайн-сервисы, использование которых компанией не разрешено. Распространение теневых облачных сервисов широко распространено, поскольку сотрудники берут на себя поиск онлайн-сервисов, которые выполняют свою работу. Учитывая, что количество приложений, не принадлежащих или не управляемых ИТ-отделом, за последний год достигло 56%, это большая проблема.
Подача обратно в петлю
Чтобы Darktrace могла использовать преимущества Cybersprint, а также собственные новые возможности моделирования путей атаки, они должны быть интегрированы в остальную часть существующего портфеля продуктов. Хотя официально о такой интеграции еще не было объявлено, компания уже работает над этим, и Хайнемейер описывает это как легкий подъем.
Эта интеграция в конечном итоге позволит продукту Antigena от Darktrace применять свои автономные ответные действия на внешние события, добавляет он. В качестве примера он приводит уязвимость Log4J Shell в средстве ведения журналов Log4J Java, которое стало общедоступным в декабре.
«Если бы мы знали заранее, что сервер уязвим для распространенного эксплойта, мы могли бы увеличить серьезность действий Antigena на нем, потому что мы знаем, что это уязвимый путь атаки», — объясняет он. Пометка устройств с помощью таких предварительных знаний поможет улучшить управление исправлениями атак.
Более тесное объединение Cybersprint и моделирования пути атаки в петлю также поможет Darktrace конкретизировать «исцеляющую» часть своего кругового видения «петли» для реагирования на кибербезопасность.
«Почему бы не использовать знания, которые у вас уже есть в результате обнаружения кибератаки и реагирования на нее, для информирования процесса исцеления?» — спрашивает Хайнемайер. «После того, как вы устраните атаку, вы узнаете больше о своих технологических путях и своей позиции и можете сообщить об этом на этапе предотвращения».
Новая услуга дополняет существующую технологию Darktrace и помогает замкнуть цикл кибербезопасности, предоставляя предложения, охватывающие весь процесс реагирования на инциденты с помощью машинного обучения. Хайнемайер надеется, что это еще больше расширит человеческие команды, самостоятельно обрабатывая многие угрозы безопасности, в то время как аналитики смогут сосредоточиться на более сложных проблемах, требующих ручного вмешательства. Поскольку число атак быстро растет, возможно, вам нужна именно технология на базе ИИ.
При поддержке Дарктрейс.
