צוואר בקבוק של SOC: שבירת מעגל עייפות ההתראה בעזרת ארגז חול חכם יותר

רוב הצוותים לא סובלים מחוסר נראות. אם כבר, אנחנו רוויים יתר על המידה בזה. מנועי AV, EDR, SIEM, שערי דוא"ל, כולם צועקים לתשומת לב. אבל זיהוי לבדו אינו הבעיה. זה ביטחון. השאלות המרכזיות שיש לענות עליהן הן:

• אילו מההתראות הללו הן תוצאות חיוביות שגויות?
• אילו אמיתיים?
• ואילו מסתירים בשקט משהו חדש, משהו שהכלים שלנו עדיין לא מזהים?

הקטגוריה האחרונה, תוכנות זדוניות חמקמקות, שמעולם לא נראו קודם לכן, היא זו ששומרת על אנליסטים ערים.

כאשר צוותי תגובה לאירועים עוקבים אחר בדיקות פורנזיות של פריצות, הם מגלים לעתים קרובות שהקובץ הזדוני כבר נגע בסביבה ימים או שבועות קודם לכן. הוא לא סומן כזדוני מכיוון שבאותה תקופה איש לא ידע זאת. זהו פער יום האפס, הנקודה המתה בין מה שידוע למה שמסוכן בפועל.

ארגזי חול מסורתיים היו אמורים לפתור את זה. אבל כפי שכל מי שניהל אותם יודע, רוב המערכות הללו הפכו במהרה לחלק מצוואר הבקבוק בעצמן.

במקום להסתמך אך ורק על מכונות וירטואליות, אמולציה מפעילה קבצים ברמת ההוראה - מחקה את המעבד ומערכת ההפעלה ישירות.

ההבדל הדק הזה משנה הכל.

מכיוון שאין מכונה וירטואלית מלאה להפעיל, הניתוח הוא מהיר כברק, תוך שניות, לא דקות. מכיוון שתוכנות זדוניות אינן יכולות לאתר את הסביבה, הן מתנהגות באופן טבעי. ומכיוון ש-sandbox מסתגל באופן דינמי למה שהוא רואה, מקבלים אינטליגנציה התנהגותית אמיתית ולא רק פסקי דין סטטיים.

והחלק הכי טוב? גישה זו לא עוצרת רק בשכבה אחת של ניתוח. היא מזינה את עצמה לצינור גילוי רב-שכבתי חכם, מסגרת שעובדת יותר כמו מוח של אנליסט מאשר כמו סקריפט של מכונה.

ברגע שיודעים מה מסוכן, השאלה הופכת ל: איפה עוד הוא חי?

כאן, למידת מכונה נכנסת לתמונה באמצעות חיפוש דמיון איומים. המערכת משווה דגימות חדשות למשפחות זדוניות ידועות, גם אם הקוד, המבנה או האריזה שונים. זהו זיהוי תבניות בקנה מידה גדול: איתור קשרים, וריאנטים ו-TTPs משותפים שכלים מסורתיים מפספסים.

עבור ציידי איומים, זה שווה זהב. זיהוי יחיד בארגז חול יכול להפעיל ציד רטרואקטיבי על פני טרה-בייטים של נתונים היסטוריים, ולחשוף נכסים נגועים אחרים או קמפיינים קשורים. פתאום, הזיהוי הופך להגנה פרואקטיבית.

בפועל, ראיתי שלוש תוצאות עקביות כאשר מערכות הפעלה (SOCs) פורסמו מודל חכם יותר זה:

1. דיוק הזיהוי עולה. ניתוח התנהגותי לוכד את מה שהגנות סטטיות מפספסות, במיוחד סקריפטים מעורפלים ומסמכים מותקנים כנשק.
2. זמן החקירה מתקצר. הקשר וניקוד אוטומטיים מפחיתים את "זמן הגילוי" עד פי 10 בהשוואה לארגזי חול של מכונות וירטואליות מדור קודם.
3. ירידות עומס תפעולי. צומת אמולציה יחיד יכול לעבד 25,000+ ניתוחים ביום עם פי 100 פחות תקורת משאבים, כלומר פחות צווארי בקבוק ועלות נמוכה יותר לדגימה.

עבור מוסד פיננסי אחד, שילוב מודל זה בשערי הדוא"ל והעברת הקבצים שלו הפך את תהליך הבחינה הידני בעבר למערכת ביטחון אוטומטית. קבצים מצורפים חשודים נוצלו, דורגו ונרשמו עם תוצאות ברורות תוך דקות. ה-SOC שלהם כבר לא היה צריך לשמור על כל תור אירוע, הנתונים דיברו בעד עצמם.

טכנולוגיה לבדה לא פותרת עייפות ערנות, ההקשר כן.

כאשר מערכת ה-sandbox שלך מספקת תוצאות מוסברות, כמו "מסמך זה מפעיל מאקרו VBA נסתר שמוריד קובץ הרצה מ-C2 בפולין", זה מאפשר לאנליסטים לקבל החלטות מהירות וטובות יותר.

זה לא אוטומציה לשם אוטומציה. זה מתן העוצמה של תובנות ברמה 1 לרמה 3.

בעזרת דוחות התנהגות מפורטים, מיפוי MITRE ATT&CK ו-IOCs הניתנים לחילוץ, כל גילוי הופך למאיץ חקירה. אנליסטים יכולים לנווט בין אירועים, להעשיר נתוני SIEM או לייצא אינדיקטורים מובנים ל-MISP או STIX. ארגז החול הופך לחלק מתהליך העבודה, לא עוד סילו.

וככה בעצם שוברים את צוואר הבקבוק: לא על ידי הוספת כלי נוסף, אלא על ידי הפיכת הקיימים לחכמים יותר יחד.

צוותי אבטחה מודרניים פועלים בסביבות היברידיות, ענן וסביבות עם מרווחי אוויר. ארגז חול חכם יותר מסתגל בהתאם.

פריסות מקומיות או פריסות עם מרווחי אחסון שומרות על נתונים קריטיים מבודדים אך עדיין נהנות מאותה אמולציה ולוגיקת ניקוד.

Cloud פריסות מבוססות - מתרחבות באופן דינמי, ומעבדות אלפי הגשות בדקה עם מתאם של מודיעין איומים גלובלי.

תצורות היברידיות מסנכרנות תוצאות בין שניהם, תוך שיתוף פסקי דין, מוניטין ודירוגי IOC כך שתובנות עוברות מהר יותר מהאיומים.

לא משנה מהי הארכיטקטורה, המטרה נשארת זהה: דיוק עקבי בזיהוי בכל קובץ, בכל זרימת עבודה, בכל היקף.