前回のブログでは、ネットワークメタデータにおけるセキュリティエンリッチメントの重要性についてお話しました。これらは、脅威ハンターやアナリストが調査プロセス中に仮説を検証し、クエリを実行するための基盤となります。当社のデータ・サイエンス・チームは、これらのエンリッチメントを表面化するために実施する作業の例を引き続き共有していきます。
Today’s example will focus on themulti-homedattribute that you can find in CognitoStream, CognitoRecall and the underlying engines in Cognito検知.この属性は、特定されたコマンド&コントロールまたは流出チャネルが悪意のあるものであるかどうかを判断する際に、セキュリ ティチームに特別なレベルの効率性を提供します。
今日、ネットワーク・トラフィックを観察すると、ドメインが複数のIPに解決している可能性があります。これは、大規模なインフラストラクチャの一部である外部ホストを示している可能性が高い。攻撃者のコマンド&コントロール(C&C)チャネルは、難読化技術を活用していない限り、このような大規模なインフラを使用することはまずありません。というのも、ベストプラクティスのオペレーション・セキュリティ(OPSEC)では、最適な攻撃者インフラはサイロ化されるべきであると規定されているからです。
サイロ化されたアーキテクチャは、フットプリントを小さくするだけでなく、調査者が別々の攻撃を関連付け、意図を特定することを困難にする。より大規模な攻撃インフラは、サイロ化された運用の必要性に反し、攻撃者が目標を達成することをより困難にし、より高価にします。より大規模なインフラを通じて配信されるIPアドレスにトラフィックが向かっているかどうかを知ることは、コマンド&コントロール活動に関するさまざまな外部接続を調査する際に役立ちます。
調査員や脅威ハンターはこれを利用して、これらのIPアドレスやドメインに向かうトラフィックを調査対象領域から排除することができ、誤検知を効果的に抑制し、セキュリティ・オペレーション・センター (SOC) のプロセスの効率を向上させることができる。このようなトラフィックを排除する根拠は、高度な攻撃者はOPSECのベストプラクティスで活動し、低レベルの攻撃者は大規模なインフラストラクチャのコストと複雑さを回避するためです。
これは、基礎となるメタデータでは単一の属性として表されますが、生成アルゴリズムは非常に強力です。これは常にDNSトラフィックをリッスンし、Aレコードと CNAMEを抽出する動的なモデルです。このモデルは再帰的に各AレコードとCNAMEを解決し、各ドメインに関連するIPアドレスをカウントする。DNSマッピングは一過性のものであるため、モデルは常に学習と忘却を繰り返し、最新の決定を保証します。HostMultihomedと呼ばれるブール属性が、有効な宛先アドレスに関連付けられ、CognitoStream と CognitoRecall の両方のiSession、HTTP、TLSメタデータストリームに存在する。
詳しくは、お近くのVectra 担当者までお問い合わせください。Vectra をご利用のお客様で、マルチホーム属性に関するガイダンスが必要な場合は、カスタマー・サクセス・マネージャーまでお問い合わせください。