Проактивті анықтау инжинирингі: Censys платформасының мүмкіндіктері

Қорғаныс өнімдерін әзірлеушілер бір мезетте ондаған мың клиентке арналған анықтау ережелерін жасайды. Олардың мақсаты — кең қамтуды қамтамасыз ету, жалған іске қосылуларды болдырмау және әдепкі бойынша қауіпсіз баптауларды сақтау. Алайда ешбір сыртқы жеткізуші нақты ІТ-инфрақұрылымның ерекшелігін, оның сыни активтерін және нысаналы киберқылмыскерлердің мінез-құлық модельдерін толық білмейді. Осыған байланысты анықтау инжинирингі (Detection Engineering) SecOps аясындағы дербес әрі іргелі пәнге айналып, реактивті әрекеттерден проактивті сыртқы мониторингке көшуді талап етеді.

Мәселе

Қауіпсіздік платформаларының ішіндегі қолданыстағы ережелер нақты ұйымға қажет ережелерден едәуір ерекшеленеді. Өндірушілер тепе-теңдікті сақтауға мәжбүр: шектен тыс тар баптаулар нысаналы шабуылды өткізіп алуы мүмкін, ал тым кең баптаулар орасан көп ақпараттық ескертулерді тудырады. Бұл SIEM жүйелері ресурстарының шамадан тыс жұмсалуына және биллинг лимиттерінің тез сарқылуына әкеліп, триаж кезеңін ішкі командалардың мойнына жүктейді. Бұдан бөлек, әзірлеуші компаниялар зияткерлік меншікті қорғау мақсатында өз қамтуы туралы толық ақпаратты сирек ашады. Осындай жағдайда ұйымдар өздерінің бірегей сыртқы шабуыл бетін қамтитын анықтау логикасын өздері құруы тиіс.

Стратегия

Зиянды кодтың соңғы нүктеде орындалу сәтін күту көп жағдайда тым кеш болады. Заманауи анықтау инжинирингі қатерді дайындық кезеңдерінде-ақ ұстап қалуды талап етеді: есептік жазбаларды басқару жүйелерінде, DNS сұрауларында, прокси-серверлерде, бұлтты ортада және Интернеттің ашық инфрақұрылымында. Censys компаниясы шабуылдаушылар басқаратын инфрақұрылымды корпоративтік желімен байланысқа түспей тұрып анықтауға мүмкіндік беретін құралдар жиынтығын ұсынады. Платформа деректерін жұмыс үдерістеріне біріктіру бір реттік индикаторларды (мысалы, IP мекенжайын немесе белгісіз сертификатты) көп рет қолданылатын, сенімді анықтау паттерндеріне айналдырады.

Құралдар

Анықтау ережелерін тиімді масштабтау үшін Censys платформасы мамандарға бірнеше негізгі мүмкіндік береді. Аналитикалық Pivot функциясы логтардан бір доменді алып, онымен байланысты ортақ сертификаттарды, қайталанатын сервис іздерін немесе домендер мен хосттар арасындағы ерекше тәуелділіктерді табуға мүмкіндік береді. Live Rescan құралы қатердің дәл қазір белсенді екенін растауға көмектесіп, ашық инфрақұрылымға қатысты ескірген деректер негізінде ережелер құрудың алдын алады. Сонымен қатар Collections механизмі инфрақұрылымдық өзгерістерді үздіксіз бақылауды қамтамасыз етіп, киберқылмыскерлер активтерін қадағалауды автоматтандырады және SOC талдаушыларына дайын деректер ағындарын ұсынады.

Тәжірибе

Негізгі бұғаттау мен шынайы анықтау инжинирингі арасындағы айырмашылықты OLUOMO фишингтік Adversary-in-the-Middle (AiTM) науқанының мысалы айқын көрсетеді. Зерттеушілер анықталған бір доменді жай ғана бұғаттаумен шектелмей, шабуылдаушылардың үлгісін талдады. Атап айтқанда, HTML-тақырыптардың ерекшеліктері, қауіпсіз құжаттар порталының CSS-айнымалылары мен деректерді сақтау кілттері, сондай-ақ Azure Web Apps негізіндегі прокси-инфрақұрылымның қолданылуы тіркелді. Осы артефактілер негізінде ереже құру Censys платформасына бір доменді емес, ұқсас үлгісі бар 999 бірегей веб-ресурсты анықтауға мүмкіндік берді. Бұл — осал индикаторлармен жұмыс істеуден ұзақмерзімді анықтау логикасын әзірлеуге көшу деген сөз.

Интеграция

Аналитика мен сыртқы телеметрия қауіпсіздік командаларына шешім қабылдау ең ыңғайлы болатын ортада өңделуі тиіс. SIEM жүйелерінде ішкі телеметрия анықталған зиянды базаға кіретін IP мекенжайларға жүгініп-жүгінбейтінін тексеретін корреляция ережелері құрылады. SOAR платформалары үшін контексті кеңейтудің роботтандырылған сценарийлері бапталады: alert түскен кезде жүйе DNS-тің тарихи жазбаларын немесе URL-дің белгілі C2 инфрақұрылымына қатыстылығын автоматты түрде тексереді. Threat Intelligence сыныбындағы шешімдер үшін сервистік скрипт жолдары мен нысаналы беттердің арнайы мәтіндік артефактілерін қамтитын бақылау тізімдері жасалады.

Ең тиімді анықтау ережесі — жекелеген сілтемені бұғаттау емес, қарсылас инфрақұрылымының кез келген сыртқы белгілеріне бірден жауап беретін аналитикалық модель құру. Анықтау инжинирингі өзіңіздің бірегей ортаңызды қорғауға арналған жауапты стратегияны қалыптастыруды білдіреді, мұнда жоғары сапалы барлау деректері базалық индикаторларды ұзақмерзімді әрі экономикалық тұрғыдан тиімді қорғанысқа айналдырады.

iIT Distribution компаниясы Censys шешімдерінің дистрибьюторы ретінде кәсіпорынның инфрақұрылымдық қауіпсіздігін дамытуының барлық кезеңінде сарапшылық қолдау көрсетеді. iIT Distribution командасы техникалық консультациялар береді, қауіпсіздік үдерістерін жобалауға көмектеседі және жобаларды толық сүйемелдеуді қамтамасыз етіп, SOC тиімділігін арттыру мен киберқорғаныстың озық тәжірибелерін енгізуде сенімді серіктес ретінде әрекет етеді.

Жаңалықтар