Czym jest kontekst w cyberbezpieczeństwie i dlaczego jest istotny
Słownik oksfordzki definiuje „kontekst” jako „okoliczności, które tworzą otoczenie wydarzenia, stwierdzenia lub idei i pod kątem których można je w pełni zrozumieć i ocenić”. Definicja w pełni oddaje, jego znaczenie w analizie zdarzeń z zakresu cyberbezpieczeństwa: to informacje kontekstowe zapewniają wgląd w okoliczności zdarzenia i to właśnie ten wgląd nierzadko decyduje o poprawnej kwalifikacji danego zdarzenia jako incydentu lub false-positive.
Znaczenie kontekstu w analizie zdarzeń i neutralizacji podatności jest nadrzędne.
Podstawowym celem analizy bezpieczeństwa w organizacji jest zdobycie wiedzy, która umożliwi skuteczne zabezpieczenia sieci.
Oznacza to dwie rzeczy:
- Mniej „false-positives”„w incydentach generowanych przez dotychczas istniejące technologie.
- Adaptację nowych technologii by pokryć „ślepe punkty” – miejsca, gdzie atakujący mogą przeniknąć do Twojego środowiska bez wykrycia lub gdzie dodatowe zdarzenie mogłoby szybciej doprowadzić do stworzenia incydentu.
Niestety, wiele działań związanych z bezpieczeństwem nie przynosi tych korzyści z powodu braku informacji kontekstowych. Ich brak ostatecznie zostawia analityka z koniecznością podjęcia tzw. educated guess. To, dlatego doświadczenie w IT Security jest na wagę złota – jednak zmieniający się krajobraz cyberzagrożeń deprecjonuje jego wartość.Pojedyncza informacja rzadko zapewnia jasność w zdarzeniach związanych z bezpieczeństwem, a analiza zdarzeń historycznych zawodzi w przypadku nowych taktyk atakujących.
Niedawno pojawił się główny trend w kierunku głębszej integracji danych z czarnych list i innych artefaktów w ramach terminologii „integracja danych wywiadowczych w zakresie bezpieczeństwa”. Chociaż te dane są nieocenione, brakuje ich kontekstu i, jeśli nie są właściwie wykorzystywane, mogą być przyczyną nieefektywności operacji bezpieczeństwa zamiast być rozwiązaniem.
- Weźmy na przykład informacje oparte na IP, która pochodzi od organizacji publikujących czarne listy.
- Informacje przechwytywane przez te organizacje są bezpośrednim wynikiem procesu obejmującego wykrywanie zagrożeń, ustalanie ich celu, określanie ich pochodzenia, określanie metodologii, z której korzystają zagrożenia etc.
- Często wynik śledztwa ogranicza się do pojedynczych bitów informacji, takich jak adres IP lub nazwa DNS.
- Rezultatem jest proces nieefektywny dla korzystających z tych informacji – ze względu na brak kontekstu, specjaliści korzystający z tych danych niewiedzę jak bardzo uwzględniać je w porównaniu z innymi sygnałami z ich środowiska czy też jak bardzo jest to dla nich istotne.
Informacje ciężkie do przetworzenia – jak ta powyżej oparta o IP – są szeroko spotykane głównie dlatego, że tworzenie wiedzy uwzględniającej kontekst jest niezwykle trudne. Zespoły ds. bezpieczeństwa korzystające z tego rodzaju „ogólnych” wiadomości muszą same stworzyć kontekst i uzyskać widoczność dzięki pracy zespołowej, przejrzystej komunikacji i znajomości specyfiki środowiska, w którym pracują.
Warto tu wymienić w jaki sposób dzielić informacje na bezpośrednie i kontekstowe:
Informacje bezpośrednie:
- Jaki alarm został uruchomiony
- Jakie jest źródło zdarzenia?
- Jakie są szczegóły ruchu, który wygenerował alert?
- Czy to rzeczywisty atak czy false-positive?
Informacja kontekstowa:
- Czy alert jest wiarygodny?
- Czy rozwiązanie jest znane z fałszywych alarmów?
- Czy to wydarzenie jest powszechne?
- Czy podobne zdarzenie zostało wcześniej odnotowane jako false-positive?
- Co wiadomo o źródle?
- Czy jest na czarnej liście z powodów związanych z widzianym ruchem?
- Czy wystąpiły inne zdarzenia, które mogły zapewnić atakującemu wgląd niezbędny do wykonania tego ataku?
- Czy w systemie były powiązane zdarzenia?
- Czy użytkownik zaangażowany w zdarzenie wywołał inne zdarzenia, które budzą podejrzenia?
- Czy przed atakiem czy po nim wykryto anomalie w ruchu sieciowym?
- Czy wiadomo, że system jest podatny na ataki tego rodzaju?
- Czy są jakieś dodatkowe informacje, które byłyby przydatne?
Rezultatem konieczności posiadania jak największej liczby odpowiedzi na powyższe są ruchy w kierunku centralizacji i integracji technologii bezpieczeństwa i automatyzacji ręcznych procesów. Systemy takie jak SIEM i SOAR pozwalają skorelować wiadomości z kilku źródeł i zapewnić zespołowi bezpieczeństwa niezbędny wgląd w okoliczności zdarzenia. Biorąc pod uwagę fakt, że zdecydowana większość przyjętych technologii koncentruje się przede wszystkim na ostrzeganiu o konkretnych technicznych aspektach ataku a nie o źródłowej przyczynie ataku – praca i tak pozostaje wyzwaniem.
Kluczem do osiągnięcia głębszego poziomu wykrywania poprzez automatyzację jest połączenie wielu zdarzeń związanych z bezpieczeństwem z informacjami środowiskowymi aby nadać im kontekst.