Krok w lewo na osi czasu ataku – w jaki sposób zapobiegać zamiast leczyć

Tradycyjny model wskaźników kompromisu (IOC – Indicators of Compromise) zakłada rozpoznawanie i korelację szkodliwych działań. Chociażby stanowiąc podstawę wielu scenariuszy działania wpisanych do SIEM – i ewentualnie automatycznie mitygowanych przez SOAR.  Jednak pofaktowy charakter IoC to duże ograniczenie. Są to artefakty dokumentacji (skrót pliku, reputacja adresu IP, znane złe adresy URL, ślad w pamięci itp.) oparte na odosobnionej akcji po jej wystąpieniu. Wciąż zbyt często ich mapowanie 1:1, w którym IOC wyzwala alert, który jest następnie sprawdzany przez analityka Security Operations Center w celu przejrzenia lub podjęcia działań na potencjalnych klientach w celu przeciążenia alertów.

Zakładając, że zespoły ds. bezpieczeństwa są w stanie poradzić sobie sprawdzeniem autentyczności aleru…

• Jaka jest żywotność IOC?
  
• Jak i kiedy wygasa zagrożenie?
  
• Ile „szumów” występuje w kanałach danych wywiadowczych o zagrożeniach?

W czasach gdy Twoja „sieć” korporacyjna składa się teraz z tysięcy „oddziałów jednego pracownika”, użytkownicy stanowią nową granicę, a grawitacja danych zmieniła podejście do ochrony informacji. W tej rzeczywistości Indicators of Compromise po prostu zawodzą.

Organizacją, która znalazła odpowiedź na tą zmianę jest Forcepoint– dzięki pionierskiemu wprowadzeniu Indicators of Behaviour.  IOB rozpoznaje sposób, w jaki zachowuje się użytkownik, urządzenie lub konto. Forcepoint zaprojektował dziesiątki IOB z wyraźnym celem zaradzenia niedociągnięciom IoC. W przypadku IOB zarówno kontekst, jak i oś czasu (odpowiednik „killchain”) są kluczowe. IOB skupiają się na zrozumieniu kontekstu, w jaki Twoi pracownicy wchodzą w interakcje z danymi i systemami organizacji w czasie w znacznie szerszym zakresie.

W ich przypadku kontekst oznacza na przykład zrozumienie typowego:

1. Zachowania użytkownika.
2. Ram czasowych.
3. Używanych aplikacji.
4. Podejmowanych przez niego działań.
5. Wyników, które stara się osiągnąć.

Ocena ryzyka jest kluczowa,  a kontrolowanie i monitorowanie dostępu do aplikacji i danych to tylko część tego. IOB uwzględniają również działania w kontekście siebie nawzajem, aby uzyskać ogólny wynik ryzyka. Typowe zachowania pracowników, takie jak dostęp do zatwierdzonych aplikacji i udostępnianie danych, nie wpłyną negatywnie na ocenę ryzyka użytkownika. Jednak ryzykowne zachowania, takie jak robienie zrzutów ekranu poufnych dokumentów, udostępnianie ich w sesji powiększania, zapisywanie na kluczu USB lub w usłudze przechowywania w chmurze albo drukowanie tych samych ważnych dokumentów w domu, mogą negatywnie wpłynąć na wynik danej osoby.

Kluczem do skuteczności IOB jest silnik liczący indywidualne ryzyko użytkownika – coś co klienci Forcepoint znają z DLP (Incident Risk Ranking). Każdy IOB definiuje podstawowy wkład ryzyka wraz z natężeniem w czasie i w zależności od dalszego kontekstu, wkład ryzyka może się wzrosnąć lub spaść.

IOB umożliwiają przejście od rzeczywistości reaktywnej do proaktywnej. Dynamiczne oceny ryzyka, które zapewniają, pozwalają liderom bezpieczeństwa przewidywać złośliwe działania, takie jak usuwanie danych, złamane dane uwierzytelniające użytkownika lub inne zagrożenia wewnętrzne. Co najważniejsze, pomagają zespołom ds. bezpieczeństwa pozostać po stronie naruszenia – a nie wycieku.