Il Futuro del Rilevamento delle Minacce è la Comunità
Indice:
Affidarsi a fonti pubbliche di informazione
Pensateci un attimo: ogni volta che apriamo un post sul blog con l’analisi più recente del malware, controllandolo alla ricerca degli IoC di cui i nostri team di minacce hanno così disperatamente bisogno, non vi sembra un po’ letargico?
Incrociamo le dita, il nostro fornitore di sicurezza preferito avrà già fatto lo stesso, e i feed di intelligence sulle minacce saranno stati aggiornati con gli hash, i nomi dei file e gli indirizzi IP malevoli conosciuti.
Ma non sembra almeno un po’ imbarazzante il fatto che non possiamo sopravvivere senza il lavoro altamente tecnico e fortemente opportunistico che alcuni dei team di risposta ottengono il privilegio (?!) di fare sui campioni di malware più recenti? Solo pochi ricercatori di sicurezza ottengono la possibilità di scomporre un bug che appena 12 ore fa ha bloccato metà della rete elettrica in Europa Orientale, eppure tutti abbiamo bisogno dei risultati di quell’analisi.
Contenuto di rilevamento stock inutile
Sei abbastanza “fortunato” da ricordare quanto bene funzionava il rilevamento delle minacce prima del CTI? All’epoca, vedere il traffico di rete verso un indirizzo IP di comando e controllo di un botnet ben noto era la prima volta che sapevamo per certo che era avvenuto un compromesso. Inutile dire che era meno che accurato.
Il contenuto stock del SIEM era aspirazionale nel migliore dei casi. Ricordo ancora con imbarazzo di aver rinominato le regole ArcSight alla fine degli anni 2000 da qualcosa come “Host compromesso” a essere più in linea con “Attività potenzialmente sospetta”. L’industria ha fatto molta strada da quando i concetti di “allerta” e “incidente” significavano la stessa cosa. Oggi siamo soddisfatti di accettare un “segnale” seguito da una triage automatizzata o anche clustering.
Il punto è che le regole comportamentali di ieri hanno generalmente fallito nel fornire risultati. Perché? La ragione principale potrebbe essere il fatto che i fornitori di software di sicurezza NON sono, in realtà, nel business della ricerca sulle minacce. Sono nel business di produrre e vendere software (scioccante, lo so). Per essere equi, la maggior parte dei fornitori di SIEM ha sviluppato un’adeguata competenza nel dominio internamente, ma nella pratica, la maggior parte dei contenuti di rilevazione stock ha fallito nel soddisfare le necessità del mondo reale. Le regole dei fornitori sono state rapidamente eliminate dai team SecOps e sostituite con quelle autoctone.
Tentativi falliti di collaborazione comunitaria
Per affrontare questo problema, la maggior parte dei fornitori ha lanciato i propri “portali comunitari”, dove i clienti potevano condividere i loro “casi d’uso”. Da ArcSight Protect247 a SplunkBase, l’idea degli utenti che si uniscono come comunità e contribuiscono con le loro ultime e migliori pratiche è sembrata attraente, se non addirittura ovvia.
Purtroppo, si può affermare con certezza che fino ad oggi, nessuno di questi tentativi ha avuto successo. So per esperienza personale che far crescere una comunità da zero è incredibilmente difficile (qualcuno ricorda @SIEMguru?). Ma forse soprattutto, per parafrasare Jon Stewart, la “durata” del contenuto del rilevamento delle minacce è vicina a quella di un sandwich all’uovo. E senza cure e alimentazione realmente motivate, è quasi impossibile mantenere il flusso di nuove regole.
Non aiuta nemmeno il fatto che quegli sforzi siano specifici del fornitore. Così mentre gli utenti QRadar stavano costruendo regole per Mimikatz, i loro colleghi che usano Elastic dovevano fare lo stesso, ma con una sintassi diversa. Ci sono voluti lo standard Sigma di Florian Roth e Thomas Patzke per finalmente formalizzare le regole di rilevamento su tutte le piattaforme SIEM e EDR/XDR.
L’approccio giusto
Ammettiamolo, lo standard Sigma non è perfetto. Supportare la traduzione delle regole in tutti i linguaggi di query di rilevamento è semplicemente irrealistico. Ma ancora una volta, forse la corrispondenza inversa delle rilevazioni con to un standard comune non è così importante. Se i ricercatori di cybersecurity possono abbracciare Sigma per le regole di rilevazione delle minacce comportamentali, renderle disponibili una volta, e poi essere in grado di tradurre automaticamente regole e query in modo accurato nella sintassi corretta, allora perché no? I benefici di questo approccio sono evidenti: indipendentemente dalla tecnologia, il tuo team interno per il rilevamento delle minacce ha appena guadagnato un nuovo superpotere.
E per quanto cool sia Sigma, ci è voluto il Marketplace di rilevamento delle minacce open source e neutrale rispetto ai fornitori di SOC Prime per far sì che le stelle finalmente si allineassero sull’analitica comportamentale. E oggi, qualsiasi professionista della cybersecurity nel mondo può beneficiare del lavoro dei principali ricercatori, non appena viene pubblicato. Questo è il potere della comunità globale, ed è per questo che il rilevamento delle minacce comportamentali è finalmente al punto di essere una capacità indispensabile nell’arsenale di qualsiasi difensore informatico.
