Como diminuir a carga no SIEM fazendo bom uso de feeds de inteligência de ameaças

A princípio, os sistemas SIEM foram criados como uma ferramenta para coletar informações sobre eventos de segurança dentro da infraestrutura e analisá-los. Por muito tempo, eles fizeram o seu trabalho muito bem. No entanto, à medida que as ameaças e a indústria de segurança da informação evoluem, mais e mais feeds de inteligência de ameaças estão aparecendo no mercado. E mais, suas estruturas estão mudando significativamente. Tornou-se óbvio para muitos especialistas que uma nova ferramenta que permite navegar fluxos de inteligência de ameaças é necessária para que os SIEMs funcionem efetivamente.

Por que o SIEM precisava de um assistente?


À primeira vista, pode parecer que quanto mais dados externos sobre atuação quanto a ciberameaças é conectado ao seu sistema SIEM, mais eficazmente ele deve fazer o seu trabalho. Mas este não é o caso.

Primeiro, quanto mais indicadores um sistema lida — mais alertas ele gera. Mesmo se assumirmos que há um número mínimo de falsos positivos (como ninguém é imune a eles), um analista não pode navegar rapidamente por milhões de notificações duplicadas e priorizar as importantes.

Em segundo lugar, os sistemas SIEM existentes simplesmente não são projetados para lidar com um número infinito de indicadores. Quando você conecta vários feeds, o workload no sistema aumenta significativamente, o que pode ter um impacto negativo na taxa de detecção de incidentes. O mesmo pode acontecer se você tentar implementar um cenário de atualizações frequentes. Não que seja completamente impossível, mas a taxa de desempenho e detecção pode ser impactada.

Além disso, um sistema SIEM não é adequado para trabalhos mais detalhados com feeds de inteligência de ameaças diretamente. Por exemplo, não pode comparar a taxa de qualidade e detecção de diferentes fornecedores ou lidar com diferentes tipos de máscaras a partir de indicadores de compromisso representados como URLs, hosts ou domínios. Se um analista precisa de um contexto mais profundo para qualquer indicador, uma ferramenta adicional é necessária (e não importa que, de fato, o contexto necessário possa existir nos feeds — o SIEM pode simplesmente não saber como acessá-lo).

Como uma plataforma de inteligência de ameaças pode ajudar


Geralmente, uma plataforma de inteligência de ameaças pode resolver todas as desvantagens acima dos sistemas SIEM. Mas, para começar, é uma ferramenta indispensável que permite navegar por meio de uma infinidade de feeds de diferentes fornecedores. Você pode conectar vários feeds (não necessariamente no mesmo formato) e compará-los a partir de diferentes parâmetros. Por exemplo, você pode detectar cruzamentos indicadores em diferentes feeds, o que deve ajudar a identificar fluxos de dados duplicados e possivelmente rejeitará alguns deles. Você também pode fazer comparações com base em índices de detecção estatística. Considerando que alguns fornecedores oferecem um período de teste, esta pode ser uma boa maneira de avaliar antes de investir na solução.

Uma plataforma de inteligência de ameaças também fornece ao analista de SOC muitos recursos adicionais que simplesmente não podem ser implementados no SIEM. Por exemplo, um recurso de retro-scan está disponível, permitindo a verificação dupla de logs e dados históricos previamente salvos com referência a novos feeds. Outro recurso disponível é o enriquecimento de indicadores de várias fontes de terceiros (como o VirusTotal). Finalmente, uma plataforma decente de inteligência de ameaças, a partir de um alerta específico, permite encontrar e baixar um relatório APT detalhando as táticas, técnicas e procedimentos dos atacantes associados, bem como dicas práticas para solucionar os problemas.

Uma plataforma de inteligência de ameaças permite filtrar e baixar indicadores, classificar incidentes, apresentar tudo isso em uma interface gráfica para a conveniência do analista, e muito mais. Depende das funções de cada plataforma específica.

Uma plataforma de inteligência de ameaças instalada na rede interna de uma empresa realiza o processo de análise e correlação de dados recebidos, reduzindo significativamente a carga no sistema SIEM. Ele permite que você gere seus próprios alertas quando ameaças são detectadas. Além disso, ele se integra com seus processos de monitoramento e resposta existentes por meio de API.

Essencialmente, uma plataforma de inteligência de ameaças gera seu próprio feed de dados com detecções, adaptado às necessidades de sua empresa. Isso é especialmente útil se você tiver vários sistemas SIEM em execução em paralelo à infraestrutura corporativa. Sem uma plataforma de inteligência de ameaças, você teria que carregar inputs brutos em cada um deles.

Exemplo prático

Imagine que um usuário corporativo acessou um site a partir de seu computador de trabalho. No feed de inteligência de ameaças, a URL desse site é listada como maliciosa, de modo que a plataforma identifica o incidente, agrega o contexto dos feeds e envia essa detecção para o sistema SIEM para registro. Em seguida, este incidente chega ao analista do SOC. O analista vê a detecção do feed de URL malicioso e decide dar uma olhada mais de perto, usando uma plataforma de inteligência de ameaças.

Diretamente da lista de detecções, ele pode abrir informações contextuais disponíveis no fluxo de TI: endereço IP, hashes de arquivo maliciosos associados a este endereço, análises de solução de segurança, dados de serviço do WHOIS e assim por diante. Inclusive, ainda pode abrir uma interface de gráfico — a maneira mais conveniente de analisar a cadeia de ataque.

Até o momento, não há muitas informações: ele vê a própria detecção, a URL maliciosa detectada e o endereço IP interno da máquina que alguém usou para acessar essa URL. Ao clicar no ícone de URL maliciosa, ele pede indicadores conhecidos relacionados a esse endereço: endereços IP, URLs adicionais e hashes de arquivos maliciosos que foram em algum momento baixados a partir desse site.

O próximo passo é verificar se outras detecções foram registradas na infraestrutura corporativa usando os mesmos indicadores. O analista clica em qualquer objeto (por exemplo, um endereço IP malicioso) e exibe detecções adicionais no gráfico. Em outras palavras, eles podem descobrir em um clique para qual usuário foi para qual endereço IP (ou em qual máquina uma solicitação de URL do servidor DNS devolveu o endereço IP). Da mesma forma, verifica quais usuários baixaram o arquivo cujo hash é mostrado nos indicadores associados.

Pode haver milhares de detecções em um único incidente, e seria muito difícil classificá-las à mão sem a interface gráfica fácil de usar da plataforma. Todo o contexto disponível a partir de feeds de dados de ciberameaça é integrado para cada ponto no gráfico. O analista pode agrupar ou ocultar objetos e aplicar o agrupamento automático de nó. Se o analista tiver alguma fonte de informação adicional, ela pode adicionar um indicador manual e independentemente marcar suas correlações.

Portanto, o especialista pode reconstruir uma cadeia completa de ataques e entender como tudo começou. Por exemplo, um usuário digitou a URL de um site malicioso, o servidor DNS devolveu o endereço IP e este usuário baixou um arquivo com um hash conhecido do site.

Conclusão


Uma Plataforma de inteligência de ameaças serve como uma espécie de interface intermediária, permitindo reduzir significativamente a carga no sistema SIEM sem comprometer a qualidade da detecção por um lado, e facilitar a vida do analista por outro.

Fonte: https://www.kaspersky.com.br/blog/threat-intelligence-platform-siem/19991/