Marzeniem każdego analityka ds. cyberbezpieczeństwa jest możliwość szczegółowego poznania danego zagrożenia, by precyzyjnie dostroić zabezpieczenia. Właśnie w tym celu powstały rozwiązania Cyber Threat Intelligence (CTI), które agregują, korelują i analizują dane związane z cyberzagrożeniami pochodzące z różnych źródeł – zarówno z technicznego, taktycznego jak i operacyjnego punktu widzenia.
Rozwiązanie TEHTRIS CTI jest zatem nie tylko bazą wiedzy, ale także narzędziem badawczym wykorzystującym sztuczną inteligencję oraz analizę statyczną i dynamiczną. To połączenie technologii pozwala na zrozumienie, przewidywanie i świadome reagowanie na zagrożenia.
Można powiedzieć, że CTI to jednocześnie:
- pamięć, która pozwala na określenie, czy dany plik wykonywalny jest już znany i czy powinien być traktowany jako zagrożenie, oraz
- mózg, który obserwuje zachowanie nieznanych plików wykonywalnych i autonomicznie decyduje o poziomie zagrożenia.
Narzędzie TEHTRIS CTI jest w pełni zintegrowane z platformą XDR i mogą z niego korzystać wszystkie technologie firmy TEHTRIS (EDR/EPP, MTD, SIEM itd.). Dzięki takiemu podejściu specjaliści ds. bezpieczeństwa IT korzystający z produktów TEHTRIS oszczędzają czas potrzebny na wykonywanie działań ochronnych, ponieważ mogą polegać na informacjach zgromadzonych i przeanalizowanych zarówno przez badaczy jak i sztuczną inteligencję. Wiedza o zagrożeniach jest automatycznie uaktualniana w chmurze.
Jak działa TEHTRIS CTI? Jak ta technologia może zostać wykorzystana przez ekspertów ds. cyberbezpieczeństwa, analityków z zespołów SOC i badaczy polujących na cyberprzestępców? Na te pytania odpowiemy w tym artykule.
Wzajemne uzupełnianie się: gromadzenie i analiza danych
CTI pozwala na uzyskanie informacji o cechach i poziomie szkodliwości pliku na podstawie jego cyfrowego odcisku palca w formacie SHA256, MD5 oraz SHA1. W procesie analizy i oceny danych wykorzystywana jest autorska sztuczna inteligencja TEHTRIS CYBERIA i jej algorytmy bazujące na głębokich sieciach neuronowych. CYBERIA potrafi szybko, wydajnie i z dużym poziomem precyzji wykrywać znane oraz nieznane szkodliwe pliki wykonywalne.
Nieustannie uaktualniana baza danych
TEHTRIS CTI analizuje codziennie ponad 2 miliony plików. Narzędzie nieustannie ewoluuje dzięki temu, że baza danych jest wzbogacana na dwa sposoby.
Po pierwsze, każdy plik wykonywalny uruchamiany na urządzeniach chronionych technologiami TEHTRIS jest wysyłany do modułu CTI, który kwalifikuje go do określonej kategorii i definiuje poziom zagrożenia. Jeżeli dany plik wykonywalny jest nieznany, uruchamiana jest analiza statyczna i dynamiczna w celu zrozumienia, jak obiekt działa i określenia, czy jego zachowanie stanowi zagrożenie. Baza CTI jest zatem automatycznie wzbogacana podczas analizy wszystkich przetwarzanych obiektów. Dzięki temu analitycy mogą korzystać z werdyktów sandboksa do nadawania priorytetów alertom, co z kolei pozwala oszczędzać czas.
Schemat funkcjonowania CTI
Dalsza wymiana danych o zagrożeniach odbywa się dzięki temu, że od 2017 r. technologia TEHTRIS CTI jest wykorzystywana przez organizację VirusTotal agregującą najlepsze rozwiązania bezpieczeństwa na rynku.
Baza CTI jest także wzbogacana w wyniku gromadzenia danych z różnych źródeł przez analityków z firmy TEHTRIS. Zespoły ekspertów nieustannie rozbudowują wiedzę o zagrożeniach poprzez monitorowanie najświeższych informacji, prowadzenie własnych prac w zakresie kryminalistyki cyfrowej oraz wymianę danych z partnerami firmy.
Jednym z takich partnerów jest Cyber Threat Alliance (CTA) – organizacja non-profit mająca na celu usprawnianie cyberbezpieczeństwa globalnego ekosystemu cyfrowego poprzez wymianę wysokiej jakości informacji o zagrożeniach w czasie rzeczywistym. Współpraca pozwala na codzienną wymianę danych dotyczących cyberprzestępczości z liderami branży z całego świata.
Analiza statyczna: udowodniona skuteczność
TEHTRIS CTI jest wyposażony w funkcje analizy statycznej obejmujące oprogramowanie antywirusowe oraz inne narzędzia opracowane przez ekspertów z firmy. Każde z nich oferuje szacowanie stopnia zagrożenia analizowanego pliku wykonywalnego. Ostateczna ocena generowana przez CTI obejmuje wynik antywirusowy oraz dodatkowe informacje, jeżeli plik wykonywalny ma złą reputację. W zależności od poziomu wyniku antywirusowego alert może trafiać bezpośrednio do platformy XDR.
Jeżeli dany plik wykonywalny jest nieznany, analizie statycznej towarzyszy równolegle analiza dynamiczna przeprowadzana w czasie rzeczywistym.
Analiza dynamiczna (sandbox): niezastąpione narzędzie cyberbezpieczeństwa
Sandbox wchodzący w skład technologii TEHTRIS CTI pozwala na uruchomienie pliku wykonywalnego w kontrolowanym środowisku i analizę jego zachowania w czasie rzeczywistym. Wyniki pojawiają się niemal natychmiast i obejmują pełną nazwę, ikonę, rodzaj, rozmiar oraz sygnaturę pliku – jeżeli jest dostępna. Raport z uruchomienia w sandboksie zawiera także zrzuty ekranu, co pozwala zaobserwować polecenia wykonywane przez badany plik wykonywalny.
Analiza dynamiczna obejmuje również klasyfikację technik wykorzystywanych przez plik wykonywalny, wyświetlanych zgodnie z matrycą MITRE ATT&CK, która stanowi standard w społeczności cyberbezpieczeństwa. Dzięki temu analitycy mają możliwość precyzyjniejszego nadawania kontekstu oraz jeszcze efektywniejszego badania obiektów.
Przykład listy technik wykorzystywanych przez złośliwy program HermeticWiper, zgodnie z matrycą MITRE ATT&CK
Analiza dynamiczna oferuje szereg badań aktywności obiektu wykonywalnego w odniesieniu do plików istniejących na danym urządzeniu. Celem jest zrozumienie, co robi badany obiekt: jakie pliki otwiera, odczytuje, usuwa, tworzy, modyfikuje itd. Obserwowana jest także aktywność sieciowa, w tym żądania połączeń TCP, UDP czy IMCP, oraz zachowanie pliku wykonywalnego związane z dostępem i wprowadzaniem zmian w rejestrze, uruchamianymi procesami oraz wykorzystywanymi bibliotekami API systemu Windows.
Wyszukiwanie cyberzagrożeń: ręczna analiza zagrożeń przy użyciu TEHTRIS CTI
Analitycy bezpieczeństwa mają możliwość ręcznego odpytywana bazy danych CTI i wysyłania własnych plików wykonywalnych oraz skryptów lub ich skrótów (hashy). Pozwala to na:
- wyszukiwanie w bazie zawierającej wyniki przeprowadzonych wcześniej badań,
- przesyłanie plików do rozwiązania TEHTRIS CTI i analizowania go przy użyciu dostępnych narzędzi.
Wyszukiwanie skrótu SHA256 w narzędziu TEHTRIS CTI – przykład dotyczy złośliwego programu HermeticWiper
Rozwiązanie TEHTRIS CTI jest także wyposażone w agenta zapewniającego automatyczne gromadzenie i analizowanie informacji – TEHTRIS Offline Forensic (TOF). TOF przeprowadza analizę kryminalistyczną w czasie rzeczywistym i wykonuje szereg testów na komputerze, by określić poziom jego zdrowia. Wszystkie wyniki są automatycznie przesyłane do rozwiązania CTI. Narzędzie TOF jest bardzo przydatne podczas prowadzenia prac dochodzeniowych po wystąpieniu incydentu – pozwala na zbadanie, co się dokładnie stało i jakie były konsekwencje.
Podsumowanie
TEHTRIS CTI to zestaw narzędzi służących do analizowania wszelkich cyberincydentów, które mają miejsce w chronionej infrastrukturze IT. Rozwiązanie oferuje szczegółowy wgląd w nieustannie uaktualniane informacje o zagrożeniach, co pozwala na zapewnienie wysokiego poziomu ochrony. TEHTRIS CTI automatycznie przesyła do platformy XDR informacje o wykryciach i możliwościach neutralizacji, co pozwala na zapewnienie skutecznej ochrony w czasie rzeczywistym, nawet w przypadku ataków dnia zerowego.