Recentemente, foi publicado um artigo sobre as Avaliações de Engenho do MITRE no Forrester Blog. Esta foi uma avaliação das ferramentas de detecção e resposta de endpoint (EDR) e como elas funcionam em relação a várias táticas e técnicas registradas na estrutura ATT&CK.
Uma das técnicas usadas para testar as ferramentas de EDR participantes foi a descoberta de arquivos e diretórios. Esta é uma técnica listada sob o objetivo tático de Descoberta, a fase de um ataque em que um agente de ameaça procura informações sobre arquivos, pastas ou diretórios importantes que podem ser comprometidos, enumera arquivos e diretórios, verifica como o ambiente interno de a organização está estruturada e procura bons pontos de entrada na rede.
Nessas horas, é possível pensar “bem, para combater isso, preciso ser capaz de detectar quem está olhando para os arquivos e diretórios dentro da minha organização”. E você pode pensar que configurar a lógica de detecção para escolher instâncias de enumeração de diretórios te ajudará a se concentrar em um agente de ameaças que procura causar danos.
Mas o fato é que técnicas como descoberta de arquivos e diretórios não são atividades incomuns que os mecanismos de detecção podem considerar anômalas por natureza e causar alarme. A enumeração de diretórios e arquivos é uma atividade comum que usuários legítimos realizam com frequência ao longo do dia. Ou seja, mesmo se aplicássemos a análise comportamental para este caso, ainda teríamos uma seção de alerta barulhenta no ambiente SIEM que está lançando falsos positivos às dezenas, o que pode resultar em atividades realmente alarmantes que não são detectadas. Isso levanta a questão de quanta detecção é a quantidade certa para a segurança da sua rede.
A avaliação de engenhosidade recomenda manter um equilíbrio entre ter visibilidade na rede (para caça de ameaças futuras) e os recursos de detecção necessários para evitar possíveis ameaças.
O blog da Forrester discute as complexidades de equilibrar os recursos de visibilidade e detecção. Já este blog se concentrará em abordar a descoberta com visibilidade.
Como enfrentar a descoberta
O melhor curso de ação para combater a descoberta não é a detecção e a mitigação, mas a combinação de visibilidade com ação preventiva.
Uma maneira de obter visibilidade dos movimentos de um hacker é usar honeytokens. Veja bem: o ideal é que você tenha visibilidade de todos os seus sistemas, diretórios e arquivos críticos. No entanto, se esses recursos críticos também são do tipo que são acessados com frequência, seus logs serão preenchidos com toneladas de eventos inofensivos relacionados a esses arquivos, e você pode acabar perdendo um evento significativo específico.
Portanto, em vez de adotar a detecção para alertá-lo sobre todas as atividades no arquivo crítico, você pode incorporar honeytokens em seus arquivos e pastas e vesti-los para parecerem arquivos nos quais um agente de ameaças estaria interessado. Esse tipo de estratégia de chamariz ajuda você rastreie o que um invasor está planejando fazer ou o tipo de arquivo em que ele pode estar interessado.
Por exemplo, uma unidade de saúde pode colocar um arquivo chamariz chamado newpatient_data-Mar2022 em um servidor confidencial. O analista de SOC também pode configurar o arquivo decoy para aparecer em uma lista de atalhos (uma lista de arquivos e pastas abertos recentemente) para que qualquer pessoa que acesse esse sistema possa ver os arquivos acessados recentemente. Isso levaria um adversário a pensar que o arquivo newpatient_data-Mar2022 está sendo visualizado pelos usuários na rede. Quando o adversário acessar esse arquivo, sua solução de segurança poderá gravá-lo. Você pode então conferir os relatórios para ver detalhes sobre quem acessou este honeytoken e o que eles podem estar procurando.
Honeytokens podem assumir várias formas. Eles podem ser um arquivo ou uma chave de API colocada em um ativo crítico que oferece visibilidade sobre o que os invasores estão tentando fazer nesse ativo.
A localização é a coisa mais importante que você precisa considerar ao implantar um honeytoken. O que você deseja detectar? Acesso de credencial? Ameaças internas? Por exemplo, se você quiser detectar o acesso a credenciais, poderá colocar um honeytoken contendo credenciais falsas na memória do Serviço de Subsistema de Autoridade de Segurança Local de um sistema e, em seguida, verificar como esse honeytoken está sendo acessado, monitorando-o por meio de sua solução de segurança.
Esta é uma ótima maneira de eliminar ataques de passagem de hash. Da mesma forma, se você estiver focado em lidar com a descoberta, colocar um honey token em um compartilhamento de rede na forma de um arquivo ou pasta chamariz pode revelar o que os usuários estão procurando nos compartilhamentos de rede. Também é importante garantir que os usuários de sua própria organização não tenham acesso a honeytokens, pois o acesso não intencional pode levar a falsos positivos.
Contudo, os honeytokens não são totalmente sem falhas. Às vezes, o posicionamento incorreto de um deles pode funcionar como uma porta dos fundos para um hacker ir além da armadilha que você definiu e realmente começar a causar estragos na rede. Portanto, os honeytokens devem ser implantados com cuidado, e a sua colocação deve ser avaliada detalhada e periodicamente.
Quando se trata de lidar com a descoberta, mesmo a estrutura ATT&CK não compartilha muitas informações sobre estratégias de mitigação, e continua sendo um ponto cego na cadeia de morte que a maioria das organizações não vê sentido em assumir. No entanto, se você estiver procurando uma estratégia para fazer a descoberta ou se decidiu tornar os honeytokens parte de sua estratégia, fazer da descoberta uma das táticas que deseja monitorar em sua rede pode ajudá-lo a proteger melhor sua rede.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Tanya Austin.