การตรวจจับข้อมูล รับรองที่ถูกบุกรุก การใช้งานการวิเคราะห์ขั้นสูง

การตรวจจับข้อมูล ข้อมูลประจำตัวที่ถูกขโมยเป็นปัญหาที่เกิดขึ้นอย่างต่อเนื่องและองค์กรต่างๆยังไม่สามารถแก้ปัญหาดังกล่าวได้อย่างมีประสิทธิภาพ ทุกสัปดาห์เราจะได้ยินเกี่ยวกับการโจมตีแบบสอดแทรกข้อมูลประจำตัวซึ่งผู้คุกคามสามารถขโมยข้อมูลรับรองเข้าสู่ระบบสิ่งแวดล้อมและย้ายไปด้านข้างเพื่อเข้าถึงระดับที่สูงขึ้นได้ กิจกรรมทั้งหมดมีจุดเน้นเดียวคือเพื่อเข้าถึงข้อมูลส่วนตัวหรือทรัพย์สินที่มีมูลค่าสูง ฐานความรู้ MITER ATT & CK ให้ข้อมูลเกี่ยวกับกลยุทธ์เทคนิคและขั้นตอนที่ใช้โดยผู้คุกคามซึ่งสามารถช่วยทีมรักษาความปลอดภัยสร้างกระบวนการรักษาความปลอดภัยที่แข็งแกร่งขึ้น Exabeam ช่วยให้องค์กรตรวจพบกิจกรรมเหล่านี้ได้สำเร็จผ่านการวิเคราะห์รวมถึงการทำแผนที่กิจกรรมกับ MITER นี่คือตัวอย่างของวิธีที่ฉันสามารถช่วยลูกค้าของฉันด้วยโซลูชันการวิเคราะห์ของเราที่ขับเคลื่อนโดยการเรียนรู้ของเครื่อง

เมื่อเร็ว ๆ นี้ฉันกำลังดำเนินการเกี่ยวกับการปรับใช้ Exabeam แบบใหม่บน SIEM ที่มีอยู่ของลูกค้าของเรา ก่อนที่เราจะปรับใช้ Exabeam อย่างสมบูรณ์เราใช้ฟีด Syslog จาก SIEM ที่มีอยู่ไปยังเครื่องมือวิเคราะห์ Exabeam ของเราเพื่อเริ่มสร้างแบบจำลองสภาพแวดล้อม ในช่วงเวลานั้น Exabeam Advanced Analytics ได้เรียกใช้ผู้ใช้ที่มีชื่อเสียง จากจุดนั้นเราได้เห็นความก้าวหน้าของบัญชีผู้ใช้ไปยังบัญชีที่ถูกบุกรุกผ่านการสลับบัญชีและการเคลื่อนไหวด้านข้าง นี่คือวิธีที่จะคลี่ออก

เมื่อวันพฤหัสบดี 7 พฤษภาคมTH Exabeam เรียกผู้ใช้ที่โดดเด่นด้วยคะแนนความเสี่ยงของ 93 จุด

เทคนิคการประนีประนอม Drive-by
รูปที่ 1: ครั้งแรกเราเห็นกิจกรรมที่ผิดปกติสำหรับผู้ใช้

เส้นเวลาของเทรนด์ให้ข้อบ่งชี้ที่ชัดเจนว่าสิ่งนี้ค่อนข้างผิดปกติสำหรับผู้ใช้

เทคนิคการประนีประนอม Drive-by
รูปที่ 2: การดูกิจกรรมนี้ใน Trend Timeline แสดงให้เห็นถึงการเพิ่มขึ้นอย่างรวดเร็วในทางตรงกันข้ามกับกิจกรรมปกติสำหรับผู้ใช้

เมื่อใช้ KPI แบบไดนามิกเราจะเห็นได้ว่าในวันก่อนหน้าของกิจกรรมทั้งหมดผู้ใช้ไม่ได้สร้างความเสี่ยงระดับนี้ใช้บัญชีจำนวนมากนี้หรือเข้าถึงเนื้อหาจำนวนมากนี้

รูปที่ 3 และ 4: เมื่อมองย้อนกลับไปที่พฤติกรรมของผู้ใช้ในช่วงหลายวันที่ผ่านมาเราจะเห็นว่าไม่มีระดับความเสี่ยงใด ๆ เมื่อเทียบกับการแจ้งเตือนที่เราเห็น

เมื่อเจาะลึกลงไปในรายละเอียดของผู้ใช้เราสามารถดูสรุปได้อย่างรวดเร็วว่าเหตุใดผู้ใช้จึงกลายเป็นคนที่น่าทึ่ง แต่เราคลิกที่มุมมองไทม์ไลน์เพื่อทำความเข้าใจกับสิ่งที่เกิดขึ้นมากขึ้น

เทคนิคการประนีประนอม Drive-by
รูปที่ 5: เมื่อมองอย่างใกล้ชิดมากขึ้นเราจะเห็นว่าเหตุผลด้านความเสี่ยงรวมกันเป็นคะแนน 1044 ได้อย่างไร

เมื่อดูตามไทม์ไลน์เวลา 21:15 น. เราจะเห็นว่า Exabeam ตั้งค่าสถานะความเสี่ยง 20 จุดสำหรับผู้ใช้ VPNing จากสิงคโปร์ เนื่องจากสิ่งนี้ไม่เคยปรากฏมาก่อนจากผู้ใช้หรือใครก็ตามในทั้งองค์กรจึงทำให้เกิดความเสี่ยงเพิ่มขึ้น 20 คะแนน ผู้ใช้รายนี้ยังได้รับความเสี่ยงเพิ่มขึ้นอีก 22 จุดเนื่องจากพวกเขาเชื่อมต่อจาก ISP ที่ไม่เคยมีใครสังเกตเห็นมาก่อนพร้อมกับการเชื่อมต่อจากสตริงตัวแทนผู้ใช้ที่ไม่เคยเชื่อมโยงกับพวกเขามาก่อน

เทคนิค MITER ATT & CK ที่ใช้ในขั้นตอนนี้คือ External Remote Services (T1133) และบัญชีที่ถูกต้อง (T1078).

เทคนิคการประนีประนอม Drive-by
รูปที่ 6: Exabeam ตั้งค่าสถานะผู้ใช้ที่มีความเสี่ยง 20 คะแนนเนื่องจากพวกเขาใช้ VPN จากสิงคโปร์อีก 20 คะแนนเนื่องจากทั้งผู้ใช้และใครในองค์กรไม่มีกิจกรรมนี้และเพิ่ม
เพิ่มอีก 22 จุดสำหรับการเชื่อมต่อจาก ISP ใหม่

การเจาะเข้าไปในแบบจำลองข้อมูลแสดงให้เห็นว่าโดยทั่วไปแล้วเราเห็นได้ชัดว่าพวกเขาเชื่อมต่อจากเครื่อง Windows โดยใช้ Mozilla แต่ไม่เคยใช้ Trident ซึ่งเป็นสาเหตุที่ความเสี่ยงนี้ถูกนำไปใช้กับไทม์ไลน์ของพวกเขา

เทคนิคการประนีประนอม Drive-by
รูปที่ 7: กิจกรรมถูกตั้งค่าสถานะเนื่องจากผู้ใช้มักจะเชื่อมต่อจากเครื่อง Windows โดยใช้ Mozilla ไม่ใช่ตรีศูล

ขณะนี้ผู้ใช้อยู่ที่ 62 จุดเสี่ยงบนไทม์ไลน์ หนึ่งชั่วโมงต่อมาเวลา 22:15 น. ผู้ใช้เริ่มเข้าถึงสินทรัพย์ที่ไม่เคยมีมาก่อนสำหรับพวกเขาโดยแต่ละคนตั้งค่าสถานะความเสี่ยง 10 จุด สินทรัพย์สองรายการเมื่อเวลา 22:15 น. เพิ่มคะแนนความเสี่ยงอีก 20 จุดและอีกจุดหนึ่งเมื่อเวลา 22:16 น. ทำให้ผู้ใช้รายนี้มีความเสี่ยง 93 คะแนนที่ข้ามเกณฑ์ระดับโลกไปเป็นที่น่าสังเกต นี่คือตอนที่การแจ้งเตือนออกไปเพื่อตรวจสอบบุคคลนี้

ณ จุดนี้ 100% ของความเสี่ยงที่เกิดขึ้นกับไทม์ไลน์ของพวกเขานั้นขึ้นอยู่กับพฤติกรรมที่เบี่ยงเบนจากตำแหน่งการเข้าสู่ระบบที่ผิดปกติเพื่อเข้าถึงสินทรัพย์ที่โดยปกติไม่ได้สัมผัสหรือไม่เคยสัมผัส การตรวจจับข้อมูล

หลังจากพยายามโจมตีเนื้อหาอื่น ๆ หลายร้อยครั้งในที่สุดผู้ใช้ก็สามารถค้นหาข้อมูลรับรองเพื่อเปลี่ยนไปใช้และย้ายออกจากโฮสต์เริ่มต้นในด้านข้าง Exabeam ต่อสิ่งนี้ลงในไทม์ไลน์เป็นกิจกรรมการสลับบัญชีและแสดงชื่อผู้ใช้ที่ใช้ในตอนแรกและสิ่งที่พวกเขาเปลี่ยนไปและโฮสต์ที่พวกเขาย้ายไป

ไทม์ไลน์และการสร้างแบบจำลองของ Exabeam สามารถกระตุ้นให้ผู้ใช้และเนื้อหาที่มีชื่อเสียงออกจากแง่มุมที่ขับเคลื่อนด้วยพฤติกรรมได้อย่างสมบูรณ์ในขณะเดียวกันก็เชื่อมโยงเหตุการณ์เข้าด้วยกันอย่างชัดเจนเพื่อให้เข้าใจสิ่งที่เกิดขึ้นในขณะที่การโจมตีดำเนินไปอย่างชัดเจน

ในการสรุป Exabeam Advanced Analytics ตรวจพบผู้ใช้ที่มีชื่อเสียงเวลา 22:19 น. การเข้าถึงครั้งแรกด้วยข้อมูลรับรองที่ถูกบุกรุกเกิดขึ้นเมื่อเวลา 21:15 น. ซึ่งใช้เวลามากกว่าหนึ่งชั่วโมงในการตรวจพบข้อมูลรับรองที่ถูกบุกรุก โดยปกติจะถูกแท็กเป็นบัญชีที่ถูกต้อง (T1078) ในกรอบ MITER ATT & CK ซึ่งทำร่วมกันโดยฝ่ายตรงข้ามเพื่อย้ายไปด้านข้างในสินทรัพย์ต่างๆหลังจากได้รับข้อมูลประจำตัว

การแจ้งเตือนครั้งแรกที่ทีมได้รับจากเครื่องมือ EDR คือเวลา 03:12 น. ของเช้าวันรุ่งขึ้นจากการดำเนินการของ Mimikatz องค์กรที่เชื่อว่าคุณสามารถส่งการแจ้งเตือนของคุณไปสู่การจัดการด้านความปลอดภัยระบบอัตโนมัติและการตอบสนอง (SOAR)และได้รับการปกป้องจะพลาดส่วนที่สำคัญที่สุดของการโจมตีนี้ เนื่องจาก EDR ตรวจพบเฉพาะ Mimikatz นักวิเคราะห์จึงจำเป็นต้องสืบค้นบันทึกด้วยตนเองเพื่อสร้างการโจมตีนี้ใหม่รวมถึงการติดเชื้อครั้งแรกการเคลื่อนไหวด้านข้างและการทิ้งข้อมูลรับรอง ตามกรอบงาน MITER ATT & CK มีเทคนิคที่ใช้ในกลยุทธ์การเข้าถึงข้อมูลประจำตัวเช่นการทิ้งข้อมูลรับรองในรูปแบบของแฮชหรือรหัสผ่านข้อความที่ชัดเจน (T1003). เมื่อฝ่ายตรงข้ามได้รับการเข้าถึงโดยไม่ได้รับอนุญาตไปยังผู้ต่อต้านระบบภายในพวกเขาสามารถใช้ประโยชน์จากบริการระยะไกล (T1210).

ไม่มีการปรับแต่งการติดตั้ง Advanced Analytics และได้รับการสนับสนุนโดยฟีด Syslog โดยตรงจาก SIEM ที่มีอยู่ของลูกค้าไปยัง Advanced Analytics สำหรับทั้งเครือข่าย จากประสบการณ์ของฉัน SIEM ดั้งเดิมต้องใช้เวลาหลายวันหรือหลายเดือนในการสร้างเนื้อหาที่เกี่ยวข้องยิ่งถ้าคุณไม่ได้เขียนหรือสร้างกฎเกี่ยวกับวิธีที่คุณคาดการณ์ว่าคุณจะถูกโจมตี

ลูกค้าพอใจที่จะเห็นรายละเอียดเกี่ยวกับการโจมตีมากขึ้นเนื่องจากยังไม่ได้ปรับแต่งโซลูชัน แม้ว่าสิ่งที่น่าสังเกตมากที่สุดก็คือความจริงที่ว่าลูกค้าซึ่งรู้เรื่องสิ่งแวดล้อมน้อยมากสามารถอ่านบันทึกและรู้ว่าเกิดอะไรขึ้น พวกเขาชื่นชมที่แม้แต่นักวิเคราะห์อาวุโสน้อยกว่าก็สามารถใช้ซอฟต์แวร์นี้เพื่อให้ได้ผลลัพธ์ทันที ลูกค้าสามารถดำเนินการตรวจสอบทั้งหมดได้โดยไม่ต้องเขียนแบบสอบถามหรือรวบรวมข้อมูลในบันทึกดิบเพื่อพยายามตอบคำถามที่สำคัญที่สุด

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th