Geavanceerde verdediging tegen doelgerichte aanvallen: KATA-platform

Hoe beveiligen bedrijven zich tegen APT’s?

Zogenaamde Advanced Persistent Threats zijn geavanceerde, doelgerichte en meestal buitengewoon goed voorbereide aanvalscampagnes op lange termijn en die op professioneel ontworpen zijn om éénlaagse bescherming te omzeilen.

Het hoofddoel van een oplossing voor het bestrijden van een APT-/doelgerichte aanval is het verhogen van de kosten van een dergelijke aanval tot het punt waarop deze niet meer praktisch of financieel interessant is. Bij deze oplossingen worden meerdere technieken toegepast: hoe meer verschillende detectielagen kunnen worden geïmplementeerd en hoe meer toegangspunten van potentiële aanvallen worden bewaakt, hoe hoger de kans dat een aanval wordt ontdekt, ongeacht hoeveel tijd en geld de aanvaller hieraan wil besteden.

Het KATA-platform, waarop Kaspersky Anti Targeted Attack wordt gecombineerd met Kaspersky EDR, is een voorbeeld van een dergelijke zakelijke oplossing. De geavanceerde technologielagen hiervan omvatten:

Analyse van netwerkverkeer. Deze module is uitgerust met functies voor gedragsdetectie en hiermee worden verkeer en objecten geanalyseerd met behulp van IDS-technologie en URL-reputaties:

• Met Intrusion Detection-technologie wordt traditionele dreigingsdetectie gecombineerd met geavanceerde dreigingsdetectie, ondersteund door een unieke reeks IDS-regels voor verkeersanalyse die zijn gericht op doelgerichte aanvallen. IDS-regelsets worden automatisch en snel bijgewerkt.
• Analyse van URL-reputatie. Verdachte of ongewenste URL's worden gedetecteerd op basis van reputatiegegevens uit het cloudgebaseerde wereldwijde Kaspersky Security Network (KSN). Dit bevat ook informatie over URL's en domeinen die verband houden met doelgerichte aanvallen.

Sandbox. De sandbox voert verdachte objecten uit in zijn eigen virtuele machines om schadelijke activiteiten te detecteren. De sandbox ontvangt samples van uitvoeringstaken, waaronder virtualisatieparameters gebaseerd op de bron van het geëvalueerde object en het doel van de evaluatie (bijvoorbeeld type besturingssysteem, configuratie van besturingssysteem, omgeving, parameters van voorbeeldstart, duur van de uitvoering).

Tijdens de uitvoering van samples verzamelt de sandbox het volgende:

• logboeken van het gedrag van de sample (waaronder een lijst van aangeroepen systeemfuncties, herhaling met andere processen en bestanden, netwerkactiviteiten, URL's enz.)
• dumps
• geplaatste objecten
• verkeer gegenereerd door de sample

Nadat de uitvoering is voltooid, worden de verkregen artefacten opgeslagen en vervolgens verwerkt door een specifieke scanner. Als wordt vastgesteld dat de sample schadelijk is, wordt er een oordeel gekoppeld en worden de resultaten toegewezen aan de kennisdatabase MITRE ATT&CK. Alle verzamelde gegevens worden intern opgeslagen voor verdere analyse van de tactieken en technieken van de aanval. Er zijn geen extra sandbox-verzoeken nodig, waardoor serverbronnen minder worden belast.

Een uitgebreide reeks functies, waaronder een randomisering van het besturingssysteem, tijdversnelling in virtuele machines, anti-omzeilingstechnieken, simulatie van gebruikersactiviteit enz., leveren allemaal een bijdrage aan zeer efficiënte, gedragsgebaseerde detectie. De sandbox gebruikt een aantal gepatenteerde technologieën die kunnen worden toegepast in zowel geautomatiseerde als handmatige modi.

Kaspersky Security Network (KSN) is een wereldwijde cloud-infrastructuur met reputatieoordelen en andere informatie over objecten die worden verwerkt door het KATA-platform (bestanden, domeinen, URL's, IP-adressen en meer). KSN biedt ook detectie met ML-cloudmodellen zoals Cloud ML for Android: metadata van lokale APK-bestanden worden verzameld door het platform en verzonden naar KSN, dat antwoordt met een oordeel van het ML-gebaseerde model. Kaspersky Private Security Network (KPSN) is een oplossing gebaseerd op de privécloud die beschikbaar is voor organisaties die hun gegevens niet kunnen verzenden naar de wereldwijde KSN-cloud, maar die toch willen profiteren van de wereldwijde reputatiedatabase van Kaspersky. Oordelen van het KATA-platform bieden privétoegang tot onze wereldwijde database met dreigingskennis en worden opgeslagen in een lokale KPSN-database. Deze oordelen worden vervolgens automatisch gedeeld met andere Kaspersky-producten die worden geïmplementeerd binnen de infrastructuur van de organisatie om automatische respons te bieden. Organisaties waar KPSN is geïmplementeerd, kunnen via een API en zonder tussenliggende stappen profiteren van reputaties die worden geleverd door externe systemen van derden.

Targeted Attack Analyzer (TAA) kan verdachte acties ontdekken op basis van geavanceerde heuristiek van afwijkingen en kan in realtime geautomatiseerde dreigingsopsporing bieden. Het biedt ondersteuning voor automatische analyse van gebeurtenissen en de correlatie hiervan met een unieke reeks aanvalsindicatoren (IoA) die worden gegenereerd door de dreigingsopsporing van Kaspersky. Telkens wanneer de TAA een aanzienlijke afwijking detecteert, ontvangt de IT-beveiligingsspecialist een schriftelijke beschrijving, aanbevelingen (zoals hoe het risico op herhaling van de ontdekte gebeurtenis kan worden verlaagd) en een indicatie van het vertrouwen in het oordeel en van de ernst van de gebeurtenis waarmee een score kan worden bepaald. Alle aanvalsindicatoren worden toegewezen aan MITRE ATT&CK om gedetailleerde informatie te bieden, waaronder de door ATT&CK gedefinieerde techniek die werd gebruikt, een beschrijving en beperkingsstrategieën. Hierdoor kunt u automatisch profiteren van hoogwaardig onderzoek naar dreigingen zonder dat u hooggekwalificeerde interne experts overbelast. Ze houden tijd vrij voor andere complexe taken, zoals gedetailleerd onderzoek naar incidenten en opsporing van dreigingen. U kunt bijvoorbeeld ook uw eigen database met aangepaste aanvalsindicatoren maken die geschikt is voor uw specifieke infrastructuur of voor uw branche.

Verbeterde anti-malware-engine. De engine werkt op een centrale node, met striktere instellingen dan die zijn ingeschakeld op endpoint-configuratie. De engine scant objecten op schadelijke of potentieel gevaarlijke code en verzendt objecten met potentieel schadelijke inhoud naar de sandbox. Dit leidt tot zeer nauwkeurige detectie die van enorme waarde kan zijn tijdens het incidentonderzoek.

Aanvalsindicatoren scannen. Op het KATA-platform kunnen gecentraliseerde IoC's worden geladen uit bronnen met dreigingsgegevens en wordt automatisch gepland scannen van IoC's ondersteund, waardoor het werk van analisten wordt gestroomlijnd. Er kunnen retrospectieve databasescans worden gebruikt om de kwaliteit van de informatie over eerder gemarkeerde beveiligingsgebeurtenissen en -incidenten te verbeteren.

Certificaatcontrole. De module Certcheck controleert de geldigheid van ondertekende certificaten en de aanwezigheid van verdachte certificaten.

KATA-platformservices voor IT-beveiligingsexperts omvatten ook:

Detectie met YARA-regels. YARA is een van de meest gebruikte tools voor het opsporen van nieuwe malwarevarianten. Het ondersteunt complexe overeenkomstregels om te zoeken naar bestanden met specifieke kenmerken en metadata, bijvoorbeeld strings met een specifieke programmeerstijl. Het is mogelijk om aangepaste YARA-regels te maken en uploaden om objecten te analyseren voor dreigingen die specifiek zijn voor uw organisatie.

Retrospectieve analyse. Door automatisering van gegevens, verzameling van objecten en oordelen, en de centrale opslag hiervan, kan retrospectieve analyse worden uitgevoerd terwijl meerfasige aanvallen worden onderzocht, zelfs in situaties waar geïnfecteerde endpoints niet toegankelijk zijn of wanneer gegevens versleuteld zijn door cybercriminelen. Daarnaast kunnen opgeslagen bestanden van e-mail- en webverkeer periodiek automatisch opnieuw worden gescand, waarbij de nieuwste detectieregels worden toegepast.

Krachtige, flexibele query-editor voor proactief opsporen van dreigingen. Analisten kunnen complexe query's samenstellen om te zoeken naar abnormaal gedrag, verdachte gebeurtenissen en dreigingen die specifiek zijn voor uw infrastructuur om zo vroege detectie van activiteiten van cybercriminaliteit te verbeteren.

Toegang tot Kaspersky Threat Intelligence Portal. Met handmatige query's naar dreigingen in onze kennisdatabase met dreigingsinformatie beschikken IT-beveiligingsanalisten over extra context bij opsporing van dreigingen en effectief onderzoek.

Op het KATA-platform worden gegevens voor analyse samengevoegd vanuit verschillende bronnen:

Een netwerksensor ontvangt kopieën van alle verkeersgegevens, waaruit deze objecten en netwerkmetadata haalt voor verdere analyse. Netwerksensoren detecteren activiteiten in meerdere delen van de IT-omgeving, waardoor ze bijna in realtime complexe dreigingen kunnen detecteren in proxy-, web- en e-mailomgevingen.

• De netwerksensor kan informatie ophalen over de bron, het doel, het gegevensvolume en de frequentie van netwerkverkeer (zelfs wanneer het bestand is versleuteld). Deze informatie is over het algemeen voldoende om een beslissing te nemen over de mate van verdenking die moet worden toegepast en om potentiële aanvallen te detecteren. De protocollen SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP en DNS worden ondersteund.
• De netwerksensor kan webverkeer onderscheppen en objecten verwerken die zijn verzonden via HTTPS door middel van integratie met de proxyserver via het ICAP-protocol.
• De e-mailsensor ondersteunt integratie met e-mailservers via POP3- en SMTP-verbinding met de opgegeven mailbox. De sensor kan worden geconfigureerd om een willekeurige reeks mailboxen te bewaken.

Naast analyse van het volledige netwerkverkeer kan het platform ook een geautomatiseerde respons op gateway-niveau bieden op complexe dreigingen, met behulp van Kaspersky Secure Mail Gateway en Kaspersky Web Traffic Security als volledige netwerksensoren die werken voor het KATA-platform.

Endpoint-sensoren (Kaspersky EDR) verzamelen alle benodigde gegevens van endpoints in uw hele infrastructuur. Agent ingezet op endpoints bewaakt continu processen, interacties, actieve netwerkverbindingen, de status van het besturingssysteem, wijzigingen aan bestanden enz. Vervolgens verzendt deze de verzamelde gegevens en informatie over detectie van verdachte gebeurtenissen naar het KATA-platform voor extra onderzoek en analyse, en voor vergelijking met gebeurtenissen die zijn gedetecteerd in andere informatiestromen.

Het KATA-platform in actie

Door de hierboven genoemde technologieën te implementeren onder een uniforme serverarchitectuur en met gecentraliseerd beheer, beveiligt het KATA-platform potentieel bedreigde toegangspunten op netwerk- en endpoint-niveau, waaronder web- en e-mailservers, pc's, laptops, servers en virtuele machines door een gedetailleerd inzicht te bieden in de huidige gebeurtenissen in de IT-infrastructuur van uw organisatie. KATA geeft uw IT-beveiligingsspecialisten een uitgebreide toolset voor meerdimensionale ontdekking van dreigingen, diepgaand onderzoek, proactieve opsporing van dreigingen en een gecentraliseerde respons op complexe incidenten.

Het KATA-platform kan worden geïntegreerd met Kaspersky Endpoint Security for Business om endpointbeveiliging te bieden inclusief automatische blokkering van dreigingen en respons op complexe incidenten. Het kan ook nauw worden geïntegreerd met zowel Kaspersky Security Mail Gateway als Kaspersky Web Traffic Security om e-mail- en webdreigingen te blokkeren en een geautomatiseerde respons op complexere dreigingen te bieden. Met deze allesomvattende oplossing hoeven uw IT-beveiligingsteams aanzienlijk minder tijd en energie te besteden aan de bescherming tegen geavanceerde dreigingen. Dit is te danken aan de optimale automatisering van verdedigingsacties op zowel netwerkniveau als endpoint-niveau, in combinatie met dreigingskennis en beheer via één webconsole.

Het KATA-platform beschermt de infrastructuur van het bedrijf tegen complexe dreigingen en doelgerichte aanvallen zonder behoefte aan u extra middelen. Het platform wordt geïntegreerd in uw huidige strategie en hiermee kan uw IT-beveiligingsteam of SOC complexe dreigingen en doelgerichte aanvallen op betrouwbare en effectieve wijze bestrijden. Het platform vult daarnaast bestaande beveiligingstechnologieën van derden aan en ondersteunt interactie met uw SIEM.