Detekcija pretnji pomocu pravila - rule based detections
#1
Pozdrav,

Pokušaću ukratko da objasnim šta su pravila za detekcije i gde se i kako sve primenjuju.
Verujem da će nekome ovo biti zanimljivo i/ili korisno, kao i da će privući pažnju ljudi zainteresovanih da se bave Cybersecurity-jem.

Ok, dakle ovako, u početku beše ideja da bi se neki od napada na mreži ili sistemu mogli otkriti pomoću pravila. To je jednostavno.
Dalje, kada imamo određena pravila u nekom formatu koja opisuju fajl ili događaj možemo koristiti softver koji ce učitati pravila i koristi ista da skenira fajlove (fajl sistem, logove, pakete na mreži itd.)
Pa tako postoje sledeća osnovna pravila:
  • YARA - pravila za skeniranje fajlova na sistemu. Na ovaj način u osnovi rade antivirusi, koji danas osim ovih pravila imaju mnoge druge sisteme detekcija. Na primer ClamAV antivirus podržava i Yara pravila za detekcije u skeniranju.
  • Snort - pravila za skeniranje paketa na mreži. Koriste se za uočavanje raznih tipova napda preko mreže kao što su skeniranje portova, ping, Xmas scan preko Nmap-a, SQL injection, DoS napada.... Veoma koristan mehanizam za zaštitu svoje mreze i može se koristit u dva moda IDS (samo pasivna detekcija) ili IPS detekcija sa reakcijom suzbijanja otkrivenog napada. Postoje alternative poput Suricata pravila (https://suricata.io/) i Zeek/Bro pravila.
  • Sigma - pravila za skeniranje logova. Veoma korisno kada treba da uočite da li je do napda već došlo i šta je napdač pokušao ili uradio. Ima primene u SIEM rešenjima. Ukoliko recimo imate web server ili mejl server, skeniranjem logova sa Sigma pravilima možete otkriti napade iako ne postoji security rešenje za baš taj servis i tip logova.

Pored navedenih postoje dodatna pravila za različite tektekcije i mapiranja, kao što su:
  • Mitre ATT&CK - je matrica koja mapira i klasifikuje poznate tehnike napda. Može se kombinovati sa drugim alatima kako bi dala sliku ranjivosti preko načina upada u sistem. Predstavlja delom i tzv. kill-chain samog napda tj. vrši klasifikaciju korišćenih konkretnih metoda za svaki deo napada od prikupljanja informacija do ekploitacije. Može se recimo kombinovati sa Sysmon-om, i preko alata Zircolite mapirati svi zabeleženi logovi u Mitre matricu.
  • Ossec - HIDS sistem za detekciju upada u sistem iz logova takođe ima svoja pravila.
  • Elastic - SIEM za dektekciju upada u sistem iz logova takođe ima svoja pravila.

Svi navedeni projekti i softveri su iskljućivo otvorenog koda, a predstavlaju samo deo security tehnologija dostupnih na raspolaganju plavim timovima (blue team - defensive) za dektciju upada u sisteme.
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)