Mort de Quentin Deranque : Qui prépare le déplacement prévu ce samedi…

Trump a imposé un tarif mondial de 10 % après une défaite devant la…

Images de BFMTV. 600 à 800 militants de droite attendus à Lyon pour…

Logiciels

X-Force lance un cadre de détection et de réponse pour le logiciel de transfert de fichiers géré

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Comment l’IA peut aider les défenseurs à faire évoluer les conseils de détection pour les outils logiciels d’entreprise

Si nous regardons en arrière les événements d’exploitation de masse qui ont secoué l’industrie de la sécurité comme Log4j, Atlassian et Microsoft Exchange lorsque ces solutions étaient activement exploitées par des attaquants, les exploits peuvent avoir été associés à un CVE différent, mais les conseils de détection et de réponse ont été publiés. par les différents fournisseurs de sécurité présentaient de nombreuses similitudes (par exemple, Log4shell contre Log4j2 contre MOVEit contre Spring4Shell contre Microsoft Exchange contre ProxyShell contre ManageEngine contre Atlassian Confluence).

Certes, les composants de chaque logiciel étaient différents, mais les indications étaient globalement les mêmes. C’est parce que les buts et les objectifs des attaquants motivés financièrement n’ont pas changé ; ils recherchaient, et continueront de rechercher, un type particulier d’actif, avec un ensemble particulier de capacités pour extorquer de l’argent aux organisations par le vol ou la destruction de données.

Les attaquants tenteront principalement d’exploiter les services publics pour exfiltrer des données en masse, étendre l’accès aux ressources internes ou déployer des rançongiciels. Ils sont généralement en mesure d’atteindre ces objectifs en obtenant un accès non autorisé à l’environnement de la victime en exploitant des informations d’identification valides ou en exploitant le service public pour contourner l’authentification, exécuter du code à distance ou télécharger un shell Web. Étant donné que les attaquants font la même chose, les défenseurs se sont concentrés sur la collecte des mêmes types de données, telles que les journaux d’authentification, les journaux d’accès Web, les événements d’exécution de processus, le système de fichiers et l’activité de transfert de fichiers.

Plus récemment, nous avons vu des infractions répétées dans l’exploitation massive d’attaques de transfert de fichiers géré (MFT), ce qui soulève la question suivante : comment pouvons-nous tirer parti de ce que nous avons appris des événements d’exploitation de masse précédents et l’appliquer pour empêcher une nouvelle mise à l’échelle de MFT ? exploitations ? Dans un effort pour aider la communauté à décharger certains de ces apprentissages, IBM Security X-Force publie un cadre commun pour la détection et la réponse pour les MFT, où la seule personnalisation requise est les noms de processus uniques, les chemins, les ports, les fichiers journaux, etc. Ce blog analyse la façon dont nous avons construit le cadre et explore comment l’IA peut être utilisée pour étendre les conseils de détection au-delà des MFT.

MFT : la prochaine frontière des événements d’exploitation de masse

Au cours de l’année écoulée, des centaines d’organisations ont été compromises par des attaques MFT. L’exploitation massive de MOVEit et de GoAnywhere a élevé les MFT – des logiciels que je suppose que les équipes de sécurité n’étaient pas familiers jusqu’à présent – au rang de vecteur d’attaque de premier plan. Ces services automatisés connectés à Internet permettent le transfert de données d’entreprise sensibles entre les parties (Figure 1).

Figure 1 : Le logiciel MFT est conçu pour créer des échanges de données entre diverses entités nécessitant souvent qu’il soit exposé à Internet

En compromettant les MFT, les attaquants peuvent accélérer leurs attaques et passer immédiatement à l’étape d’exfiltration des données (Figure 2). Ils n’ont pas besoin de pivoter, de se déplacer latéralement ou de prendre d’autres mesures pour déployer des logiciels malveillants, car ils ont atterri directement dans le pot d’or et sont capables de voler les données directement du MFT pour extorquer leurs victimes.

Figure 2 : Étapes d’une attaque

Les MFT sont des outils essentiels car ils gèrent des données critiques, ce qui soulève la question de savoir pourquoi la communauté de la sécurité a été prise au dépourvu par ces attaques ?

Parce qu’il n’est pas réaliste d’attendre des équipes de sécurité qu’elles connaissent la fonction et l’architecture de chaque outil ou qu’elles disposent d’un inventaire logiciel complet pour les environnements qu’elles protègent. Des charges de travail massives et des équipes de sécurité débordées empêchent les défenseurs d’inspecter de manière proactive ou même simplement de se familiariser avec le fonctionnement interne de chaque logiciel de leur environnement. En fait, ce n’est que lorsqu’une vulnérabilité a été révélée qu’ils essaient de comprendre les composants de base d’un outil – alors qu’ils sont déjà en course contre la montre pour corriger un système, ou pire, contenir un incident, sous la pression du risque de impact sur les entreprises.

Avec cette hypothèse de « similitude » à l’esprit, nous avons examiné certaines des MFT les plus populaires sur le marché pour comprendre si les leçons tirées des exploitations passées des MFT peuvent nous aider à préparer et à prévenir les futures. L’objectif était de rassembler de manière proactive des sources de données précieuses pour les solutions MFT populaires et de déterminer si un cadre commun peut être créé pour élaborer de manière proactive des stratégies de détection et de réponse pour les nouveaux logiciels.

Mon équipe a examiné le fonctionnement de chacun des outils logiciels, l’emplacement des données de journal, les noms de processus que les équipes de sécurité devraient rechercher, puis a recréé ce qu’un attaquant ferait pour identifier où dans les journaux ou les processus se produirait l’activité malveillante. présent. (Figure 3).

Figure 3 : Processus d’analyse MFT

Notre analyse a confirmé notre conviction : tous ces outils sont en grande partie architecturés de la même manière, ce qui signifie que l’approche de détection et de réponse pour toutes les solutions MFT serait généralement la même.

L’index que nous publions, qui est maintenant disponible sur GitHub, comprend un échantillon de 13 cadres de détection et de réponse différents pour les solutions MFT les plus courantes et les plus exposées que nous avons analysées. Cet effort vise à décharger certains de ces apprentissages des défenseurs, non seulement pour réduire considérablement le temps nécessaire aux défenseurs pour arrêter une attaque, mais aussi pour aider à prévenir une future exploitation massive.

Les frameworks de détection et de réponse que nous publions incluent les MFT suivants :

  1. Serveur FTP Cerbère
  2. FichierZilla
  3. Pierre angulaire MFT
  4. Solawinds Serv-U
  5. JSCAPE
  6. OracleMFT
  7. AileFTP
  8. rugueux
  9. Diplomate MFT
  10. MyWorkDrive
  11. EasyFTP Server FTPD
  12. Partager le fichier
  13. PartagerTru

Utilisation de l’IA pour faire évoluer les cadres de détection

Cette entreprise a mis en évidence le besoin urgent d’aider les défenseurs à optimiser leur emploi du temps. Il existe des milliers d’outils logiciels disparates déployés dans les entreprises. Ainsi, bien que les défenseurs soient hautement qualifiés pour identifier les activités malveillantes, ils doivent d’abord savoir où chercher. Comment mettre à l’échelle ce cadre ? Nous avons besoin d’un moyen de hiérarchiser les actifs en fonction de la manière dont ils aident un attaquant à atteindre ses buts et objectifs, à quel point ils sont exposés et quel impact ils pourraient avoir sur notre organisation.

Pour relever ce défi, nous nous sommes tournés vers Watsonx et avons créé un processus simple et reproductible pour évaluer les actifs en fonction de leur attrait pour les attaquants. À l’aide de l’un des modèles de base d’IBM, nous avons créé un moteur d’IA de preuve de concept qui analyse la documentation, les forums, les données système et les met en corrélation avec le contexte environnemental, permettant aux équipes de sécurité de comprendre rapidement les composants sous-jacents d’une solution, afin qu’ils puissent développer un stratégie de détection et de réponse.

Le moteur d’IA peut également évaluer la probabilité qu’une technologie connectée à Internet soit ciblée pour une exploitation massive si un exploit est publié, produisant un score de risque pour l’utilisateur. Une fois que l’utilisateur a téléchargé la documentation de tout type de logiciel dans le moteur d’IA, il :

  • Identifier les processus critiques que les équipes de sécurité doivent surveiller
  • Produire des playbooks de détection et de réponse personnalisés
  • Fournir un score de risque aux défenseurs, indiquant la probabilité que le logiciel soit ciblé pour une exploitation massive si un exploit est publié

Cette preuve de concept est la preuve que les modèles de base peuvent énormément responsabiliser les défenseurs, en optimisant leur utilisation du temps et en les aidant à être plus ciblés et concentrés sur ce qui compte le plus. Alors que nous continuons à développer le moteur d’intelligence artificielle, nous l’utiliserons pour aider l’équipe IBM Security X-Force Incident Response à obtenir des résultats de détection et de réponse plus rapides, en déchargeant la machine du besoin de déchiffrer un logiciel spécifique.

L’hypothèse nous montre également que lorsque nous cherchons plus intentionnellement des modèles, des connexions et des points communs entre les événements d’exploitation de masse, nous pouvons créer des cadres qui aident les défenseurs à collecter plus rapidement les informations nécessaires et à réagir plus rapidement. Et avec l’IA, nous pouvons étendre ces actions, créant un outil puissant pour soutenir les équipes à la suite d’un incident de sécurité.

Si vous assistez à Black Hat Las Vegas et souhaitez en savoir plus, vous pouvez assister à ma session : Briser le cycle : se préparer à la prochaine exploitation massive sur Mercredi 9 août à 15h00 PT.

Pour savoir comment IBM Security X-Force peut vous aider dans tout ce qui concerne la cybersécurité, y compris la réponse aux incidents, les renseignements sur les menaces ou les services de sécurité offensifs, planifiez une réunion ici : Planificateur IBM Security X-Force.

Si vous rencontrez des problèmes de cybersécurité ou un incident, contactez IBM Security X-Force pour obtenir de l’aide : US hotline 1-888-241-9812 | Hotline mondiale (+001) 312-212-8034.

Responsable de la recherche, IBM Security X-Force

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite