Un modello avversario descrive le azioni che un avversario può intraprendere per compromettere e operare all'interno di una rete aziendale. L'applicazione NSX Network Detection and Response utilizza il modello Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) di MITRE per descrivere i comportamenti avversari. In questo modello, le tecniche che un avversario potrebbe utilizzare sono raggruppate in una serie di categorie di tattiche, che corrispondono a diverse fasi del ciclo di vita dell'attacco.

Nel sistema, l'attività associata a ciascun evento rilevato potrebbe essere associata a una fase di attacco specifica e potrebbe fornire un'indicazione dell'avanzamento della campagna lungo il suo ciclo di vita. (Le attività incontrate in diverse fasi di attacco potrebbero non essere associate a una fase di attacco specifica.) Attualmente vengono utilizzate le seguenti fasi di attacco.

Poiché queste regole di correlazione sono in esecuzione nel servizio cloud NSX Advanced Threat Prevention, possono essere migliorate o estese indipendentemente dai cicli di rilascio di NSX. L'elenco delle regole di correlazione o il comportamento specifico di una regola possono inoltre cambiare nel tempo.

Di seguito sono elencate le regole di correlazione attualmente supportate.

Evento anomalia

Questa regola mette in relazione gli eventi di rilevamento della funzionalità Traffico sospetto NSX con gli eventi di tipo infezione con impatto più elevato. Ad esempio, un evento anomalia della funzionalità Traffico sospetto NSX coincide con un evento di rete con impatto elevato per gli stessi host.

Esfiltrazione

Questa regola mette in relazione gli eventi di esfiltrazione che sono preceduti da eventi di tipo infezione. Ad esempio, un evento di rete di comando e controllo è seguito da un evento di rete che corrisponde all'esfiltrazione di dati.

Trasferimento file (basato su hash)

Questa regola mette in relazione i trasferimenti di file dannosi. Ad esempio, se lo stesso file dannoso viene scaricato in un numero di host nella rete, la regola mette in relazione tutti questi trasferimenti in un'intrusione. La somiglianza dei trasferimenti di file dannosi viene determinata in base all'hash SHA-1 del file trasferito.

Trasferimento file (basato su tag di analisi)

Questa regola mette in relazione i trasferimenti di file dannosi. Ad esempio, se lo stesso file dannoso viene scaricato in un numero di host nella rete, la regola mette in relazione tutti questi trasferimenti in un'intrusione. La somiglianza dei trasferimenti di file dannosi viene determinata in base ai tag associati alle attività di analisi dei file.

Analisi vulnerabilità

Questa regola mette in relazione diversi tipi di eventi di rete che indicano tutti un'analisi della vulnerabilità. Ad esempio, da un singolo host si verificano più eventi di tipo infezione o NTA in uscita verso uno o più host di destinazione interni.

Onda

Questo gruppo di regole identifica l'attacco di tipo "onde" in cui lo stesso attacco (ovvero gli eventi imprevisti per la stessa minaccia) si verifica in più host della rete entro una determinata finestra temporale.

Questo gruppo di regole è utile per identificare gli host della rete che sono diventati parte della stessa infrastruttura di comando e controllo o sono stati esposti allo stesso vettore di attacco (ad esempio, un attacco drive-by o un attacco di distribuzione malware). Di conseguenza, queste regole sono limitate alle minacce di classe comando e controllo, drive-by, distribuzione di malware, sinkhole, fakeAV e mining di criptovalute.

Le regole di questo gruppo vengono attivate nei casi seguenti.

• Sono presenti eventi relativi alla firma di rete in cui la classe della minaccia è comando e controllo, che influiscono su più host.

• Sono presenti eventi relativi alla firma di rete in cui la classe della minaccia è distribuzione di malware, che influiscono su più host.

• Sono presenti eventi relativi alla firma di rete in cui la classe della minaccia è drive-by e la voce (indirizzo IP o nome host) in cui si sono verificati i rilevamenti è uguale, che influiscono su più host.

• Sono presenti eventi di reputazione dannosa per la stessa voce (indirizzo IP o nome host) la cui classe di minaccia è comando e controllo, che influiscono su più host.

• Sono presenti eventi di reputazione dannosa per la stessa voce (indirizzo IP o nome host) la cui classe di minaccia è distribuzione di malware, che influiscono su più host.

In questo caso, la finestra di correlazione è impostata su tre giorni. Di conseguenza, due eventi imprevisti per la stessa minaccia che influiscono su host diversi vengono considerati correlati se si verificano entro questo intervallo di tempo limitato.

Drive-by confermato

Questo gruppo di regole identifica le campagne in cui un host interno viene esposto a un attacco drive-by riuscito. Un attacco drive-by in un host viene considerato riuscito se è seguito da un'attività di comando e controllo, download di malware, sinkhole o fakeAV. Le regole di questo gruppo vengono attivate nei casi seguenti.

• Drive-by seguito immediatamente da un'attività di download di malware: in questo caso, la finestra di correlazione è di 10 minuti, perché si prevede che il download sia causato immediatamente da un exploit del browser riuscito.

• Drive-by seguito immediatamente da un'attività di fakeAV: in questo caso, la finestra di correlazione è di 10 minuti, perché si prevede che l'attività di fakeAV segua immediatamente un exploit drive-by.

• Drive-by seguito da un'attività di comando e controllo: in questo caso, la finestra di correlazione è di quattro ore, perché la configurazione del canale di comando e controllo potrebbe richiedere un po' di tempo.

• Drive-by seguito da un'attività di sinkhole: in questo caso, la finestra di correlazione è di quattro ore, perché la configurazione dell'attività relativa a un server dannoso con sinkhole in un canale di comando e controllo potrebbe richiedere un po' di tempo.

Download del file confermato

Questo gruppo di regole identifica le campagne in cui un file dannoso viene scaricato ed eseguito correttamente in un host. Un file scaricato viene considerato eseguito correttamente in un host se, poco dopo il download, sono presenti eventi di rete per attività che corrispondono all'attività osservata durante l'analisi del file.

In particolare, l'analisi del file può fornire altre due informazioni per caratterizzare l'attività osservata durante l'analisi.

Informazioni sul malware

Se il comportamento del file corrisponde al comportamento di una minaccia nota, il nome del malware diventa disponibile.

Informazioni sull'indicatore di compromissione (IoC) della rete

Se durante l'analisi il campione genera traffico di rete corrispondente alle firme della rete o all'intelligence sulle minacce, vengono resi disponibili indicatori per il traffico. Ovvero, vengono fornite informazioni sulle reputazioni dannose e sulle corrispondenze delle firme di rete.

Le regole di questo gruppo vengono attivate nei due casi seguenti, in base al tipo di informazioni derivate dall'analisi del file.

• Caso basato su malware

  • Un file viene scaricato in un host.

  • L'analisi del file attribuisce una minaccia specifica al file (ad esempio, malware Emotet).

  • In un secondo momento, un evento di rete per la stessa minaccia (ovvero Emotet) viene rilevato per l'host che ha scaricato il file.

• Caso basato su IoC della rete

  • Un file viene scaricato in un host.

  • L'analisi del file identifica l'IoC della rete per il file.

  • In un secondo momento, l'host che ha scaricato il file tenta di contattare un indirizzo IP o un nome host incluso nell'IoC della reputazione dannosa estratto per il file e questo traffico corrisponde a una firma di rete.

In questo caso, l'applicazione NSX Network Detection and Response imposta la finestra di correlazione su tre giorni.

Spostamento laterale

Questo gruppo di regole identifica le campagne in cui gli autori degli attacchi hanno stabilito una "testa di ponte" nella rete danneggiando alcuni host e quindi tentano di spostarsi lateralmente nella rete per danneggiare altri host.

Questo gruppo comprende due regole, ognuna delle quali rileva un passaggio distinto della campagna di spostamento laterale.

Spostamento laterale in uscita

Questa regola mette in relazione l'attività di spostamento laterale in uscita da un host nella rete principale e le infezioni in tale host che si sono verificate prima dei rilevamenti degli spostamenti laterali (ma all'interno della finestra di correlazione).

Spostamento laterale in entrata

Questa regola mette in relazione l'attività di spostamento laterale in entrata verso un host nella rete principale configurata e l'attività comunemente osservata dopo un compromesso iniziale (comando e controllo, probe e raccolta delle credenziali) che si è verificato nello stesso host dopo i rilevamenti degli spostamenti laterali.

Si tenga presente che queste regole verranno attivate solo per gli host della rete principale, ovvero la campagna viene creata solo se l'host di origine e l'host di destinazione delle attività di spostamento laterale appartengono alla rete principale. Se la rete principale non è configurata, il sistema utilizza gli intervalli di RFC1918 per impostazione predefinita.

Promozione eventi INFO

L'applicazione NSX Network Detection and Response rileva diverse attività in una rete protetta che potrebbero essere interessanti per un analista, ma probabilmente non sono dannose. Questi rilevamenti generano eventi INFO, che possono essere visualizzati impostando un valore appropriato del filtro dei risultati dell'evento.

L'applicazione NSX Network Detection and Response non considera gli eventi INFO per la correlazione.

Un problema relativo a questi rilevamenti consiste nel fatto che la stessa attività di evento INFO può essere per niente sospetta o molto sospetta, in base alla rete in cui l'applicazione NSX Network Detection and Response l'ha rilevata. Ad esempio, l'uso del protocollo RDP (Remote Desktop Protocol) può essere normale in un ambiente in cui questo strumento viene utilizzato per scopi amministrativi legittimi, ma può anche indicare che un utente malintenzionato tenta di controllare da remoto un host vittima.

La logica di rilevamento delle anomalie è in grado di determinare quando alcuni tipi di rilevamenti INFO sono insoliti per la rete monitorata e per gli host di origine e gli host di destinazione specifici coinvolti. Quando il sistema determina che un rilevamento INFO è inusuale, l'evento viene promosso alla modalità "rilevamento" e di conseguenza viene visualizzato tra gli eventi regolari. Questo scenario è pertinente nel contesto delle regole di correlazione per lo spostamento laterale, perché il rilevamento dell'attività di spostamento laterale spesso comporta la creazione di eventi INFO.

Rete principale

La configurazione della rete principale ha il seguente effetto sulle regole di correlazione della campagna.

• Tutte le regole di correlazione della campagna ignorano gli eventi che si sono verificati negli host esterni alla rete principale.

• Se non è configurata alcuna rete principale, per impostazione predefinita nel sistema vengono impostati gli intervalli di RFC1918.

La rete principale è configurata in Sicurezza > Impostazioni generali > Intervalli IP privati.

Silenziamento dell'host

La configurazione del silenziamento dell'host ha il seguente effetto sulle regole di correlazione della campagna.

• Se è configurato il silenziamento dell'host, tutte le regole di correlazione della campagna ignorano gli eventi che si sono verificati negli host silenziati.

• Se non è configurato alcun silenziamento dell'host, tutti gli host di origine rilevati in un evento vengono considerati validi per la correlazione.

Per assicurarsi che il silenziamento dell'host non includa erroneamente host le cui attività devono essere incluse nelle campagne, è necessario verificare la configurazione del silenziamento dell'host.

La prova contiene le seguenti informazioni.

Prova del rilevamento di base: rete

Tipo di prova REPUTAZIONE

Indica che il traffico di rete è stato rilevato verso un IP o un dominio associato a una minaccia nota.

Vengono visualizzati un campo OGGETTO e un indirizzo IP o un dominio. Ad esempio: reputazione: evil.com (evento di riferimento), 6.6.6.6 (evento di riferimento) o bad.org (evento di riferimento).

Questi domini e indirizzi IP non validi vengono generalmente bloccati. Se disponibili, vengono visualizzate ulteriori informazioni di reputazione.

Gli indirizzi IP possono essere annotati con una posizione (bandiera del paese/area geografica).

Tipo di prova FIRMA

Indica che è stato rilevato un traffico di rete che corrisponde a una firma di rete per una minaccia nota.

Viene visualizzato un campo del prototipo che rappresenta il nome/identificatore univoco della firma corrispondente. Per esempio, Detector: et:2014612 o Detector: llrules:1490720342088.

Tipo di prova ANOMALIA

Simile alla FIRMA, con la differenza che il rilevamento si basa su un'impostazione esadecimale che rileva un errore anomalo. Ad esempio, Anomaly: anomaly:download_smb.

Tipo di prova DOWNLOAD DI FILE

È stato scaricato un file dannoso o sospetto.

Viene visualizzato un task_uuid, l'identificatore di un'analisi (detonazione nella sandbox) e la severity, il punteggio di tale analisi. Ad esempio, File download: a7ed621.

Di seguito sono elencate ulteriori informazioni facoltative dall'evento di riferimento.

• URL da cui è stato scaricato il file

• Il tipo di file (di solito eseguibile)

• Il nome del file

Tipo di prova UNUSUAL_PORT

Indica che viene utilizzata una porta TCP o UDP non comune e che corrisponde a quanto ci si aspetta da questa specifica minaccia.

L'indirizzo IP o il dominio coinvolti nel traffico che ha utilizzato la porta inusuale viene visualizzato nel campo OGGETTO.

Tipo di prova URL_PATH_MATCH

Simile alla porta inusuale, con la differenza che il rilevamento si basa su un percorso URL. Ad esempio, http://evil.com/evil/path?evil=threat, il rilevamento viene attivato dalla parte /evil/path dell'URL.

Tipo di prova DGA

DGA, acronimo di "Domain Generation Algorithm" (Algoritmo di generazione del dominio), un approccio usato da alcuni malware, in cui anziché utilizzare un numero ridotto di domini per il comando e il controllo, il malware include un algoritmo che genera migliaia di nuovi domini casuali ogni giorno. Quindi, tenta di contattare ciascuno di essi. Per controllare i malware, l'hacker registra solo uno o alcuni di questi domini. L'uso del DGA è molto visibile nella rete a causa dei tentativi di risoluzione di molti di questi domini.

La prova DGA è attualmente utilizzata in aggiunta alle normali prove di reputazione, quando vengono rilevati più domini non sicuri di un algoritmo DGA in fase di risoluzione.

Prova da correlazione di eventi multipli

Prova da correlazione di eventi multipli

I seguenti tipi di prova vengono creati nei casi in cui la combinazione di più eventi di rete in un host aumenta la sicurezza che una minaccia sia stata rilevata correttamente. I tipi di prova possono essere, ad esempio, la stessa voce di reputazione dannosa contattata o la stessa firma di rete che viene attivata.

Per ciascuno di questi casi, la minaccia può essere contrassegnata come segue.

• Repeated: la minaccia specifica è stata visualizzata tre o più volte.

• Periodic: è stata riscontrata anche una minaccia specifica a intervalli regolari.

Viene mostrata un'etichetta sulla prova di reputazione/firma corrispondente.

Nell'esempio di prova della REPUTAZIONE, se viene rilevata una prova ripetuta e periodica per bad.org, viene visualizzato un tag RIPETUTO o PERIODICO.

Tipo di prova CONFIRMED_EXECUTION

Questo è associato alle minacce, come il DOWNLOAD di FILE DANNOSI. Significa che il comportamento della rete viene rilevato dall'host che ha scaricato il file in modo da confermare che il file scaricato è stato effettivamente eseguito.

Che:

• É stato scaricato un file dannoso nell'host 1.2.3.4.

• Quando viene eseguito in una sandbox, questo file ha contattato l'host evil.com.

• Poco dopo, si osserva il traffico di comando e controllo dall'host 1.2.3.4 a evil.com, confermando che il file dannoso è stato eseguito.

L'evento di riferimento collegato è quello in cui il file è stato scaricato.

Una prova aggiuntiva può fornire la conferma della minaccia, come le seguenti informazioni sul file.

• Attività UUID

• Punteggio

• Nome del file

• URL da cui è stato scaricato

Tipo di prova CONFIRMED_C&C

Analogamente alla CONFIRMED_EXECUTION, questa prova viene aggiunta al rilevamento del comando e del controllo della minaccia specificata perché l'host ha precedentemente scaricato un file per tale minaccia.

Tipo di prova CONFIRMED_DRIVE_BY

Questa operazione viene aggiunta in situazioni in cui è stato rilevato un attacco drive-by seguito da alcune indicazioni che indicano che l'attacco è stato eseguito correttamente. Ad esempio:

• Sembra che l'host 1.2.3.4 sia la vittima di un attacco drive-by.

• Poco dopo, l'host 1.2.3.4:

  • È stato scaricato un file dannoso

  • Traffico di comando e controllo è stato eseguito

Questa prova viene aggiunta all'evento di riferimento dell'evento drive-by iniziale.

Tipo di prova DRIVEBY_CONFIRMATION

Come la prova CONFIRMED_DRIVEBY, tale prova viene aggiunta come evento di riferimento ai rilevamenti di comando e controllo o di download di file dannosi che si sono verificati poco dopo un attacco drive-by.