停止时钟：自治响应如何包含网络威胁secondsMax Heinemeyer，威胁搜索主管，2019年12月3日，星期二，我们迈向自主安全的下一个阶段是自主响应决策-制造。劳伦斯Pingree，研究副总裁，Gartner我们在本博客中广泛讨论了自主响应：根据Gartner的说法，这项技术代表了网络防御的范式转变。作为第一个这样的自主响应工具，Darktrace Antigena已经挫败了无数的网络攻击，从针对主要城市的鱼叉式网络钓鱼活动到针对一个受欢迎的游乐园的物联网智能储物柜攻击。安提娜的行动只需要几秒钟的时间就可以阻止他们的手术行为。为了然而，自主回应的所有好处都有一个缺点：它可能会让博客文章显得有些虎头蛇尾。取而代之的是关于恶意软件在整个企业中传播并造成不可挽回的损害的迷人的一步一步的描述，Antigena案例研究在开始后不久就结束了，"零号病人"的员工完全不知道可能的妥协曾经。在然而，这个特殊的案例，Antigena是在人类确认模式下部署的-这是一个启动模式，人工智能的行动必须首先得到安全团队的批准。如果没有这样的批准，结果是一个复杂的勒索软件攻击的深入研究，以及一个了不起的例子，安提吉纳如何实时反应，在每个阶段的攻击生命周期：初始下载患者这里是一个设备，Darktrace检测到从一个网络上没有其他设备与之通信的服务器下载可执行文件。像这样的下载通常会绕过传统的端点工具，因为它们无法预先编程以捕捉未来各种不可预测的威胁。相比之下，由于Darktrace AI在"工作"期间了解了公司独特用户和设备的典型行为，因此很容易确定下载是反常。数字1： 暗黑种族警报100%罕见的连接和随后的下载-因为它发生了。发生了安提吉娜当时处于活动模式，这会标记博客文章结束。通过阻止与相关IP和端口的所有连接，Antigena可以立即停止下载，而不会影响全部。数字2： Antigena，在人类确认模式下，建议它阻止可疑的活动。命令在下载之后，Darktrace观察到设备正在进行httpget请求相同的稀有端点。这一可疑活动的继续促使安提吉纳建议的反应升级，现在可以阻止来自被破坏设备的所有传出流量，以防止任何感染蔓延。黑暗种族然后检测到设备正在与端点建立更不寻常的外部连接，在许多情况下，有自签名的SSL证书。这种自签名证书不需要经过可信机构的验证，因此经常被网络犯罪分子利用。因此，受感染设备的传出连接很可能是安装的恶意软件与其命令和控制基础设施通信，就像黑暗种族的旗帜下图：图3：可疑SSL上的暗色警报证书。图4： Antigena建议采取措施阻止问题。内部除了从被破坏的装置上观察到的异常外部活动之外，它也开始明显偏离其典型的内部行为模式。事实上，Darktrace检测到设备在两个关键端口上建立了超过160000个失败的内部连接：远程桌面协议端口3389和SMB端口445。这项活动被称为网络扫描，提供了关键的侦察，使攻击者能够洞察网络结构、每个设备上可用的服务以及任何潜在的漏洞。端口3389和445尤其常见目标。图5： Darktrace在每一步都跟踪勒索软件攻击，尽管安全团队没有在时间。那个与自签名SSL证书的异常外部连接，以及来自设备的高度异常的内部连接，会导致安提吉纳进一步升级。唉，攻击收益。黑暗种族在接下来的四天里，从零号病人身上没有检测到进一步的异常活动——也许这是一种保持警惕的机制。然而，这段休眠期结束了，再次，设备连接到一个罕见的域与自签名的SSL证书，可能会向其指挥和控制基础设施寻求更多说明。横向移动一天后-有迹象表明先前的扫描有点成果-受感染的设备执行了大量不寻常的SMB活动，这与恶意软件试图在网络上横向移动一致。Darktrace在被破坏的设备上检测到向远程管理工具PsExec发送异常的SMB写入到总共38个目标设备，其中28个设备受到恶意攻击档案。暗黑种族认识到这种活动对于特定的装置来说是非常不正常的，因为它通常不会以这种方式与这些目标设备通信。因此，Antigena会通过手术阻止远程给药行为，首先将患者零号装置控制在其正常的"生活模式"内，然后在横向运动持续的情况下，逐步升级至阻断设备的所有输出连接。安提吉纳的升级可以看到如下：第一个行动是在08:03采取的，第二个，在08:43采取更严厉的行动。图6:Darktrace以高度的信心反复警告不寻常的SMB流量-这归功于其对设备典型"生命模式"的不断了解。图7:Antigena再次建议立即干预，这一次来阻止侧翼移动加密暗道在另一台设备上观察到勒索软件最终目标的第一个迹象——加密文件，这台设备还执行了大量不寻常的SMB活动。在访问了大量以前没有访问过的SMB共享之后，它系统地将这些文件附加了.locked扩展名。当一切都说了，做了，这个加密活动是从不少于40个内部设备。输入在主动模式下，Antigena勒索软件块将完全隔离设备-从零号病人的最初感染到指挥和控制通信，这是越来越严重的反窃听行动的高潮，内部侦察，横向移动，最后是文件加密。图8： 安提吉纳勒索软件布洛克全副武装，准备反击感染。那个无聊的博客帖子没有其他的网络安全方法能够在勒索软件的整个生命周期中如此全面地跟踪它，例如，当编程遗留工具来标记所有远程管理行为时，安全团队就会收到成千上万的误报警报。因此，只有Darktrace对每一个受感染设备的"自我"的理解，才能揭示这些活动——在极少数情况下是这样的反常。数字9： 一个概述黑暗种族的无数警告在整个五天的攻击与每个彩色点代表一个高度的信心警惕。但是, 虽然追踪这个生命周期的结论可能很有趣，但是写不那么有趣的博客文章的技术已经存在并且已经被证明。自主响应将使这种威胁故事成为过去的遗迹，而对于拥有敏感数据和关键知识产权的组织来说，无聊的安全博客时代不会很快到来够了。到进一步了解自主响应如何阻止网络攻击，查看我们的白皮书：Autonomous Response:Threat Report 2019。Max HeinemeyerMax是一名网络安全专家，在该领域拥有超过9年的经验，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件