Technologia decepcji i Splunk: siła dwukierunkowej integracji Labyrinth i Splunk

Dość często, chcąc przyspieszyć proces wdrażania swojego systemu bezpieczeństwa infrastruktury, firmy mogą pokusić się o rozpoczęcie wdrażania SIEM jako jego fundamentu, bez wcześniej opracowanej taktyki i strategii jego wykorzystania. Pomimo początkowej oszczędności czasu, takie podejście szybko zamienia każdy nowoczesny SIEM w ogromny zrzut plików dziennika, z których dane po prostu zapychają macierze dyskowe.

 

Innym typowym przypadkiem jest sytuacja, w której firma starannie dobiera typy źródeł danych i liczbę plików dziennika, ale spędza dużo czasu na opracowywaniu znacznej liczby różnych reguł korelacji, które mogą nadmiernie skomplikować system i prowadzić do generowania niepotrzebnych typów zdarzeń.

 

Co łączy oba te przykłady? Brak precyzyjnego sformułowania wstępnej hipotezy/pytania skierowanego do danych w plikach logów. Przykłady takich pytań to: „Jaka jest najbardziej optymalna lokalizacja wabików sieciowych w infrastrukturze? Na których hostach atakujący prawdopodobnie otworzy wabiki plikowe? Jakie przynęty usług mogą zwabić atakującego do segmentu sieci ze  standardowymi usługami sieciowymi?”

 

Dzięki Splunk, analityk IT może szybko zidentyfikować segmenty sieci, w których incydenty występowały najczęściej i na podstawie tych danych wypełnić wolny zakres adresów IP tych podsieci wabikami sieciowymi. Jeżeli w infrastrukturze znajdują się segmenty z usługami tego samego typu, ustawienie różnych typów usług wabiących zwiększy szanse na wykrycie atakującego na etapie badania sieci. Dlatego wabiki plikowe powinny być umieszczane na hostach z największą liczbą połączeń sieciowych i operacji na plikach.

 

Jednak i tu pojawia się trudność – większość zdarzeń w plikach dziennika jedynie pośrednio wskazuje na anomalie związane z bezpieczeństwem. Natomiast alert z systemu Labyrinth Deception informuje o incydencie wymagającym uwagi analityka ds. bezpieczeństwa infrastruktury.

 

Aby zwiększyć pokrycie infrastruktury systemem Labyrinth Deception, konieczne jest pełne wykorzystanie możliwości wabików plikowych. Aby to zrobić, konieczne jest zachowanie ich spójności i śledzenie wykorzystania przez atakującego informacji zawartych w plikach wabików.

 

Nasi klienci często łączą Splunk Alerts, Labyrinth Alerts i inne źródła zdarzeń bezpieczeństwa, takie jak wyzwalacze w systemach IPS lub EDR. W tym przypadku informacje z systemu decepcji dodają więcej kontekstu do Splunk Alerts.

 

Jednocześnie, dzięki dwukierunkowej integracji Labyrinth ze Splunk, wszystkie alarmy systemu decepcji są wzbogacone o informacje o atakującym hoście uzyskane od Splunk na podstawie adresu IP atakującego. Dzięki temu mechanizm ten kilkukrotnie przyspiesza przeglądanie alertów przez operatora systemu Labyrinth.

 

Konfiguracja dwukierunkowej integracji ze Splunk odbywa się w sekcji Settings -> Integrations -> Splunk i zajmuje nie więcej niż kilka minut.
 

Podstawą sprawnie funkcjonującego systemu bezpieczeństwa są więc przede wszystkim jasno określone cele i przemyślane planowanie. Z kolei Labyrinth wykryje wszystkie złośliwe działania w sieci, zapewniając kompleksowe pokrycie wszystkich możliwych wektorów ataku.

 

Treść oryginalnego artykułu: Deceptive security and Splunk: the power of Labyrinth & Splunk two-way integration | Labyrinth