SOC

RedEye by REDTEAM.PL

RedEye jest naszym autorskim oprogramowaniem typu IDS / NIDS wykorzystywanym do realizacji usługi threat huntingu. Pozwala na detekcję symptomów ataków, które nie są wykrywane przez inne oprogramowanie. Nie wymaga instalacji oraz uprawnień, a jedynie podłączenia do wewnętrznej sieci organizacji (LAN).

Wyślij zapytanie

Threat hunting, detekcja cyberataków

Tworząc RedEye wykorzystaliśmy nasze bogate doświadczenie i zaprojektowaliśmy mechanizmy, które są skrajnie trudne do ominięcia przez atakującego. Projektując warianty detekcji myśleliśmy jak zaawansowani atakujący, szukając możliwości wykrycia zarówno obecności systemu IDS jak i metod ominięcia jego mechanizmów wykrywania intruzów.

W wyszukiwaniu zagrożeń na wierzchołku szeroko uznanej tzw. piramidy bólu (ang. The Pyramid of Pain) znajdują się informacje w jaki sposób postępują atakujący (ang. TTPs) i z jakich narzędzi korzystają (ang. tools). To właśnie te informacje są najbardziej pożądanymi we threat huntingu, czyli proaktywnym wyszukiwaniu zagrożeń. Przede wszystkim tą wiedzę zaimplementowaliśmy w RedEye, dzięki czemu stworzyliśmy unikalne na rynku rozwiązanie do detekcji zaawansowanych ataków.

Detekcja cyberataków

Typowe produkty do wykrywania sieciowych ataków nasłuchują komunikacji, a do detekcji wykorzystują setki wcześniej zdefiniowanych reguł. Podstawową wadą takiego rozwiązania jest brak zrozumienia dla większości zgłaszanych ostrzeżeń. Liczne alerty pojawiają się niezależnie od tego czy atak ma miejsce czy też nie. W ten sposób pomimo posiadania systemów bezpieczeństwa atak często pozostaje niezauważony, gdyż nie jest dostrzegany w gąszczu setek ostrzeżeń, które pojawiają się stale w produkcyjnym środowisku.

W detekcji aktywnego ataku nie chodzi o to aby wykryć każdy krok atakującego, ale aby wykryć kluczowe etapy ataku, bez których realizacja udanego ataku jest niemożliwa. Istotne jest również aby ostrzeżenia wyświetlały się jedynie w przypadku gdy rzeczywiście atak ma miejsce, a ilość błędnych alertów powinna być jak najbliższa zeru. W przeciwnym przypadku nawet jeśli system wykryje atak to informacja ta może być zbagatelizowana.

Wyszukiwanie zagrożeń

Oprogramowanie RedEye stworzone przez firmę RED TEAM posiada szereg unikalnych reguł detekcji, które zostały przygotowane na bazie wieloletniego doświadczenia zarówno w ofensywnym jak i defensywnym cyberbezpieczeństwie. Doświadczenie to poparte jest realnymi osiągnięciami takimi jak praca na wiodących technicznych stanowiskach w międzynarodowych przedsiębiorstwach, licznymi certyfikatami z zakresu technicznego cyberbezpieczeństwa i referencjami od znanych podmiotów oraz publikacjami naukowymi i uznanymi publicznie dostępnymi badaniami nad cyberbezpieczeństwem. Firma RED TEAM na co dzień zajmuje się świadczeniem usług takich jak testy penetracyjne oraz symulacje realnych scenariuszy ataków (red teaming). Posiadanie praktycznej wiedzy z zarówno realizacji ataków, jak i informatyki śledczej oraz analizy powłamaniowej pozwala na stworzenie najlepszych rozwiązań do ich detekcji.

Jednym z przykładowych wykrywanych ataków jest badWPAD, którego implementacja na szeroką skalę atakowała od 10 lat miliony komputerów na całym świecie, w tym również z Polski. Atak ten został wykryty przez firmę RED TEAM w maju 2019 roku, za co otrzymaliśmy podziękowania od europejskich narodowych zespołów reagowania na incydenty, wliczając w to CERT Polska, CERT Estonii oraz CERT Łotwy. Badanie to zostało także wyróżnione w SANS Daily Network Security Podcast (Stormcast). Pomimo ataku trwającego wiele lat nie udało się go wcześniej wykryć przy pomocy dziesiątek tysięcy popularnych reguł do analizy bezpieczeństwa ruchu sieciowego. W wykrywaniu adwersarzy nie liczy się ilość, a jakość metod detekcji, która wynika bezpośrednio z doświadczenia i szerokich technicznych kompetencji zespołu tworzącego RedEye.

Monitorowanie środowiska IT

RedEye tak samo jak i threat hunting (proaktywne wyszukiwanie zagrożeń) nie jest samodzielnym produktem, a jedynie narzędziem pracy w rękach specjalisty. Usługa threat huntingu realizowana przy pomocy wewnętrznego oprogramowania RedEye wymaga stałego wglądu w jego dane przez zespół realizujący usługę wyszukiwania zagrożeń. Jedynym autoryzowanym zespołem jest SOC firmy ForSec w ramach świadczenia wspólnej usługi SOC-as-a-Service.

RedEye to coś więcej niżeli typowy NIDS / IDS, nasze narzędzie wykracza poza ramy podobnego oprogramowania z uwagi na różnego rodzaju detekcję potencjalnie szkodliwych urządzeń i oprogramowania, które aktywne jest w sieci wewnętrznej (LAN). Jego działanie wykracza również poza możliwości klasycznych IDS typu Snort, Suricata, Bro (Zeek) i podobnych mechanizmów. Pomimo, iż oprogramowanie nie jest IPS to w sposób aktywny odpowiada na wybrane pakiety, aby wykluczyć możliwość błędów typu false-positive.

RedEye Case Study (anti-anti-sandbox)

Codziennie firmy antywirusowe w zautomatyzowany sposób na masową skalę uruchamiają każde podejrzane oprogramowanie w środowiskach sandbox, których celem jest wykrycie złośliwego działania. Jeśli przykładowo ransomware zaczyna szyfrować dane na dysku to tworzona jest sygnatura, która ostatecznie umieszczana jest w bazie reguł oprogramowania antywirusowego. Złośliwe oprogramowanie aby zabezpieczyć się przeciwko takim automatycznym środowiskom detekcji posiada zaimplementowane mechanizmy anti-sandbox. Celem tych mechanizmów jest wykrycie, czy złośliwe oprogramowanie nie zostało uruchomione w środowisku sandbox. Jeśli środowisko sandbox zostanie wykryte, to oprogramowanie nie zostanie aktywowane i nie wykona żadnego złośliwego działania.

Oprogramowanie RedEye implementuje szereg autorskich pomysłów, a jednym z nich jest detekcja mechanizmów anti-sandbox oraz próba oszukania złośliwego oprogramowania, iż zostało uruchomione w środowisku sandbox. Takie podejście pozwala nie tylko wykryć zarażony komputer, ale również zablokować atak ransomware, który może polegać przykładowo na zaszyfrowaniu danych na dysku. Złośliwe oprogramowanie nie zostanie aktywowane w wyniku zadziałania mechanizmu anti-sandbox, którego to celem jest uniknięcie detekcji przez zautomatyzowane środowiska przeznaczone do analizy malware.

Jest to tylko jeden z przykładów unikalnych metod detekcji, które zaimplementowane są w RedEye. Z uwagi na tajemnicę handlową nie udostępniamy szczegółowych informacji o innych wykorzystywanych metodach wykrywania cyberzagrożeń.

Copyright © 2017-2020 REDTEAM.PL All Rights Reserved