Het nut van Threat Intelligence (1)

Het nut van Threat Intelligence (1)

DearBytesBlogHet nut van Threat Intelligence (1)

woensdag 23 september 2015

ransomware groei 2015 grafiekIn het niet al te verre verleden bestond goede endpoint beveiliging uit een anti-virus client met een dagelijkse definitie update. Daarmee werden systemen beschermd tegen het leeuwendeel van de bedreigingen. De hoeveelheid nieuwe bedreigingen was goed te overzien, bescherming was binnen redelijke tijd voorhanden. Het gat tussen signalering van nieuwe bedreigingen in het veld en beschikbaarheid van bescherming tegen die bedreigingen op het endpoint was niet zo groot. In de laatste paar jaar is dat landschap totaal veranderd. Niet alleen is het aantal bedreigingen exponentieel toegenomen, ook de impact van infectie is groter. Op dit moment is sprake van ongeveer 6 nieuwe bedreigingen per seconde, waarbij het veelal gaat om ransomware, met name CTB-locker. Andere malware is over het geheel genomen veel stiller en poogt niet gedetecteerd te worden, met als doel om informatie te stelen.

Er wordt gebruik gemaakt van standaard malware, in combinatie met polymorphic engines. Een standaard stuk malware wordt door een engine gehaald, wat resulteert in duizenden unieke samples met exact dezelfde werking. Omdat elk van deze samples een uniek signature heeft en doorgaans eenmalig wordt gebruikt, is het onmogelijk om deze samples op een betrouwbare manier te detecteren met een signature-gebaseerde engine. Bovendien worden veel samples maar heel kort gebruikt en heeft het geen zin om deze op te nemen in een signature update.

Daardoor is klassieke anti-virus software onvoldoende effectief en is een alternatief nodig om de dreiging van unieke zero-day samples het hoofd te bieden.

Een ander punt waarop winst kan worden behaald zou zijn dat verschillende oplossingen met elkaar communiceren en bedreigingsinformatie (Indicators of Compromise of IOC’s) uitwisselen. Wanneer een stuk malware wordt gedetecteerd op één systeem en alle overige systemen direct op de hoogte worden gebracht, kan uitvoering van deze malware worden voorkomen.

Tenslotte is het belangrijk om inzicht te hebben in het verloop van een malware infectie, zodat duidelijk is wie er als eerst werd geïnfecteerd (patient zero) en welke systemen daarna zijn gecompromitteerd.

Threat Intelligence Exchange

Intel Security komt daarom met Threat Intelligence Exchange (TIE) en Data Exchange Layer (DXL). In gewone mensentaal is Threat Intelligence Exchange de Joint Threat Intelligence oplossing die alle bronnen van Threat Intelligence samenbrengt en reputatie-informatie uit al deze bronnen beschikbaar stelt over DXL. Daarbij is DXL de snelweg waarover de uitwisseling van bedreigingsinformatie real-time plaatsvindt. Dit maakt het mogelijk dat alle aangesloten producten beschikken over de laatste bedreigingsinformatie waardoor u beter beschermd bent.

TIE/DXL zal van grote waarde blijken in de strijd tegen zero-day malware omdat het oplossingen met elkaar verbindt. Hoewel TIE/DXL eenvoudig kan worden geimplementeerd en direct van toegevoegde waarde is, neemt de waarde van TIE exponentieel toe wanneer meer producten erop aansluiten. Het is de bedoeling om vrijwel alle producten van Intel Security -maar ook producten van andere vendoren- over DXL op TIE aan te sluiten. Daardoor ontstaat een totaaloplossing die mogelijk multi-vendor is, maar als geheel functioneert om malware te stoppen.

Een aantal vlaggeschip producten van Intel Security maakt reeds gebruik van TIE/DXL, waaronder Web Gateway, Email Gateway, Network Security Platform en VirusScan Enterprise. Elk van deze oplossingen ziet bestanden passeren en kan over DXL communiceren met TIE om een reputatie te achterhalen of te laten genereren. Op basis van de real-time reputatie-informatie kan een item worden geblokkeerd en verwijderd.

Om reputatie-informatie te genereren voor een sample is analyse nodig. Optioneel maar bijzonder interessant is Advanced Threat Defense (ATD), de sandbox oplossing van Intel Security. ATD vergroot de effectiviteit van TIE/DXL, door onbekende bestanden real-time te analyseren in een sandbox en een reputatie toe te kennen op basis van het gedrag van het sample bij uitvoering.

In de volgende blog ga ik in op de waarde van TIE/DXL in combinatie met de TIE for VSE module op endpoints, een basis implementatie die direct van toegevoegde waarde is voor uw organisatie.