Het nut van Threat Intelligence (2)

Het nut van Threat Intelligence (2)

DearBytesBlogHet nut van Threat Intelligence (2)

woensdag 16 december 2015

In deel 1 van deze serie is besproken wat het grote probleem is bij het beschermen tegen malware, namelijk de enorme hoeveelheid unieke malware waartegen met signatures niet kan worden beschermd. Daarbij is TIE/DXL in hoofdlijnen als oplossing besproken. In dit deel wil ik ingaan op het nut van Threat Intelligence Exchange (TIE) in combinatie met Data Exchange Layer (DXL) en de TIE module voor VirusScan Enterprise. Dit is een minimale implementatie van de TIE/DXL technologie, maar biedt direct voordelen in de strijd tegen bijvoorbeeld ransomware.

Het uitwisselen van dreigingsinformatie is essentieel voor het beschermen van uw omgeving. Waar dit voorheen op basis van signatures werd gedaan, biedt TIE/DXL u de mogelijkheid om meerdere informatiebronnen te ontsluiten, zodat in real-time kan worden vastgesteld of een bestand of certificaat kwaadaardig is.

Topologie

Data Exchange Layer (DXL) is eigenlijk een communicatiebus, vergelijkbaar met Message Queueing (MQ) of een peer-to-peer netwerk, dat wordt gebruikt voor het in real-time uitwisselen van dreigingsinformatie. Elk systeem dat is aangesloten (subscribed) op deze bus kan bedreigingsinformatie verzenden en/of ontvangen. De Threat Intelligence Exchange (TIE) Server geldt als lokale opslagplaats voor dit type informatie, maar ook als uitwissel- en distributiepunt voor dreigingsinformatie en stelt informatie in real-time beschikbaar aan subscribers.

DXL Topology

Threat Intelligence Exchange (TIE) is een (virtuele) server die u opneemt in het netwerk en beheert vanuit ePO. De TIE server kan worden gekoppeld aan verschillende diensten voor het ophalen van reputatie-informatie, bijvoorbeeld aan Global Threat Intelligence (GTI), Virustotal.com en de McAfee Advanced Threat Defense (ATD) appliance. Zelfs in minimale vorm is de TIE server al van grote toegevoegde waarde, omdat deze real-time bedreigingsinformatie over DXL transporteert aan systemen die dit ondersteunen.

TIE. DXL and VSE

TIE Module for VSE

De TIE module voor VirusScan Enterprise is erg licht in gewicht. De voornaamste functie is het onderbreken van het uitvoeren van een bestand om bij de TIE Server te controleren of reputatie informatie beschikbaar is. De toegevoegde waarde van TIE/DXL is eenvoudig te illustreren aan de hand van een voorbeeld.

Een client waarop VSE en de TIE module geinstalleerd staan, poogt een executable te starten waarvan VirusScan Enterprise niet kan zeggen dat het malware is. Het eerste dat gebeurt is dat de TIE module voor VSE bij TIE controleert of de hash van deze executable bekend is, door deze hash over DXL met de TIE server te communiceren. Als de TIE server geen record heeft voor de betreffende hash, gebruikt het de diverse bronnen die daarvoor zijn geconfigureerd, zoals GTI maar ook VirusTotal en een slimme set van TIE regels, die aan de hand van omstandigheden helpen vaststellen of het sample mogelijk malicious is of niet. De informatie die daar uit komt is bepalend voor de vervolgactie.

Een andere factor die van belang is voor de vervolgactie is het beleid dat is geconfigureerd voor de betreffende client. Er kan onderscheid worden gemaakt tussen High-change, Low-change en Typical workstations, waarmee wordt bepaald wat het beleid is voor onbekende bestanden op verschillende typen systemen. Voor High-change workstations geldt een soepeler beleid dan voor Low-change workstations. Typical systemen zijn het meest gangbaar en stelt de bulk van systemen voor. Instelbaar is ook of een onbekend of mogelijk kwaadaardig bestand automatisch moet worden geblokkeerd, of dat de gebruiker de keus heeft om uitvoering alsnog toe te staan.

TIE Block Alert

Wanneer de reputatie van een bestand niet bekend is kan worden ingesteld dat het bestand niet mag worden uitgevoerd totdat reputatie informatie bekend is. In combinatie met McAfee Advanced Threat Defense (ATD) kan worden vereist dat het onbekende bestand eerst wordt geanalyseerd in een sandbox, waarbij het bestand wordt geblokkeerd tot is vastgesteld en teruggekoppeld aan TIE dat het bestand veilig is. Daarna zullen alle pogingen om het bestand uit te voeren worden toegestaan.

In het volgende blog ga ik dieper in op de praktische werking van TIE/DXL door te kijken naar rapportagemogelijkheden.