Threat Intelligence Exchange: de implementatie

Threat Intelligence Exchange: de implementatie

DearBytesBlogThreat Intelligence Exchange: de implementatie

woensdag 18 november 2015

Veel gevallen van infectie met malware en dan met name ransomware hebben met elkaar gemeen dat de oorspronkelijke infector niet werd opgepikt door antivirus. De reden daarvoor is gelegen in het feit dat distributeurs van malware geen standaard malware rondsturen, maar ieder sample een klein beetje aanpassen zodat het uniek is. Het is dus met klassieke antivirus niet mogelijk om te detecteren en daardoor wordt het steeds moeilijker om adequaat te beschermen tegen deze bedreigingen.

TIE/DXL

Intel is recent gekomen met Threat Intelligence Exchange (TIE) en Data Exchange Layer (DXL). Deze producten stellen in staat om reputatie informatie van bestanden bij te houden en te gebruiken om uw netwerk en endpoints te beschermen. Threat Intelligence Exchange is feitelijk de database met reputatie-informatie en DXL is de interface waarover deze reputatie informatie beschikbaar wordt gesteld en uitgewisseld tussen aangesloten systemen. Gebruik van TIE/DXL in combinatie met Advanced Threat Defense (ATD) stelt in staat om direct reputatie-informatie te genereren voor onbekende bestanden, waarmee de oplossing direct een stuk effectiever wordt. In feite beschikt u daarmee namelijk over een sandbox voor alle endpoints, waarin onbekende executables in near real-time kunnen worden getest.

Threat Intelligence ExchangeEen aantal belangrijke producten van Intel vindt al aansluiting op DXL en heeft daarmee toegang tot TIE of vormt daarop een toevoeging. Daaronder zijn Email Gateway, Web Gateway, NGFW (Stonesoft), Network Security Platform (NSP) en natuurlijk Virusscan Enterprise.

System Requirements

Maar hoe zit het eigenlijk met de implementatie van TIE/DXL? Als we ATD even buiten beschouwing laten en puur praktisch kijken naar TIE/DXL, hebben we het over één of meerdere virtual machines. De TIE/DXL Virtual Appliance is eigenlijk een linuxje met daarop de TIE/DXL software. De specificaties van de .ovf (Virtual Machine Image) zijn redelijk zwaar; 2 CPU’s met elk 4 cores, 16GB memory en 128GB disk. In een productie-omgeving is de aanbeveling om een tweetal TIE Servers neer te zetten, dus dat is de oplossing x2. Maar daar valt wel een en ander vanaf te snoepen, zoals ik onder “Installatie” zal uitleggen.

Natuurlijk is er ook de toevoeging van de TIE module for VSE, die op alle deelnemende (dus alle) clients moet worden geinstalleerd. Installatie daarvan komt de performance feitelijk ten goede, omdat het efficiënter is om een controle van TIE te doen dan een bestand inhoudelijk te scannen met VSE. Op endpoints is dus sprake van performance-WINST.

Installatie

De implementatie van Threat Intelligence Exchange vereist het gebruik van een relatief groot aantal ePO-extensions. Zo zijn er extensions voor de TIE Module voor VSE, de TIE Server, management van de DXL Broker, management van de DXL Client, et cetera. Daarnaast is een aantal client packages nodig in de Master Repository, voornamelijk de TIE module voor VSE, die ook direct kan worden uitgerold. Aanbevolen instellingen voor de policies zijn onder meer om in eerste instantie de TIE module voor VSE in Observe Mode te zetten en te blokkeren vanaf de Might Be Malicious bestandsreputatie. Alle overige instellingen, met name voor de DXL Clients en Brokers laten we standaard.

Zoals ik hierboven had vermeld hebben de TIE/DXL VM’s nogal zware specificaties. Dit lijkt zo te zijn om de snelheid erin te houden wanneer we een grote database hebben aangelegd. In het begin kan het best wat minder. Het is geen probleem om de specs terug te schroeven naar 2CPU’s met elk 2 cores, 8GB memory en de disk op basis van thin-provisioning toe te voegen (en dus geen kleinere disk toe te wijzen). Daarmee hebben we een goed werkbare situatie die klaar is voor uitbreiding.

Installatie van de TIE/DXL Virtual Machines is eenvoudig. Na installatie doorloopt u een setup waarin wat basisgegevens worden gevraagd, zoals de gegevens behorend bij de ePO Server en welke rollen de server moet vervullen (TIE Server en/of DXL Broker).

Uitrol van de TIE Module voor VSE zorgt ervoor dat hashes van alle bestanden aan de TIE Server worden aangeboden en de database wordt gevuld met bestandsinformatie. Dat kan wel even duren, het gaat om een hoop bestanden. Verstandig is om rekening te houden met ongeveer een week, waarna de meest gebruikte bestanden wel in TIE bekend zijn.

TIE Reputations

Het ePO console is uitgebreid met een tweetal categoriëen, namelijk TIE Reputations en Data Exchange Layer Fabric. De TIE Reputations categorie bevat, zoals je zou verwachten, de TIE bestandsreputaties en ziet er als volgt uit.

tie reputations

Er is sprake van een viertal reputaties waarvan de GTI- en Enterprise Reputations over het algemeen het belangrijkst zijn. De GTI reputatie wordt opgehaald door de TIE Server bij de GTI cloud van Intel Security. De Enterprise reputatie is de reputatie die u zelf kunt instellen en die alle andere reputaties overstijgt. U kunt bijvoorbeeld de reputatie van een bestand op Known Malicious zetten, waarbij het bestand op alle aangesloten systemen vrijwel direct wordt verwijderd (mits dit is ingesteld in de policy voor de TIE module). Enige voorzichtigheid is dus zeker wel geboden. Tenslotte zijn er nog de ATD- en MWG reputaties, respectievelijk afkomstig van ATD en McAfee Web Gateway.

Wanneer u een VirusTotal API key toevoegt aan de TIE Server Setting (Server Settings, Threat Intelligence Exchange Server) hebt u de mogelijkheid om direct de VirusTotal classificatie te bekijken voor een gegeven bestand. Een soort van alternatief voor een ATD appliance, maar dan handmatig en minder accuraat. Een VirusTotal API key is gratis maar u moet zich wel registreren bij VirusTotal. De informatie die u terug krijgt van VirusTotal op een bepaald bestand kan ook verouderd zijn, waardoor het nuttig is om bij twijfel het bestand opnnieuw bij VirusTotal ter analyse aan te bieden.

Per bestand wordt een grote hoeveelheid meta-informatie verzameld en inzichtelijk gemaakt, waarvan de belangrijkste zonder twijfel de ondertekening is. Ondertekening van een onbekend bestand met een vertrouwd certificaat geeft bijvoorbeeld aan dat het bestand, hoewel onbekend, Most Likely Trusted is.

Een andere handige functie is Where Has File Run, waarmee u direct inzicht krijgt in welke systemen het bestand in kwestie hebben uitgevoerd en bijvoorbeeld in aanmerking komen voor remediation.

Data Exchange Layer Fabric

De DXL Fabric categorie geeft snel een transparant aan welke DXL Brokers beschikbaar zijn. Er zijn diverse manieren om deze informatie weer te geven. Het is niet zo zeer praktisch toepasbaar bij dagelijks gebruik maar biedt wel direct en duidelijk inzicht in de beschikbaarheid van TIE/DXL.

DXL Fabric

Het is mogelijk om meerdere DXL Brokers te groeperen in een Hub. Daarmee functioneren ze als één unit.

Wel of geen ATD?

Tot zover dus een duidelijk verhaal. TIE is een van de beste manieren om te beschermen tegen onbekende malware in de aankomende tijd. TIE gaat verder waar signature-based antivirus ons in de steek heeft gelaten en biedt van nature een netwerk-brede dekking. Die dekking wordt verder vergroot wanneer u producten gebruikt die op DXL aansluiten. Maar wat is dan precies de toegevoegde waarde van ATD? Waarom zou u daar extra voor betalen?

Advanced Threat Defense 3000

De Advanced Threat Defense (ATD) appliance is van grote toegevoegde waarde, doordat die automatisch onbekende bestanden analyseert en een van die analyse een betrouwbaar resultaat produceert. Dit resultaat is reputatie-informatie en rapportage van wat het bestand in kwestie exact doet. U kunt dus, los van de reputatie, ook bekijken welke schade zou zijn aangericht als het bestand niet was tegengehouden. Niet alleen interessant, maar het helpt u ook inzicht te krijgen in wat er zoal op uw organisatie af komt.

De manier waarop TIE en ATD samenwerken is ongeveer als volgt. Regelmatig komt het voor dat een gebruiker een nieuw, onbekend bestand introduceert op het netwerk en dit bestand probeert uit te voeren. Het uitvoeren van dit bestand wordt tegengehouden (geblokkeerd) door de TIE Module, die op de achtergrond een hash van het bestand maakt en aanlevert bij TIE, met het verzoek om reputatie-informatie.

TIE Block Alert

Wanneer TIE het bestand niet kent, stelt TIE de vraag aan GTI (een beetje zoals recursive DNS). Wanneer GTI het bestand niet kent stuurt TIE het bestand door naar ATD, ter analyse. Na enige ogenblikken komt het resultaat terug en is reputatie informatie beschikbaar. Wanneer de gebruiker het bestand nu probeert uit te voeren wordt actie ondernomen op basis van de door ATD gegenereerde reputatie. Onbekende bestanden kunnen niet worden uitgevoerd voordat duidelijk is wat ze precies doen.

De toegevoegde waarde van ATD wordt dus al snel duidelijk. ATD doet volautomatisch wat beheerders anders handmatig moeten doen. Dit maakt het mogelijk om Unknown bestanden te blokkeren zonder zorg te hebben over de classificatie van die bestanden. Zonder ATD is het blokkeren van Unknown bestanden geen goed idee, er moet dan namelijk handmatig worden geanalyseerd. TIE is dan nog steeds effectief, maar brengt meer werk met zich mee en beschermt wat minder. Zonder ATD is het beter om te blokkeren op Might Be Malicious, zodat er enige overtuiging van kwaadaardigheid nodig is om een bestand te blokkeren.

De capaciteit van ATD is dusdanig dat het ingezet kan worden in grote netwerken of netwerken waarin veel nieuwe bestanden worden geïntroduceerd. Voor kleinere omgevingen bestaat de mogelijkheid om via DearBytes een koppeling te maken met ATD-in-the-Cloud. De beslissing om ATD toe te voegen kan ook worden uitgesteld: integratie van ATD op een later moment is zeker een mogelijkheid.