Зупинка загроз на їхньому шляху: пояснення останньої можливості реагування на NDR від Stellar Cyber
У сьогоднішньому сучасному SOC, швидкість має значення. Загрози швидко розвиваються, зловмисники рухаються ще швидше, і команди безпеки повинні мати змогу виявляти їх та реагувати до того, як буде завдано шкоди. Хоча традиційні Виявлення мережі та відповідь (NDR) Хоча Stellar Cyber зосереджується на виявленні підозрілої поведінки, вона йде ще далі, надаючи клієнтам можливість не лише виявляти, а й вживати заходів безпосередньо на рівні мережі, і все це з єдиної платформи без дорогих додаткових модулів чи ліцензій.
Одна потужна здатність, що дозволяє це зробити, це СКИДАННЯ TCP, легкий, але дуже ефективний метод як для миттєвого переривання поточних шкідливих мережевих сеансів, так і для запобігання встановленню майбутніх шкідливих сеансів. Для організацій, які прагнуть швидшого реагування та зменшення ризику без додаткового тягаря великих витрат, найновіша функція реагування на NDR від Stellar Cyber завдяки СКИДАННЯ TCP забезпечує значний вплив.
Що таке скидання TCP і чому це важливо?
У мережах TCP/IP, скидання TCP (TCP Reset) – це керуючий прапорець, який використовується для негайного завершення з'єднання. Коли пакет TCP RESET вводиться в активний сеанс, зв'язок між двома кінцевими точками миттєво припиняється, не чекаючи на звичайне завершення TCP. СКИДАННЯ TCP також може запобігти встановленню нових з'єднань під час початкового тристороннього рукостискання TCP-з'єднання.
В операціях безпеки ця проста дія має величезне значення. Якщо зловмисник:
- Ексфільтрація даних
- Проведення сеансу командування та управління (C2)
- Сканування внутрішніх ресурсів
- Спроба використати вразливість програми або пристрою
- Сервіси автентифікації методом повного перебору
Негайне скидання TCP дозволяє захиснику розірвати з'єднання до того, як станеться пошкодження, або запобігти встановленню майбутніх з'єднань, не покладаючись на складні або важкі мережеві засоби контролю.
Як Stellar Cyber реалізує скидання TCP
Зоряні кібер NDR Платформа контролює мережевий трафік у режимі реального часу та співвідносить поведінку з моделями виявлення загроз. Коли виявляється шкідливий або підозрілий сеанс, платформа може видати сигнал скидання TCP, щоб зупинити шкідливий потік.
Це робиться на датчику, де він може бачити TCP-з'єднання в режимі реального часу, без необхідності додаткового обладнання чи змін в існуючій інфраструктурі. Це бездоганно інтегрується в робочі процеси виявлення та розширює загальні можливості реагування організації.
Це дозволяє Stellar Cyber переривати шкідливі з'єднання, щойно виявляє загрозу.
Нижче наведено кілька випадків, коли швидке завершення TCP-з'єднання зменшує шкоду:
-
Приклад спроб експлойту з високонадійними сигнатурами:
Якщо Stellar Cyber виявляє явні сигнатури IDS/IPS для експлойтів протоколу, такі як HTTP-запит, що відповідає відомому експлойту віддаленого виконання коду, завершення з'єднання запобігає доставці корисного навантаження експлойту або проміжку виконання коду. -
Приклад підтверджених зворотних викликів командування та управління (C2):
Якщо Stellar Cyber виявляє невеликі, регулярні маячки на відомі шкідливі IP-адреси чи доменні імена, або на місце призначення, яке, як виявилося, є сервером C2, запобігання встановленню TCP-з'єднання порушує канал керування зловмисника. -
Приклад активного вилучення даних через TCP з відповідностю DLP:
Якщо відбувається передача файлів, де правила запобігання втраті даних (DLP) відповідають конфіденційним даним, що надсилаються на зовнішній хост, негайне завершення TCP-з’єднання обмежує втрату даних.
Ключові переваги для клієнтів Stellar Cyber
1. Вбудований - не прикручений
Stellar Cyber забезпечує повний спектр можливостей NDR безпосередньо всередині Open XDR платформа, що усуває потребу в ще одному окремому, дороговартісному продукті NDR. SOC Аналітики отримують розширене виявлення та реагування на мережу в рамках єдиного робочого процесу – без додаткових інструментів, без додаткового ліцензування, без накладних витрат на інтеграцію.
2. Де миттєве скидання TCP-адреси має вирішальне значення
Вбудоване скидання TCP забезпечує точне переривання саме тоді, коли контроль і час мають найбільше значення. Команди безпеки покладаються на нього для посилення своєї оборонної позиції в кількох критичних сценаріях:
-
Вилучення даних
Запобігання. Коли зловмисники намагаються перемістити конфіденційні дані — під час розсилки програм-вимагачів або цілеспрямованого шпигунства — кожна секунда має значення. Скидання TCP перериває сеанс посеред потоку, миттєво зупиняючи передачу, перш ніж будь-які дані покинуть периметр. -
Порушення системи командування та управління (C2)
Сучасні загрози залежать від інтерактивних каналів C2 для виконання, доставки корисного навантаження та горизонтального переміщення. Розриваючи це з'єднання, скидання TCP позбавляє зловмисників можливості діяти в режимі реального часу, даючи захисникам перевагу. -
Внутрішнє розвідувальне стримування
Такі дії на ранніх стадіях, як сканування або перерахування, можна непомітно перервати. Скидання TCP обмежує видимість зловмисника, не запускаючи ухилення від атак, дозволяючи аналітикам здійснювати моніторинг, не посилюючи загрозу. -
Автентифікація з обмеженням грубої сили
Велика кількість спроб входу свідчить про підробку облікових даних або перебір даних методом повного перебору. Замість того, щоб покладатися на статичні обмеження швидкості, TCP Reset динамічно завершує зловмисні сеанси в режимі реального часу. -
Захист від експлойтів нульового дня
Ще до появи патчів, спроби експлойтів виявляються через аномальні корисні навантаження або поведінку сканування. Скидання TCP дозволяє захисникам реагувати на поведінку, а не на сигнатури, миттєво перериваючи шкідливі сеанси. -
Зменшення внутрішніх загроз
Коли легітимний користувач або скомпрометований обліковий запис починає поводитися підозріло – передавати файли, зондувати обмежені зони або перехоплювати незвичайні моделі доступу – вбудоване порушення роботи забезпечує швидке та цілеспрямоване стримування без впливу на нормальну роботу.
3. Легка відповідь без впливу на мережу
4. Прискорений SOC Реагування та вища ефективність
- Автоматично запускати скидання для сповіщень з високою достовірністю
- Виконуйте ручне скидання налаштувань під час розслідувань, проведених аналітиками
- Включіть дію в Playbooks та Response Apps
5. Покращує існуючі засоби контролю безпеки
- Якщо зловмисник уникає EDR, TCP Reset все одно завершує його активний сеанс.
- Якщо брандмауер не може виявити поведінкові аномалії, аналітика NDR Stellar Cyber все одно може зупинити з’єднання.
6. Потужний інструмент для стримування інцидентів
- Зупинити підозрілі сесії або програми без ізоляції всього хоста
- Обмежте пересування зловмисника під час збору доказів
- Стримуйте загрози в реальному часі, не перериваючи бізнес-операції
«Скидання TCP – це лише початок. У Stellar Cyber ми продовжуємо розширювати можливості реагування в режимі реального часу, які надають захисникам хірургічний контроль над мережевим трафіком – без ускладнень. Очікуйте більше безагентних, високошвидкісних функцій реагування, які розширюють можливості» SOC команди діяти зі швидкістю машини, а не постфактум».
«Нам вдалося швидко реалізувати функцію реагування TCP RESET, оскільки NDR вбудовано в Stellar Cyber». XDR «платформа», – сказав Ейртон Коельо, технічний директор Future Technologies, – «і ми спостерігали негайне переривання спроб витоку даних та блокування сеансів командування та контролю (C2) у середовищах без EDR. Це дозволило нам стримувати передові та нульові загрози безпосередньо на мережевому рівні, без агентів на кінцевих точках, і все це за значно меншу вартість порівняно з використанням спеціалізованого інструменту NDR. Це неймовірна функція, оскільки вона пропонує рішення для швидкої зупинки загроз у критичних середовищах, таких як OT/ICS, які не мають EDR».
Висновок: Реакція зі швидкістю машини, яка зупиняє загрози на їхньому шляху
- Знизити ризик
- Покращте час відповіді
- підвищувати SOC ефективність
- Локалізація інцидентів без порушення роботи бізнесу
