Detecção de ataques à cadeia de fornecimento de software
A sua organização desenvolve software e é responsável pela caça de ameaças dentro dele. Tomou conhecimento da frequência crescente de ataques à cadeia de fornecimento de software que ameaçam os seus códigos-fonte, processos de construção e mecanismos de atualização ao infectar aplicações legítimas para distribuir malware. Detectar estes ataques, no entanto, não é fácil — a sua organização utiliza uma vasta gama de software, serviços, infra-estruturas e pessoas no desenvolvimento do seu software, dificultando a aplicação de técnicas de detecção entre eles. Está a par da metodologia de código aberto JA3 que permite criar um hash MD5 de valores específicos encontrados no processo de handshake SSL/TLS. Também sabe que tanto os JA3 como os JA3s são facilmente obtidos a partir do tráfego de rede utilizando várias ferramentas. Pretende utilizar os hashes JA3/s como um ponto de dados de alta fidelidade para aproximar a atividade anómala da linha da frente.
Dados requeridos
Como utilizar o software Splunk para este caso de utilização
Dependendo do seu ambiente, poderá ser útil identificar alguns ou todos os seguintes:
- Visão geral do hash JA3/JA3s
- Hashes Ja3/Ja3s vistos pela primeira vez
- Combinações de hash e servidor Ja3s mais raras
- Cálculo de probabilidade de anomalias com hashes JA3/JA3s
- Criação de tabela de pesquisa para detecção de anomalias escalável com hashes JA3/JA3s
- Windows processo e correlação de hash Ja3s
Próximos passos
É altamente provável que, ao utilizar estas pesquisas, se possa detetar actividade anómala através de hashes JA3/s anormais. No entanto, uma série de fatores que podem afetar o sucesso. Por conseguinte, estas pesquisas são mais eficazmente executadas nas seguintes circunstâncias:
- com uma lista de autorizações que limita o número de falsos positivos percebidos.
- contra conectividade de rede que não esteja encriptada através de SSL/TLS.
- com sistemas anfitriões internos ou netblocks que têm conectividade de saída limitada como cliente. Nenhuma das pesquisas funcionará efetivamente contra hosts de origem interna usados para navegação geral na web ou hosts que rotineiramente chegam a uma infinidade de serviços externos através de sessões SSL/TLS.
- em redes sem intercepção ou inspecção SSL/TLS. Isto porque as intercepções SSL/TLS mostram características diferentes do servidor externo real para o cliente que faz o pedido.
O conteúdo deste guia provém de blog publicado anteriormente , um dos milhares de recursos do Splunk disponíveis para ajudar os utilizadores a terem sucesso. Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização: