top of page

IBM lancerer Open-Source Framework til “Threat detection & response”

Opdateret: 11. okt. 2023

IBM har introduceret en open source-ramme designet til at identificere og reagere på Managed File Transfer (MFT)-angreb, der hjælper sikkerhedsforsvarere med hurtigt at identificere sårbarheder i MFT-applikationer og udtænke en effektiv hændelsesrespons strategi.


IBM, Open Source, Threat Detectiom & Response, Managed File Transfer, MFT, Cyberangreb, IT-sikkerhed

Disse angreb er steget i de seneste år, da ondsindede grupper udnytter sikkerhedssvagheder i MFT-software, som organisationer bruger til at lette sikker fjernadgang til kritiske forretningsdokumenter. Som svar herpå har IBM-forskere omhyggeligt undersøgt 13 MFT-løsninger og skabt en omfattende ramme til at strømline opdagelsesprocessen og give forsvarere mulighed for at imødegå disse trusler mere effektivt.


IBM's Security X-Force Incident Response-team fremhævede de udfordringer, som sikkerhedsprofessionelle står over for på grund af omfattende arbejdsbyrder og begrænset tid til at undersøge forviklingerne af hver softwarekomponent i deres miljø. Typisk sker en sådan undersøgelse kun, efter at sårbarheder bliver offentlige, hvilket tvinger hold til hurtigt at forstå softwarenuancer, mens de kæmper mod tiden for at løse potentielle systembrud.


Offentligt tilgængeligt på GitHub


Den nye ramme er offentlig tilgængelig på GitHub og omfatter et udvalg af meget brugte og offentligt tilgængelige MFT-værktøjer, herunder Cerberus FTP Server, FileZilla, Cornerstone MFT, SolarWinds Serv-U og mere.


De seneste begivenheder understreger vigtigheden af ​​dette initiativ. I en nylig hændelse brugte en trusselgruppe en nul-dages SQL-injektionssårbarhed i MOVEit Transfer MFT-applikationen til at stjæle data fra virksomheder og afpresse penge fra dem. Denne gruppe havde tidligere målrettet Accellion File Transfer Appliance (FTA)-enheder i 2020 og 2021, såvel som Fortra/Linoma GoAnywhere MFT-servere i begyndelsen af ​​2023. Sådanne angreb har tiltrukket flere trusselsaktører, som det sås, da en anden gruppe udnyttede en deserialiseringsfejl i Aspera Faspex fildelingssoftware.


IBM-forskere udviklede MFT-angrebsdetektionsrammerne ved at oprette prøveinstanser, undersøge dokumentation og indsamle indsigt fra supportfora. Denne proces resulterede i kompilering af filstier, proces- og servicenavne, portnumre og andre attributter forbundet med forskellige MFT-værktøjer. Simulerede angrebshandlinger blev derefter udført, der efterlignede tidligere udnyttelsesscenarier i den virkelige verden. Målet var at identificere sammenhænge mellem disse handlinger og de resulterende data eller ændringer, der danner grundlaget for detektionsstrategier. Rammerne integrerer filaktivitet i realtid, netværksdata, procesdata og logposter med procedurer skitseret til at erhverve sådanne data.


Bemærkelsesværdigt fandt forskerholdet ud af, at disse MFT-værktøjer generelt delte det samme arkitektoniske grundlag, hvilket antyder, at detektions- og responstilgange kunne standardiseres på tværs af forskellige MFT-løsninger.


MFT-Detect-Response-ramme med Data & Playbook


Den resulterende MFT-Detect-Response-ramme består af flere komponenter. "MFTData" indeholder specifikke detaljer for hver applikation, såsom procesnavne, filplaceringer, konfigurationsmuligheder og mere. "MFTDetect" tilbyder scripts, der bruger MFTData til automatisk at generere detektionssignaturer, der er kompatible med almindelige hændelsesrespons- og detektionsværktøjer. "MFTRespond" omfatter scripts, der hjælper hændelsespersonale med at udtrække relevante data fra understøttede MFT'er i mistænkte kompromisscenarier. Endelig indeholder "MFTPlaybook" en skabelon til hændelsesrespons-playbooks centreret omkring MFT-software.


IBM's nye AI motor


IBM-forskere har også udviklet en AI-motor, der udnytter IBMs watsonx AI og dataplatform til at automatisere processen med at skabe detektionsløsninger, ikke kun til MFT-applikationer, men til forskellige softwaretyper. Denne motor gransker dokumentation, fora og systemdata for at lokalisere processer, der kræver overvågning, udarbejdelse af skræddersyede detektions- og respons-playbooks, mens den også beregner en risikoscore baseret på potentiel sandsynlighed for masseudnyttelse af angreb. Denne tilgang hjælper forsvarere med at prioritere aktiver baseret på deres tiltrækningskraft for angribere og potentielle indvirkning på organisationen.


I et landskab, hvor virksomheder implementerer adskillige forskellige softwareværktøjer, hjælper denne AI-drevne strategi sikkerhedsprofessionelle med at fokusere deres opmærksomhed, hvor det betyder mest for at beskytte deres systemer.

Comments


bottom of page