Präambel
Stellen Sie sich vor, Sie sind ein Entwickler von Endpunktartefakten. Nachdem Sie sich die Mühe gemacht haben, den Schutz vor herkömmlichen Shellcode-Injektionen oder Ransomware-Innovationen zu gewährleisten, woher wissen Sie, dass es tatsächlich funktioniert, bevor Sie es in die Welt hinausschicken?
Zuerst richten Sie Ihr End-to-End-System ein, was die Einrichtung mehrerer Dienste, die Infrastruktur, die Netzwerkkonfiguration und vieles mehr umfasst. Dann führen Sie Malware aus. Die von Ihnen gesammelten Daten beantworten Fragen zur Leistung und Wirksamkeit und können in Zukunft eine wichtige Forschungsressource sein. Nachdem Sie einen Tag lang getestet und Ihre Ergebnisse gesammelt haben, möchten Sie möglicherweise mehrere hundert Hashes über mehrere Arten von Betriebssystemen und Computertypen ausführen, was eine entmutigende Aufgabe ist, wenn sie vollständig manuell durchgeführt wird.
Um diesen Prozess zu automatisieren und unsere Schutzmaßnahmen in großem Maßstab zu testen, haben wir Detonate entwickelt, ein System, das von Sicherheitsforschungsingenieuren verwendet wird, um die Wirksamkeit unserer Elastic Security-Lösung automatisiert zu messen. Unser Ziel ist es, dass Sicherheitsforscher mit nur wenigen Klicks unseren Schutz vor Malware testen können. (Also: klick, klick... Bumm!)
In dieser Reihe von Beiträgen werden wir: - Detonate vorstellen und warum wir es entwickelt haben - Untersuchen, wie Detonate funktioniert und welche Details zur technischen Implementierung es gibt - Fallstudien beschreiben, wie unsere Teams es bei Elastic einsetzen - Besprechen, wie wir unsere Wirksamkeitstests für die Community öffnen, um der Welt zu helfen, ihre Daten vor Angriffen zu schützen
Interessiert an anderen Beiträgen zu Detonate? Schauen Sie sich Teil 2 - Into The Weeds: How We Run Detonate an, in dem wir die Funktionsweise von Detonate aufschlüsseln und tiefer in die technische Umsetzung eintauchen.
Was ist Detonate?
Auf hoher Ebene führt Detonate Malware und andere potenziell bösartige Software in einer kontrollierten (d. h. Sandbox-) Umgebung aus, in der die gesamte Suite der Elastic Security-Funktionen aktiviert ist. Detonate akzeptiert einen Datei-Hash (in der Regel einen SHA256) und führt die folgenden Aktionen aus:
- Bereitet alle Dateien vor, die für die Detonation benötigt werden, einschließlich der bösartigen Datei
- Stellt eine Instanz einer virtuellen Maschine (VM) in einer Sandbox-Umgebung mit eingeschränkter Konnektivität zur Außenwelt bereit
- Wartet, bis die Dateiausführung abgeschlossen ist. Dies ist z. B. der Fall, wenn eine Ausführungsergebnisdatei gefunden wird oder die VM-Instanz gestoppt oder älter als ein Aufgaben-Timeout ist
- Stoppt die ausgeführte VM-Instanz (falls erforderlich) und bereinigt die Sandbox-Umgebung
- Generiert eine Ereigniszusammenfassung auf der Grundlage von Telemetriedaten und Warnungen, die während der Detonation erzeugt werden
Die Ergebnisse dieser Detonationen werden dem Team zu Forschungs- und Entwicklungszwecken zur Verfügung gestellt. Durch die Nachbearbeitung der Protokolle, Ereignisse und Warnungen, die während der Detonation gesammelt wurden, können wir sie mit Informationen von Drittanbietern und anderen Quellen anreichern, um die Wirksamkeit neuer und vorhandener Schutzfunktionen von Elastic Security zu bewerten.
Womit hilft es uns?
Messung der Wirksamkeit
Um das beste EPP auf dem Markt zu entwickeln, müssen wir die Wirksamkeit unseres Produkts gegen die neuesten Bedrohungen kontinuierlich messen. Detonate wird verwendet, um jeden Monat viele zehntausend Proben aus unseren Datenfeeds auszuführen. Lücken in der Abdeckung werden automatisch identifiziert und verwendet, um Verbesserungen unseres Schutzes zu priorisieren.
Unterstützung bestehender Schutzmaßnahmen
Viele unserer Schutzmaßnahmen verfügen über zugeordnete Artefakte (z. B. Machine Learning-Modelle und Regeldefinitionen), die regelmäßig aktualisiert werden. Diese Updates müssen getestet werden, um sicherzustellen, dass wir Regressionen identifizieren und beheben, bevor sie in der Umgebung eines Benutzers landen.
Detonate bietet ein Framework und eine Suite von Tools zur Automatisierung der Analyse, die mit diesem Testprozess verbunden ist. Durch die Nutzung eines Korpus von Hashes mit bekannter guter und schlechter Software können wir unsere Schutzmaßnahmen validieren, bevor sie für Benutzer bereitgestellt werden.
Bedrohungsforschung
Einige unserer Sicherheitsforscher durchsuchen das Internet täglich nach neuen und aufkommenden Bedrohungen. Indem wir ihnen eine benutzerfreundliche Plattform zur Verfügung stellen, um bösartige Software zu testen, die sie in freier Wildbahn finden, können wir besser verstehen, wie Elastic Security sich gegen diese Bedrohungen verteidigt oder ob wir unsere Schutzmaßnahmen aktualisieren müssen.
Evaluierung neuer Schutzmaßnahmen
Neben dem Testen bestehender Schutzmaßnahmen besteht bei neuen Schutzmaßnahmen das Risiko nachteiliger Wechselwirkungen mit unserer bestehenden Suite mehrschichtiger Funktionen. Ein neuer Schutz kann leicht allein getestet werden, aber Tests können unbeabsichtigte Wechselwirkungen oder Konflikte mit vorhandenen Schutzmaßnahmen verbergen. Detonate bietet uns die Möglichkeit, die Konfiguration des Elastic Stack und individuelle Schutzmaßnahmen anzupassen, um solche Konflikte zu einem früheren Zeitpunkt in der Entwicklung leichter zu finden und zu identifizieren.
Was kommt als Nächstes?
In dieser Veröffentlichung haben wir Detonate vorgestellt und wofür wir es bei Elastic verwenden. Wir haben die Vorteile erörtert, die es unserem Team bietet, wenn wir die Leistung unserer Sicherheitsartefakte bewerten.
Jetzt, da du weißt, was es ist, werden wir dir erklären, wie Detonate funktioniert. In unserem nächsten Beitrag werden wir tiefer in die technische Implementierung von Detonate eintauchen und wie wir in der Lage sind, diese Sandbox-Umgebung in der Praxis zu erstellen.