Proaktywna inżynieria detekcji: możliwości platformy Censys

Reguły stosowane w globalnych platformach bezpieczeństwa często różnią się od rzeczywistych potrzeb konkretnej organizacji. Dostawcy muszą zachować równowagę między szerokim pokryciem zagrożeń a ograniczaniem liczby fałszywych alarmów. Zbyt wąskie ustawienia mogą przeoczyć ukierunkowany atak, natomiast zbyt szerokie generują ogromną liczbę zdarzeń, przeciążając systemy SIEM i zespoły analityczne. Dodatkowym problemem pozostaje ograniczona transparentność dostawców, którzy rzadko ujawniają pełny zakres pokrycia swoich mechanizmów detekcji. W efekcie organizacje coraz częściej samodzielnie rozwijają logikę Detection Engineering, dostosowaną do własnej infrastruktury oraz specyfiki zagrożeń.

Oczekiwanie na moment wykonania złośliwego kodu na stacji końcowej bardzo często oznacza reakcję podjętą zbyt późno. Nowoczesna inżynieria detekcji koncentruje się na identyfikowaniu zagrożeń już na wczesnych etapach aktywności atakującego — w systemach zarządzania tożsamością, zapytaniach DNS, ruchu proxy, środowiskach chmurowych oraz publicznie dostępnej infrastrukturze internetowej. Platforma Censys umożliwia wykrywanie infrastruktury wykorzystywanej przez cyberprzestępców jeszcze przed jej kontaktem z siecią organizacji. Integracja tych danych z procesami operacyjnymi pozwala przekształcać pojedyncze wskaźniki, takie jak adresy IP czy nieznane certyfikaty, w trwałe i wiarygodne mechanizmy detekcji.

Aby skutecznie skalować reguły detekcji, platforma Censys udostępnia specjalistom szereg zaawansowanych funkcji analitycznych. Mechanizm Pivot umożliwia wykorzystanie pojedynczej domeny lub wskaźnika z logów do identyfikacji powiązanych certyfikatów, charakterystycznych fingerprintów usług oraz zależności między domenami i hostami. Z kolei funkcja Live Rescan pozwala szybko zweryfikować, czy dana infrastruktura pozostaje aktywna, ograniczając ryzyko budowania reguł detekcji na nieaktualnych danych. Dodatkowo mechanizm Collections zapewnia ciągły monitoring zmian infrastrukturalnych, automatyzując śledzenie aktywów wykorzystywanych przez cyberprzestępców i dostarczając analitykom SOC gotowe strumienie danych do dalszej analizy.

Różnicę pomiędzy prostym blokowaniem pojedynczych wskaźników a rzeczywistą inżynierią detekcji dobrze pokazuje kampania phishingowa Adversary-in-the-Middle (AiTM) OLUOMO. Zamiast ograniczyć się do zablokowania jednej zidentyfikowanej domeny, badacze przeanalizowali pełny wzorzec działania atakujących. Umożliwiło to wykrycie charakterystycznych nagłówków HTML, specyficznych zmiennych CSS wykorzystywanych przez portal bezpiecznych dokumentów, kluczy przechowywania danych oraz infrastruktury proxy opartej na Azure Web Apps. Zbudowanie reguły detekcji na bazie tych artefaktów pozwoliło platformie Censys zidentyfikować nie pojedynczą domenę, lecz aż 999 unikalnych zasobów webowych działających według tego samego schematu. To właśnie odróżnia krótkotrwałe blokowanie wskaźników od budowy trwałej i skalowalnej logiki detekcji.

Analityka oraz telemetria zewnętrzna powinny trafiać bezpośrednio do środowisk, w których zespoły bezpieczeństwa podejmują codzienne decyzje operacyjne. W systemach SIEM tworzone są reguły korelacyjne sprawdzające, czy wewnętrzna telemetria komunikuje się z adresami IP powiązanymi ze złośliwą infrastrukturą. Platformy SOAR umożliwiają automatyczne wzbogacanie kontekstu alertów — system może samodzielnie weryfikować historyczne wpisy DNS lub powiązania adresów URL z rozpoznaną infrastrukturą C2. Z kolei rozwiązania klasy Threat Intelligence pozwalają budować listy obserwacyjne obejmujące charakterystyczne ścieżki skryptów, artefakty tekstowe oraz inne elementy identyfikujące aktywność przeciwnika.

Najskuteczniejsze mechanizmy detekcji nie opierają się na blokowaniu pojedynczych wskaźników, lecz na budowie modeli analitycznych zdolnych do szybkiego rozpoznawania oznak działania wrogiej infrastruktury. Współczesna inżynieria detekcji zakłada tworzenie świadomej i dopasowanej do organizacji strategii ochrony, w której wysokiej jakości dane wywiadowcze przekształcają pojedyncze wskaźniki w trwałe i skalowalne mechanizmy obrony.

iIT Distribution, jako Value Added Distributor (VAD) rozwiązań Censys, zapewnia eksperckie wsparcie na każdym etapie rozwoju bezpieczeństwa infrastrukturalnego przedsiębiorstw. Zespół iITD oferuje konsultacje techniczne, wsparcie w projektowaniu procesów bezpieczeństwa oraz kompleksową realizację projektów, pomagając organizacjom zwiększać efektywność działań SOC i wdrażać nowoczesne praktyki cyberbezpieczeństwa.