Exploring VirusTotal for security operations alert triage automation
Kantola, Teemu (2022)
Kantola, Teemu
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202202182650
https://urn.fi/URN:NBN:fi:amk-202202182650
Tiivistelmä
Nykypäivän tietoturvavalvomot joutuvat vastaanottamaan yhä enemmän ja enemmän tietoturvahälytyksiä. Hälytysten ensikäsittelystä vastaavat usein vasta-alkaneet tietoturva-analyytikot. Ensikäsittely vaatii nopeasti ja toistuvasti samojen tehtävien suorittamista, mikä tekee työstä stressaavaa ja monotoonista. Tämä johtaa siihen, että tietoturva-analyytikoiden vaihtuvuus valvomoissa on hyvin yleistä. Ratkaisuna tähän on ehdotettu ensikäsittelyn automatisointia.
Opinnäytetyön toimeksiantajana oli Nixu Oyj. Työn tavoitteena oli tutkia, kuinka VirusTotal-verkkopalvelua voisi hyödyntää tietoturvahälytysten ensikäsittelyn automatisoinnissa Security Orchestration, Automation, and Response (SOAR) -alustalla. Ratkaisuna kehitettiin suunnitelma SOAR-automaatiosta, jonka tarkoituksena on korvata tietoturva-analyytikoiden manuaalista työtä ensikäsittelyvaiheessa, vähentää tietoturvapoikkeamien hallinnan vasteaikaa, ja parantaa kykyä tunnistaa uhkia. Tavoitetta lähestyttiin menetelmällä, jossa SOAR-automaatio suunniteltiin fiktiivisen tietoturvahälytyksen ensikäsittelyn pohjalta.
Suunniteltu automaatio rikastaa tietoturvahälytyksiin liittyviä uhkaindikaattoreita VirusTotal-verkkopalvelusta saatavilla tiedoilla, jonka jälkeen analysoi rikastetun datan. Uhkaindikaattoreille asetetaan analyysin perusteella arvo, mikä kertoo, kuinka todennäköisesti se liittyy haitalliseen toimintaan. Analyysien tulokset esitetään tietoturva-analyytikoille selkokielellä. SOAR hakee mahdollisesti haitalliseen toimintaan liittyvät uhkaindikaattorit automaattisesti asiakkaan verkkoympäristöstä, ja näitä löytäessään ehdottaa tietoturva-analyytikolle hälytyksen eskalointia tietoturvapoikkeaman hallintaan.
Suunnitellun automaation toimivuutta arvioitiin kyselyn avulla. Vastaajat olivat sitä mieltä, että ratkaisulla on mahdollista korvata tietoturva-analyytikon manuaalinen tiedonkeruu VirusTotal-palvelusta ensikäsittelyvaiheessa. Vastaajat ajattelivat ratkaisun vähentävän tietoturvapoikkeamien reagointiin kuluvaa aikaa sekä parantavan uhkientunnistuskykyä. Kyselyn tulosten perusteella järjestelmän käyttöönotto toisi huomattavaa lisäarvoa tilaajan tietoturvavalvomolle. Security operations centres (SOC) of today must deal with an ever-increasing number of security alerts. Junior security analysts are often first in line to triage security alerts. Alert triage often requires performing similar tasks quickly and repeatedly, which makes the job stressful and monotonous. This results in high turnover rate in SOCs. One solution to mitigate this issue is to increase automation in this process.
Thesis was assigned by Nixu Oyj. The objective of the thesis was to examine how VirusTotal service can be used as a part of Security Orchestration, Automation, and Response (SOAR) platform’s alert triage automation workflow. The requirements for the solution were that it reduces manual tasks security analysts must perform when triaging alerts and improve both incident response times and threat recognition accuracy. The objective was approached using a constructive method. A fictitious security alert was first triaged manually, and this was then used as basis for designing a workflow for SOAR to automate the same process.
The proposed SOAR automation first enriches indicators of compromise (IOC) associated with a security alert with data provided by VirusTotal. The enriched data is then analysed to assign a reputation value to the IOCs. The analysis results are presented to security analysts in a concise human-readable way. IOCs determined to be likely related to malicious activity are automatically searched from customer environment, and if any are found, SOAR suggests incident response escalation to security analysts.
The proposed automation was evaluated using a survey. The respondents found that it has potential to take over their task of gathering and analysing information from VirusTotal during alert triage, and it would have a positive effect in incident response times and their ability to recognise threats. Based on the survey, the automation workflow would add noticeable benefits to the assignor’s SOC when implemented.
Opinnäytetyön toimeksiantajana oli Nixu Oyj. Työn tavoitteena oli tutkia, kuinka VirusTotal-verkkopalvelua voisi hyödyntää tietoturvahälytysten ensikäsittelyn automatisoinnissa Security Orchestration, Automation, and Response (SOAR) -alustalla. Ratkaisuna kehitettiin suunnitelma SOAR-automaatiosta, jonka tarkoituksena on korvata tietoturva-analyytikoiden manuaalista työtä ensikäsittelyvaiheessa, vähentää tietoturvapoikkeamien hallinnan vasteaikaa, ja parantaa kykyä tunnistaa uhkia. Tavoitetta lähestyttiin menetelmällä, jossa SOAR-automaatio suunniteltiin fiktiivisen tietoturvahälytyksen ensikäsittelyn pohjalta.
Suunniteltu automaatio rikastaa tietoturvahälytyksiin liittyviä uhkaindikaattoreita VirusTotal-verkkopalvelusta saatavilla tiedoilla, jonka jälkeen analysoi rikastetun datan. Uhkaindikaattoreille asetetaan analyysin perusteella arvo, mikä kertoo, kuinka todennäköisesti se liittyy haitalliseen toimintaan. Analyysien tulokset esitetään tietoturva-analyytikoille selkokielellä. SOAR hakee mahdollisesti haitalliseen toimintaan liittyvät uhkaindikaattorit automaattisesti asiakkaan verkkoympäristöstä, ja näitä löytäessään ehdottaa tietoturva-analyytikolle hälytyksen eskalointia tietoturvapoikkeaman hallintaan.
Suunnitellun automaation toimivuutta arvioitiin kyselyn avulla. Vastaajat olivat sitä mieltä, että ratkaisulla on mahdollista korvata tietoturva-analyytikon manuaalinen tiedonkeruu VirusTotal-palvelusta ensikäsittelyvaiheessa. Vastaajat ajattelivat ratkaisun vähentävän tietoturvapoikkeamien reagointiin kuluvaa aikaa sekä parantavan uhkientunnistuskykyä. Kyselyn tulosten perusteella järjestelmän käyttöönotto toisi huomattavaa lisäarvoa tilaajan tietoturvavalvomolle.
Thesis was assigned by Nixu Oyj. The objective of the thesis was to examine how VirusTotal service can be used as a part of Security Orchestration, Automation, and Response (SOAR) platform’s alert triage automation workflow. The requirements for the solution were that it reduces manual tasks security analysts must perform when triaging alerts and improve both incident response times and threat recognition accuracy. The objective was approached using a constructive method. A fictitious security alert was first triaged manually, and this was then used as basis for designing a workflow for SOAR to automate the same process.
The proposed SOAR automation first enriches indicators of compromise (IOC) associated with a security alert with data provided by VirusTotal. The enriched data is then analysed to assign a reputation value to the IOCs. The analysis results are presented to security analysts in a concise human-readable way. IOCs determined to be likely related to malicious activity are automatically searched from customer environment, and if any are found, SOAR suggests incident response escalation to security analysts.
The proposed automation was evaluated using a survey. The respondents found that it has potential to take over their task of gathering and analysing information from VirusTotal during alert triage, and it would have a positive effect in incident response times and their ability to recognise threats. Based on the survey, the automation workflow would add noticeable benefits to the assignor’s SOC when implemented.