95% van inligtingsekuriteitsbedreigings is bekend, en jy kan jouself daarteen beskerm deur tradisionele middele soos antivirusse, firewalls, IDS, WAF te gebruik. Die oorblywende 5% van dreigemente is onbekend en die gevaarlikste. Hulle maak 70% van die risiko vir die maatskappy uit omdat dit baie moeilik is om hulle op te spoor en selfs meer om daarteen te beskerm. Voorbeelde is epidemies van WannaCry, NotPetya/ExPetr ransomware, cryptominers, Stuxnet "cyber weapon" (wat Iran se kernfasiliteite getref het) en baie (onthou iemand anders Kido/Conficker?) ander aanvalle waarteen klassieke verdediging nie baie goed is om te verdedig nie. Ons wil praat oor hoe om hierdie 5% bedreigings teë te werk deur gebruik te maak van Threat Hunting-tegnologie.
Die voortdurende evolusie van kuberaanvalle vereis konstante opsporing en teenmaatreëls, wat ons uiteindelik laat dink aan 'n eindelose wapenwedloop tussen aanvallers en verdedigers. Klassieke sekuriteitstelsels is nie meer in staat om 'n aanvaarbare vlak van sekuriteit te verskaf nie, waarteen die vlak van risiko nie die maatskappy se sleutelaanwysers (ekonomies, polities, reputasie) beïnvloed sonder hul wysiging vir 'n spesifieke infrastruktuur nie, maar oor die algemeen dek dit deel van die risiko's. Reeds in die proses van implementering en konfigurasie is moderne beskermingstelsels in die rol van inhaal en moet reageer op die uitdagings van die nuwe tyd.
Threat Hunting-tegnologie kan vir 'n inligtingsekuriteitspesialis een van die antwoorde op die uitdagings van ons tyd wees. Die term Threat Hunting (hierna na verwys as TH) het etlike jare gelede verskyn. Die tegnologie self is nogal interessant, maar het nog nie enige algemeen aanvaarde standaarde en reëls nie. Wat sake ook kompliseer is die heterogeniteit van inligtingsbronne en die klein aantal Russiestalige inligtingsbronne oor hierdie onderwerp. In hierdie verband het ons by LANIT-Integrasie besluit om 'n resensie oor hierdie tegnologie te skryf.
aktualiteit
TH-tegnologie maak staat op infrastruktuurmoniteringsprosesse.. Waarskuwing (volgens tipe MSSP-diens) is 'n tradisionele metode, soek na voorheen ontwikkelde handtekeninge en tekens van aanvalle en reageer daarop. Hierdie scenario word suksesvol uitgevoer deur tradisionele handtekeninggebaseerde beskermingsinstrumente. Jag (MDR-tipe diens) is 'n moniteringsmetode wat die vraag "Waar kom die handtekeninge en reëls vandaan?" beantwoord. Dit is die proses om korrelasiereëls te skep deur verborge of voorheen onbekende aanwysers en tekens van 'n aanval te ontleed. Dit is tot hierdie tipe monitering wat bedreigingjag behoort.
Dit is slegs deur beide tipes monitering te kombineer dat ons naby ideale beskerming kom, maar daar is altyd 'n mate van oorblywende risiko.
Beskerming met behulp van twee tipes monitering
En hier is hoekom TH (en jag in die algemeen!) meer en meer relevant sal word:
Bedreigings, middele van beskerming, risiko's.
. Dit sluit tipes soos strooipos, DDoS, virusse, rootkits en ander klassieke wanware in. U kan uself teen hierdie bedreigings beskerm met dieselfde klassieke beskermingsmiddels.
Tydens enige projek, en die oorblywende 20% van die werk neem 80% van die tyd. Net so, onder die hele bedreigingslandskap, sal 5% van nuwe tipes bedreigings 70% van die risiko vir die maatskappy verteenwoordig. In 'n maatskappy waar inligtingsekuriteitbestuursprosesse georganiseer word, kan ons 30% van die risiko van bekende bedreigings op een of ander manier bestuur deur draadlose netwerke te vermy (in beginsel te verwerp), te aanvaar (die nodige sekuriteitsmaatreëls te implementeer) of te verskuif (byvoorbeeld , op die skouers van 'n integreerder) hierdie risiko. Beskerm jouself teen, APT-aanvalle, uitvissing,, kuberspioenasie en nasionale operasies, asook van 'n groot aantal ander aanvalle, is reeds baie moeiliker. Die gevolge van hierdie 5% dreigemente sal baie ernstiger wees () as die gevolge van strooipos of virusse waarvan antivirusprogrammatuur stoor.
Byna almal moet 5% van dreigemente hanteer. Onlangs moes ons een oopbron-oplossing installeer wat 'n toepassing van die PEAR (PHP Extension and Application Repository)-bewaarplek gebruik. 'n Poging om hierdie toepassing via peer-installasie te installeer, het misluk omdat nie beskikbaar was nie (nou het dit reeds 'n stompie), moes ek dit vanaf GitHub installeer. En onlangs het dit geblyk dat PEAR 'n slagoffer geword het.
Kan jy nog onthou, die NePetya ransomware-epidemie deur die opdateringsmodule van die belastingverslagsagteware. Bedreigings word al hoe meer gesofistikeerd, en die logiese vraag ontstaan - "Hoe kan jy nog hierdie 5%-dreigemente teëwerk?"
Definisie van Bedreigingsjag
Bedreigingjag is dus 'n proses van proaktiewe en iteratiewe soek en opsporing van gevorderde bedreigings wat nie deur tradisionele beskermingsmiddele opgespoor kan word nie. Gevorderde bedreigings sluit byvoorbeeld aanvalle soos APT, aanvalle op 0-dag kwesbaarhede, Living off the Land, ensovoorts in.
Dit kan ook geparafraseer word dat TH die proses is om hipoteses te toets. Dit is 'n oorwegend handmatige proses met elemente van outomatisering, waarin die ontleder, op grond van hul kennis en vaardighede, deur groot hoeveelhede inligting sif op soek na tekens van kompromie wat ooreenstem met die aanvanklik gedefinieerde hipotese oor die teenwoordigheid van 'n bepaalde bedreiging. 'n Kenmerkende kenmerk daarvan is die verskeidenheid van inligtingsbronne.
Daar moet kennis geneem word dat Threat Hunting nie 'n soort sagteware of hardeware produk is nie. Dit is nie waarskuwings wat in een of ander oplossing gesien kan word nie. Dit is nie 'n proses om na IOC's (Identifiers of Compromise) te soek nie. En dit is nie 'n soort passiewe aktiwiteit wat aangaan sonder die deelname van inligtingsekuriteitsontleders nie. Bedreigingjag is in die eerste plek 'n proses.
Komponente van bedreigingsjag
Drie hoofkomponente van Threat Hunting: data, tegnologie, mense.
Data (wat?), insluitend Big Data. Allerhande verkeersvloeie, inligting oor vorige APT's, ontledings, gebruikersaktiwiteitsdata, netwerkdata, inligting van werknemers, inligting op die donker web en nog baie meer.
Tegnologie (hoe?) verwerking van hierdie data - alle moontlike maniere om hierdie data te verwerk, insluitend Masjienleer.
Mense wat?) - diegene wat uitgebreide ondervinding het in die ontleding van verskeie aanvalle, ontwikkel intuïsie en die vermoë om 'n aanval op te spoor. Gewoonlik is dit inligtingsekuriteitsontleders wat hipoteses moet kan genereer en bevestiging daarvan moet vind. Hulle is die kern van die proses.
Model PARIS
Adam Bateman PARIS-model vir die ideale TH-proses. Die naam dui as 't ware op die beroemde landmerk van Frankryk. Hierdie model kan in twee rigtings bekyk word - van bo en onder.
In die proses om op dreigemente te soek en die model op te beweeg, sal ons te doen kry met baie bewyse van kwaadwillige aktiwiteite. Elke bewysstuk het 'n maatstaf wat sekerheid genoem word, 'n eienskap wat die gewig van daardie bewysstuk weerspieël. Daar is "yster", direkte bewyse van kwaadwillige aktiwiteite, waarvolgens ons dadelik die bopunt van die piramide kan bereik en 'n werklike waarskuwing oor 'n bekende infeksie kan skep. En daar is indirekte bewyse waarvan die som ons ook na die bopunt van die piramide kan lei. Soos altyd is daar baie meer indirekte bewyse as direkte bewyse, wat beteken dat dit gesorteer en ontleed moet word, bykomende navorsing moet uitgevoer word, en dit is wenslik om dit te outomatiseer.
PARIS model.
Die boonste deel van die model (1 en 2) is gebaseer op outomatiseringstegnologieë en 'n verskeidenheid van analise, en die onderste deel (3 en 4) is gebaseer op mense met sekere kwalifikasies wat die proses bestuur. U kan kyk na die model wat van bo na onder beweeg, waar ons aan die bokant van die blou kleur waarskuwings het van tradisionele beskermingsinstrumente (antivirus, EDR, firewall, handtekeninge) met 'n hoë mate van vertroue en vertroue, en onder die aanwysers ( IOC, URL, MD5 en ander), wat 'n laer mate van sekerheid het en verdere studie vereis. En die laagste en dikste vlak (4) is die generering van hipoteses, die skepping van nuwe scenario's vir die werking van tradisionele middele van beskerming. Hierdie vlak is nie beperk tot die aangeduide bronne van hipoteses nie. Hoe laer die vlak, hoe meer vereistes word aan die kwalifikasie van 'n ontleder gestel.
Dit is baie belangrik dat ontleders nie net 'n eindige stel voorafbepaalde hipoteses toets nie, maar voortdurend werk om nuwe hipoteses en opsies te genereer om dit te toets.
TH Gebruiksvolwassenheidmodel
In 'n ideale wêreld is TH 'n voortdurende proses. Maar, aangesien daar geen ideale wêreld is nie, laat ons analiseer en metodes in terme van mense, prosesse en tegnologieë wat gebruik word. Beskou die model van 'n ideale sferiese TH. Daar is 5 vlakke van die gebruik van hierdie tegnologie. Beskou hulle op die voorbeeld van die evolusie van 'n enkele span ontleders.
volwassenheidsvlakke
Mense
prosesse
Tegnologie
0 vlak
SOC Ontleders
24/7
Tradisionele instrumente:
Tradisionele
Waarskuwing gestel
Passiewe monitering
IDS, AV, Sandboxing,
Sonder TH
Werk met waarskuwings
handtekening analise gereedskap, Threat Intelligence data.
1 vlak
SOC Ontleders
Eenmalige TH
BDU
Eksperimenteel
Basiese kennis van forensika
IOC Soek
Gedeeltelike dekking van data vanaf netwerktoestelle
Eksperimente met TH
Goeie kennis van netwerke en toepassings
Gedeeltelike toepassing
2 vlak
Tydelike okkupasie
Naellope
BDU
Periodiek
Intermediêre kennis van forensiese
Week per maand
Volledige aansoek
Tydelike TH
Uitstekende kennis van netwerke en toepassings
Gereelde TH
Volle outomatisering van EDR-datagebruik
Gedeeltelike gebruik van gevorderde EDR-kenmerke
3 vlak
Toegewyde TH-opdrag
24/7
Gedeeltelike vermoë om TH-hipoteses te toets
Voorkomende
Uitstekende kennis van forensiese en wanware
Voorkomende TH
Volledige gebruik van gevorderde EDR-kenmerke
Spesiale gevalle TH
Uitstekende kennis van die aanvallende kant
Spesiale gevalle TH
Volledige dekking van data vanaf netwerktoestelle
Pasgemaakte konfigurasie
4 vlak
Toegewyde TH-opdrag
24/7
Volle vermoë om TH-hipoteses te toets
Voorste
Uitstekende kennis van forensiese en wanware
Voorkomende TH
Vlak 3 plus:
TH gebruik
Uitstekende kennis van die aanvallende kant
Verifikasie, outomatisering en verifikasie van TH-hipoteses
noue integrasie van databronne;
Navorsingsvermoë
ontwikkeling vir die behoeftes en nie-standaard gebruik van die API.
TH volwassenheidsvlakke deur mense, prosesse en tegnologieë
0-vlak: tradisioneel, sonder om TH te gebruik. Gewone ontleders werk met 'n standaardstel waarskuwings in passiewe moniteringmodus deur gebruik te maak van standaardgereedskap en -tegnologieë: IDS, AV, sandkaste, handtekeninganalise-instrumente.
1-vlak: eksperimentele, met behulp van TH. Dieselfde ontleders met basiese kennis van forensika en goeie kennis van netwerke en toepassings kan 'n eenmalige Bedreigingjag uitvoer deur na aanwysers van kompromie te soek. EDR's word by die gereedskap gevoeg met gedeeltelike dekking van data vanaf netwerktoestelle. Die gereedskap word gedeeltelik toegepas.
2-vlak: periodieke, tydelike TH. Dieselfde ontleders wat reeds hul kennis van forensiese ondersoeke, netwerke en toegepaste onderdele opgegradeer het, moet gereeld 'n week per maand aan (naelloop) dreigementjag deelneem. Die gereedskap word aangevul deur volledige verkenning van data vanaf netwerktoestelle, outomatisering van data-analise vanaf EDR, en gedeeltelike gebruik van gevorderde EDR-vermoëns.
3-vlak: voorkomende, gereelde gevalle van TH. Ons ontleders het hulself in 'n toegewyde span georganiseer, uitstekende kennis van forensika en wanware begin hê, sowel as kennis van die metodes en taktiek van die aanvallende kant. Die proses loop reeds 24/7. Die span is in staat om TH-hipoteses gedeeltelik te toets terwyl hulle die gevorderde vermoëns van EDR ten volle benut met volle dekking van data vanaf netwerktoestelle. Ontleders kan ook die gereedskap opstel om by hul behoeftes te pas.
4-vlak: hoë-end, die gebruik van TH. Dieselfde span het die vermoë verwerf om navorsing te doen, die vermoë om die proses van toetsing van hipoteses TH te genereer en te outomatiseer. Nou is gereedskap bygevoeg met noukeurige integrasie van databronne, sagteware-ontwikkeling vir behoeftes en nie-standaard gebruik van API's.
Bedreiging jag tegnieke
Basiese bedreigingjagtegnieke
К Die TH'e, in volgorde van tegnologie-volwassenheid, is: basiese soektog, statistiese analise, visualiseringstegnieke, eenvoudige samevoegings, masjienleer en Bayesiaanse metodes.
Die eenvoudigste metode, basiese soektog, word gebruik om die studieveld met behulp van sekere navrae te vernou. Statistiese analise word byvoorbeeld gebruik om 'n tipiese gebruiker- of netwerkaktiwiteit in die vorm van 'n statistiese model te bou. Visualiseringstegnieke word gebruik om die ontleding van data visueel te vertoon en te vereenvoudig in die vorm van grafieke en kaarte, wat dit baie makliker maak om patrone in die steekproef te vang. Die tegniek van eenvoudige samevoegings deur sleutelvelde word gebruik om soek en analise te optimaliseer. Hoe meer volwasse die TH-proses in 'n organisasie word, hoe meer relevant word die gebruik van masjienleeralgoritmes. Hulle word ook wyd gebruik in strooiposfiltrering, opsporing van kwaadwillige verkeer en bedrogopsporing. 'n Meer gevorderde tipe masjienleeralgoritmes is Bayesiaanse metodes, wat klassifikasie, steekproefgroottevermindering en onderwerpmodellering moontlik maak.
Diamantmodel en TH-strategieë
Sergio Caltagiron, Andrew Pendegast en Christopher Betz in hul werk "” het die belangrikste sleutelkomponente van enige kwaadwillige aktiwiteit en die basiese verband tussen hulle gewys.
Diamantmodel vir kwaadwillige aktiwiteite
Volgens hierdie model is daar 4 bedreigingjagstrategieë, wat op die ooreenstemmende sleutelkomponente gebaseer is.
1. Strategie gefokus op die slagoffer. Ons neem aan dat die slagoffer teenstanders het, en hulle sal "geleenthede" deur e-pos lewer. Ons is op soek na vyanddata in die pos. Soek vir skakels, aanhangsels, ens. Ons soek bevestiging van hierdie hipotese vir 'n sekere tydperk ('n maand, twee weke), indien nie gevind nie, dan het die hipotese nie gewerk nie.
2. Strategie gefokus op infrastruktuur. Daar is verskeie maniere om hierdie strategie te gebruik. Afhangende van toegang en sigbaarheid, is sommige makliker as ander. Ons monitor byvoorbeeld domeinnaambedieners wat bekend is dat hulle kwaadwillige domeine huisves. Of ons het 'n proses om alle nuwe domeinnaamregistrasies op te spoor vir 'n bekende patroon wat deur 'n teëstander gebruik word.
3. Geleentheidsgedrewe strategie. Benewens die slagoffer-gefokusde strategie wat deur die meeste aanlyn verdedigers gebruik word, is daar 'n vermoë-gefokusde strategie. Dit is die tweede gewildste en fokus daarop om geleenthede van die teenstander op te spoor, naamlik "wanware" en die moontlikheid dat die teenstander wettige gereedskap soos psexec, powershell, certutil en ander gebruik.
4. Strategie gefokus op die vyand. Die teëstander-gesentreerde benadering fokus op die teëstander self. Dit sluit in die gebruik van oop inligting uit publieke beskikbare bronne (OSINT), die versameling van data oor die vyand, sy tegnieke en metodes (TTP), die ontleding van vorige voorvalle, Bedreigingsintelligensie-data, ens.
Bronne van inligting en hipoteses in TH
Sommige bronne van inligting vir bedreigingjag
Daar kan baie bronne van inligting wees. Die ideale ontleder moet inligting kan onttrek uit alles wat rondom is. Tipiese bronne in byna enige infrastruktuur sal data van sekuriteitsinstrumente wees: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Tipiese bronne van inligting sal ook allerhande aanwysers van kompromie, bedreigingsintelligensiedienste, CERT- en OSINT-data wees. Boonop kan u inligting van die donkernet gebruik (byvoorbeeld, skielik is daar 'n bevel om die posbus van die hoof van die organisasie te hack, of 'n kandidaat vir die pos van 'n netwerkingenieur is uitgelig deur sy aktiwiteit), inligting ontvang van HR (resensies oor die kandidaat van 'n vorige pos), inligting van die sekuriteitsdiens (byvoorbeeld die resultate van 'n teenparty-tjek).
Maar voordat alle beskikbare bronne gebruik word, is dit nodig om ten minste een hipotese te hê.
Om hipoteses te toets, moet dit eers voorgehou word. En om baie kwalitatiewe hipoteses voor te stel, is dit nodig om 'n sistematiese benadering toe te pas. Die proses om hipoteses te genereer word in meer besonderhede beskryf in, is dit baie gerieflik om hierdie skema as basis te neem vir die proses om hipoteses voor te stel.
Die hoofbron van hipoteses sal wees ATT&CK-matriks (Teenstandige taktiek, tegnieke en algemene kennis). Dit is in werklikheid 'n kennisbasis en 'n model vir die evaluering van die gedrag van aanvallers wat hul aktiwiteite in die laaste stappe van 'n aanval implementeer, gewoonlik beskryf met behulp van die Kill Chain-konsep. Dit wil sê in die stadiums nadat die indringer die interne netwerk van die onderneming of 'n mobiele toestel binnegedring het. Aanvanklik het die kennisbasis 'n beskrywing ingesluit van 121 taktieke en tegnieke wat in die aanval gebruik is, wat elkeen in detail in die Wiki-formaat beskryf word. 'n Verskeidenheid van bedreigingsintelligensie-analise is goed geskik as 'n bron om hipoteses te genereer. Van besondere belang is die resultate van infrastruktuurontleding en penetrasietoetse – dit is die waardevolste data wat ysterhipoteses vir ons kan gee weens die feit dat hulle staatmaak op ’n spesifieke infrastruktuur met sy spesifieke tekortkominge.
Hipotese toetsproses
Sergey Soldatov gebring met 'n gedetailleerde beskrywing van die proses, illustreer dit die TH-hipotesetoetsproses in 'n enkele sisteem. Ek sal die hoofstadia met 'n kort beskrywing aandui.
Fase 1: TI Farm
Op hierdie stadium is dit nodig om te kies voorwerpe (deur hulle saam met alle bedreigingsdata te ontleed) en hulle te benoem met hul kenmerke. Dit is 'n lêer, URL, MD5, proses, nut, gebeurtenis. Deur hulle deur die bedreigingsintelligensiestelsels te gaan, moet jy etikette sit. Dit wil sê, hierdie webwerf is in so en so 'n jaar in CNC gesien, hierdie MD5 is geassosieer met sulke en sulke wanware, hierdie MD5 is afgelaai van 'n webwerf wat malware versprei het.
Fase 2: Gevalle
In die tweede stadium kyk ons na die interaksie tussen hierdie voorwerpe en identifiseer die verwantskappe tussen al hierdie voorwerpe. Ons kry gemerkte stelsels wat iets sleg doen.
Fase 3: Ontleder
Op die derde stadium word die saak oorgeplaas na 'n ervare ontleder met uitgebreide ervaring in ontleding, en hy maak 'n uitspraak. Dit ontleed na grepe wat, waar, hoe, hoekom en hoekom hierdie kode dit doen. Hierdie liggaam was wanware, hierdie rekenaar is besmet. Onthul verwantskappe tussen voorwerpe, kontroleer die resultate van hardloop deur die sandbox.
Die resultate van die ontleder se werk word verder oorgedra. Digital Forensics ondersoek die beelde, Malware Analysis ondersoek die "liggame" wat gevind is, en die Incident Response-span kan na die webwerf gaan en iets wat reeds daar is, ondersoek. Die resultaat van die werk sal 'n bevestigde hipotese, 'n geïdentifiseerde aanval en maniere wees om dit teë te werk.
Resultate van
Threat Hunting is 'n redelik jong tegnologie wat doeltreffend gepasmaakte, nuwe en nie-standaard bedreigings kan teenwerk, wat groot vooruitsigte het gegewe die groei in die aantal sulke bedreigings en die kompleksiteit van korporatiewe infrastruktuur. Dit vereis drie komponente - data, gereedskap en analise. Die voordele van bedreigingjag is nie beperk tot die voorkoming van bedreigings nie. Moenie vergeet dat ons in die soektog in ons infrastruktuur en sy swak punte duik deur die oë van 'n sekuriteitsontleder en ons kan hierdie plekke verder versterk.
Die eerste stappe wat, na ons mening, geneem moet word om die TH-proses in ons organisasie te begin.
- Sorg vir die beskerming van eindpunte en netwerkinfrastruktuur. Sorg vir sigbaarheid (NetFlow) en beheer (firewall, IDS, IPS, DLP) van alle prosesse in jou netwerk. Ken jou netwerk van die randrouter tot die heel laaste gasheer.
- Verken.
- Doen gereelde penetrasietoetsing van ten minste belangrike eksterne hulpbronne, ontleed die resultate daarvan, identifiseer die hoofteikens vir aanval en maak hul kwesbaarhede toe.
- Implementeer 'n oopbron Threat Intelligence-stelsel (byvoorbeeld MISP, Yeti) en ontleed logs saam daarmee.
- Implementeer Incident Response Platform (IRP): R-Vision IRP, The Hive, sandbox vir die ontleding van verdagte lêers (FortiSandbox, Cuckoo).
- Outomatiseer roetine prosesse. Loganalise, die skep van voorvalle, om personeel in te lig is 'n groot veld vir outomatisering.
- Leer hoe om effektief met ingenieurs, ontwikkelaars, tegniese ondersteuning te kommunikeer om saam te werk aan voorvalle.
- Dokumenteer die hele proses, sleutelpunte, resultate wat behaal is om later daarna terug te keer of hierdie data met kollegas te deel;
- Hou die sosiale kant in gedagte: Wees bewus van wat met jou werknemers gebeur, wie jy aanstel en wie jy toegang gee tot die inligtingsbronne van die organisasie.
- Bly op hoogte van neigings op die gebied van nuwe bedreigings en metodes van beskerming, verbeter jou vlak van tegniese geletterdheid (insluitend in die bedryf van IT-dienste en substelsels), woon konferensies by en kommunikeer met kollegas.
Gereed om die organisasie van die TH-proses in die kommentaar te bespreek.
Of kom werk saam met ons!
Bronne en materiaal vir studie
Bron: will.com