Threat Hunting, или как да се предпазите от 5% от заплахите

95% от заплахите за информационната сигурност са известни и можете да се защитите от тях, като използвате традиционни средства като антивируси, защитни стени, IDS, WAF. Останалите 5% от заплахите са неизвестни и най-опасните. Те съставляват 70% от риска за компанията, поради факта, че е много трудно да се открият и още повече да се предпазят от тях. Примери "черни лебеди" са епидемии от WannaCry, NotPetya/ExPetr рансъмуер, криптокопачи, Stuxnet „кибер оръжие“ (което удари ядрените съоръжения на Иран) и много (някой друг помни ли Kido/Conficker?) други атаки, срещу които класическата защита не е много добра. Искаме да говорим за това как да се противопоставим на тези 5% заплахи с помощта на технологията Threat Hunting.

Непрекъснатата еволюция на кибератаките изисква постоянно откриване и противодействие, което в крайна сметка ни навежда на мисълта за безкрайна надпревара във въоръжаването между нападатели и защитници. Класическите системи за сигурност вече не са в състояние да осигурят приемливо ниво на сигурност, при което нивото на риск не влияе върху ключовите показатели на компанията (икономически, политически, репутация) без тяхната модификация за конкретна инфраструктура, но като цяло покриват част от рисковете. Още в процес на внедряване и конфигуриране съвременните системи за защита са в ролята на догонващи и трябва да отговорят на предизвикателствата на новото време.

източник

Технологията Threat Hunting може да бъде един от отговорите на предизвикателствата на нашето време за специалист по информационна сигурност. Терминът Threat Hunting (наричан по-долу TH) се появи преди няколко години. Самата технология е доста интересна, но все още няма общоприети стандарти и правила. Също така усложнява нещата разнородността на източниците на информация и малкия брой рускоезични източници на информация по тази тема. В тази връзка ние от LANIT-Integration решихме да напишем преглед на тази технология.

актуалност

TH технологията разчита на процеси за наблюдение на инфраструктурата. Има два основни сценария за вътрешен мониторинг - предупреждение и преследване. Предупреждаването (по вид MSSP услуга) е традиционен метод, който търси предварително разработени сигнатури и признаци на атаки и отговаря на тях. Този сценарий се изпълнява успешно от традиционни инструменти за защита, базирани на подписи. Ловът (услуга тип MDR) е метод за наблюдение, който отговаря на въпроса „Откъде идват подписите и правилата?“. Това е процес на създаване на правила за корелация чрез анализиране на скрити или неизвестни преди това индикатори и признаци на атака. Именно към този тип мониторинг принадлежи Threat Hunting.

Само чрез комбиниране на двата вида мониторинг се доближаваме до идеалната защита, но винаги има известно ниво на остатъчен риск.

Защита чрез два вида мониторинг

И ето защо TH (и ловът като цяло!) ще стават все по-актуални:

Заплахи, средства за защита, рискове. източник

95% от всички заплахи вече са добре разбрани. Те включват такива видове като спам, DDoS, вируси, руткитове и друг класически зловреден софтуер. Можете да се защитите от тези заплахи със същите класически средства за защита.

По време на всеки проект 20% от времето се изразходва за извършване на 80% от работата, а останалите 20% от работата отнемат 80% от времето. По същия начин, в целия пейзаж на заплахите, 5% от новите видове заплахи биха представлявали 70% от риска за една компания. В компания, в която са организирани процеси за управление на сигурността на информацията, можем да управляваме 30% от риска от известни заплахи по един или друг начин чрез избягване (отхвърляне на безжичните мрежи по принцип), приемане (прилагане на необходимите мерки за сигурност) или изместване (напр. , върху раменете на интегратор) този риск. Защитете се от нулеви дни уязвимости, APT атаки, фишинг, атаки по веригата на доставки, кибершпионаж и национални операции, както и от голям брой други атаки, вече е много по-трудно. Последствията от тези 5% заплахи ще бъдат много по-сериозни (средният размер на банковите загуби от групировката buhtrap е 143 милиона), отколкото последствията от спам или вируси, от които антивирусният софтуер спасява.

Почти всеки трябва да се справя с 5% от заплахите. Наскоро трябваше да инсталираме едно решение с отворен код, което използва приложение от хранилището на PEAR (PHP Extension and Application Repository). Опитът за инсталиране на това приложение чрез pear install е неуспешен, защото уебсайт беше недостъпен (сега вече има мъниче), трябваше да го инсталирам от GitHub. И съвсем наскоро се оказа, че PEAR е станал жертва атаки по веригата на доставки.

Можете ли все още да си спомните атака с помощта на CCleaner, епидемията от рансъмуер NePetya чрез модула за актуализиране на софтуера за данъчно отчитане МЕДок. Заплахите стават все по-сложни и възниква логичният въпрос - „Как все още можете да противодействате на тези 5% заплахи?“

Определение за лов на заплахи

И така, Threat Hunting е процес на проактивно и итеративно търсене и откриване на напреднали заплахи, които не могат да бъдат открити с традиционни средства за защита. Разширените заплахи включват например атаки като APT, атаки срещу 0-дневни уязвимости, Living off the Land и т.н.

Може също да се перифразира, че TH е процес на тестване на хипотези. Това е предимно ръчен процес с елементи на автоматизация, при който анализаторът, разчитайки на своите знания и умения, пресява големи количества информация в търсене на признаци на компрометиране, които съответстват на първоначално дефинираната хипотеза за наличието на определена заплаха. Отличителна черта за него е разнообразието от източници на информация.

Трябва да се отбележи, че Threat Hunting не е някакъв софтуерен или хардуерен продукт. Това не са сигнали, които могат да се видят в някакво решение. Това не е процес на търсене на IOC (идентификатори на компромис). И това не е някаква пасивна дейност, която протича без участието на анализатори по информационна сигурност. Ловът на заплахи е преди всичко процес.

Компоненти на лов на заплахи

Три основни компонента на Threat Hunting: данни, технологии, хора.

Данни (какви?), включително Big Data. Всички видове потоци от трафик, информация за минали APT, анализи, данни за потребителската активност, мрежови данни, информация от служители, информация в тъмната мрежа и много други.

Технология (как?) обработка на тези данни - всички възможни начини за обработка на тези данни, включително машинно обучение.

Хора които?) - тези, които имат богат опит в анализирането на различни атаки, развита интуиция и способност за откриване на атака. Обикновено това са анализатори по информационна сигурност, които трябва да могат да генерират хипотези и да намират потвърждение за тях. Те са в основата на процеса.

Модел PARIS

Адам Бейтман описва Модел PARIS за идеалния TH процес. Името, така да се каже, намеква за известната забележителност на Франция. Този модел може да се гледа в две посоки - отгоре и отдолу.

В процеса на търсене на заплахи, преминавайки нагоре по модела, ще имаме работа с много доказателства за злонамерена дейност. Всяко доказателство има мярка, наречена сигурност, характеристика, която отразява тежестта на това доказателство. Има „желязо“, пряко доказателство за злонамерена дейност, според което можем незабавно да стигнем до върха на пирамидата и да създадем реално предупреждение за добре позната инфекция. Има и косвени доказателства, сборът от които също може да ни отведе до върха на пирамидата. Както винаги, косвените доказателства са много повече от преките, което означава, че те трябва да бъдат сортирани и анализирани, трябва да се направят допълнителни изследвания и е желателно това да се автоматизира.

Модел PARIS. източник

Горната част на модела (1 и 2) е базирана на технологии за автоматизация и разнообразие от анализи, а долната част (3 и 4) е базирана на хора с определена квалификация, които управляват процеса. Можете да разгледате модела, движейки се отгоре надолу, където в горната част на синия цвят имаме предупреждения от традиционни инструменти за защита (антивирус, EDR, защитна стена, подписи) с висока степен на увереност и доверие, а под индикаторите ( IOC, URL, MD5 и други), които имат по-ниска степен на сигурност и изискват допълнително проучване. А най-ниското и най-дебело ниво (4) е генерирането на хипотези, създаването на нови сценарии за действие на традиционните средства за защита. Това ниво не се ограничава до посочените източници на хипотези. Колкото по-ниско е нивото, толкова повече изисквания се поставят към квалификацията на анализатора.

Много е важно анализаторите да не тестват само краен набор от предварително дефинирани хипотези, а постоянно да работят за генериране на нови хипотези и опции за тяхното тестване.

Модел на зрялост на използване на TH

В един идеален свят TH е непрекъснат процес. Но тъй като няма идеален свят, нека анализираме модел на зрялост и методи по отношение на използваните хора, процеси и технологии. Разгледайте модела на идеална сферична TH. Има 5 нива на използване на тази технология. Разгледайте ги на примера на еволюцията на един екип от анализатори.

нива на зрялост
Хора
процеси
Технология

Ниво 0
SOC анализатори
24/7
Традиционни инструменти:

Традиционен
Сигналът е зададен
Пасивен мониторинг
IDS, AV, Sandboxing,

Без TH
Работа със сигнали

инструменти за анализ на подписи, данни за разузнаване на заплахи.

Ниво 1
SOC анализатори
Еднократно TH
EDR

Експериментално
Основни познания по криминалистика
МОК Търсене
Частично покритие на данни от мрежови устройства

Експерименти с TH
Добро познаване на мрежи и приложения

Частично приложение

Ниво 2
Временна заетост
Спринтове
EDR

Периодични
Средни познания по криминалистика
Седмица на месец
Пълно приложение

Временен TH
Отлично познаване на мрежи и приложения
Редовен TH
Пълна автоматизация на използването на EDR данни

Частично използване на разширени EDR функции

Ниво 3
Специална TH команда
24/7
Частична способност за тестване на TH хипотези

Превантивна
Отлични познания по криминалистика и зловреден софтуер
Превантивна ТХ
Пълно използване на разширени EDR функции

Специални случаи TH
Отлично познаване на атакуващата страна
Специални случаи TH
Пълно покритие на данни от мрежови устройства

Персонализирана конфигурация

Ниво 4
Специална TH команда
24/7
Пълна способност за тестване на TH хипотези

Водещ
Отлични познания по криминалистика и зловреден софтуер
Превантивна ТХ
Ниво 3 плюс:

Използване на TH
Отлично познаване на атакуващата страна
Проверка, автоматизация и проверка на хипотези на ТХ
тясна интеграция на източници на данни;

Изследователска способност

разработка за нуждите и нестандартното използване на API.

TH нива на зрялост по хора, процеси и технологии

Ниво 0: традиционен, без използване на TH. Обикновените анализатори работят със стандартен набор от предупреждения в режим на пасивен мониторинг, използвайки стандартни инструменти и технологии: IDS, AV, пясъчници, инструменти за анализ на подписи.

Ниво 1: експериментално, използвайки TH. Същите анализатори с основни познания по съдебна медицина и добри познания за мрежи и приложения могат да извършат еднократно търсене на заплахи чрез търсене на индикатори за компрометиране. EDRs се добавят към инструментите с частично покритие на данни от мрежови устройства. Инструментите са частично приложени.

Ниво 2: периодичен, временен TH. Същите анализатори, които вече са надградили знанията си по криминалистика, мрежи и приложни части, трябва редовно да участват (спринт) в лов на заплахи, да речем, една седмица в месеца. Инструментите се допълват от пълно изследване на данни от мрежови устройства, автоматизиране на анализа на данни от EDR и частично използване на разширени EDR възможности.

Ниво 3: превантивни, чести случаи на ТХ. Нашите анализатори се организираха в специален екип, започнаха да имат отлични познания по криминалистика и зловреден софтуер, както и познания за методите и тактиките на атакуващата страна. Процесът вече тече 24/7. Екипът е в състояние частично да тества TH хипотезите, докато използва напълно разширените възможности на EDR с пълно покритие на данни от мрежови устройства. Анализаторите също могат да конфигурират инструментите според нуждите си.

Ниво 4: висок клас, използването на TH. Същият екип придоби способността да изследва, способността да генерира и автоматизира процеса на тестване на хипотези TH. Сега са добавени инструменти с тясна интеграция на източници на данни, разработка на софтуер за нуждите и нестандартно използване на API.

Техники за лов на заплахи

Основни техники за лов на заплахи

К техници TH, по реда на технологичната зрялост, са: основно търсене, статистически анализ, техники за визуализация, прости агрегации, машинно обучение и байесови методи.

Най-простият метод, основното търсене, се използва за стесняване на областта на изследване с помощта на определени заявки. Статистическият анализ се използва например за изграждане на типична потребителска или мрежова дейност под формата на статистически модел. Техниките за визуализация се използват за визуално показване и опростяване на анализа на данните под формата на графики и диаграми, което прави много по-лесно улавянето на модели в извадката. Техниката на прости агрегирания по ключови полета се използва за оптимизиране на търсенето и анализа. Колкото по-зрял е процесът на TH в една организация, толкова по-подходящо става използването на алгоритми за машинно обучение. Те също се използват широко при филтриране на спам, откриване на злонамерен трафик и откриване на измами. По-усъвършенстван тип алгоритми за машинно обучение са байесовите методи, които позволяват класификация, намаляване на размера на извадката и моделиране на теми.

Диамантен модел и TH стратегии

Серхио Калтагирон, Андрю Пендегаст и Кристофър Бец в тяхната работа "Диамантеният модел за анализ на проникване” показа основните ключови компоненти на всяка злонамерена дейност и основната връзка между тях.

Диамантен модел за злонамерена дейност

Според този модел има 4 стратегии за лов на заплахи, които се основават на съответните ключови компоненти.

1. Стратегия, фокусирана върху жертвата. Предполагаме, че жертвата има противници и те ще предоставят „възможности“ чрез имейл. Търсим вражески данни по пощата. Търсете връзки, прикачени файлове и др. Търсим потвърждение на тази хипотеза за определен период (месец, две седмици), ако не се намери, значи хипотезата не е работила.

2. Стратегия, фокусирана върху инфраструктурата. Има няколко начина да използвате тази стратегия. В зависимост от достъпа и видимостта, някои са по-лесни от други. Например, ние наблюдаваме сървъри за имена на домейни, за които е известно, че хостват злонамерени домейни. Или имаме процес на проследяване на всички нови регистрации на име на домейн за известен модел, използван от противник.

3. Стратегия, водена от възможности. В допълнение към стратегията, фокусирана върху жертвите, използвана от повечето онлайн защитници, има стратегия, фокусирана върху способностите. Той е вторият по популярност и се фокусира върху откриването на възможности от противника, а именно „зловреден софтуер“ и възможността противникът да използва легитимни инструменти като psexec, powershell, certutil и други.

4. Стратегия, фокусирана върху врага. Подходът, ориентиран към противника, се фокусира върху самия противник. Това включва използването на отворена информация от публично достъпни източници (OSINT), събиране на данни за врага, неговите техники и методи (TTP), анализ на предишни инциденти, данни за разузнаване на заплахи и др.

Източници на информация и хипотези в TH

Някои източници на информация за Threat Hunting

Може да има много източници на информация. Идеалният анализатор трябва да може да извлича информация от всичко, което е наоколо. Типични източници в почти всяка инфраструктура ще бъдат данни от инструменти за сигурност: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Също така, типичните източници на информация ще бъдат всички видове индикатори за компрометиране, услуги за разузнаване на заплахи, CERT и OSINT данни. Освен това можете да използвате информация от тъмната мрежа (например внезапно има заповед за хакване на пощенската кутия на ръководителя на организацията или кандидат за позицията на мрежов инженер е подчертан от неговата дейност), информация, получена от HR (отзиви за кандидата от предишна работа), информация от службата за сигурност (например резултатите от проверка на контрагента).

Но преди да използваме всички налични източници, е необходимо да имаме поне една хипотеза.

източник

За да се проверят хипотезите, те трябва първо да бъдат изложени. И за да се изложат много качествени хипотези, е необходимо да се приложи системен подход. Процесът на генериране на хипотези е описан по-подробно в Статия, е много удобно да се вземе тази схема като основа за процеса на излагане на хипотези.

Основният източник на хипотези ще бъде ATT&CK матрица (Тактики, техники и общи познания за противопоставяне). Всъщност това е база от знания и модел за оценка на поведението на нападателите, които изпълняват своите дейности в последните стъпки на атака, обикновено описвани с помощта на концепцията Kill Chain. Тоест на етапите, след като нарушителят проникне във вътрешната мрежа на предприятието или мобилно устройство. Първоначално базата от знания включва описание на 121 тактики и техники, използвани в атаката, всяка от които е описана подробно във формат Wiki. Различни анализи на Threat Intelligence са много подходящи като източник за генериране на хипотези. Специално внимание заслужават резултатите от анализа на инфраструктурата и тестовете за проникване - това са най-ценните данни, които железните хипотези могат да ни дадат поради факта, че разчитат на конкретна инфраструктура с нейните специфични недостатъци.

Процес на тестване на хипотези

Сергей Солдатов донесе добра схема с подробно описание на процеса, той илюстрира процеса на тестване на TH хипотеза в една система. Ще посоча основните етапи с кратко описание.

източник

Етап 1: TI Farm

На този етап е необходимо да изберете обекти (като ги анализирате заедно с всички данни за заплахите) и ги етикетирате с техните характеристики. Това е файл, URL, MD5, процес, помощна програма, събитие. Прекарвайки ги през системите за разузнаване на заплахи, трябва да поставите етикети. Тоест, този сайт е бил видян в CNC през такава и такава година, този MD5 е бил свързан с такъв и такъв зловреден софтуер, този MD5 е бил изтеглен от сайт, който разпространява зловреден софтуер.

Етап 2: Случаи

На втория етап разглеждаме взаимодействието между тези обекти и идентифицираме връзките между всички тези обекти. Получаваме маркирани системи, които правят нещо лошо.

Етап 3: Анализатор

На третия етап случаят се прехвърля на опитен анализатор с богат опит в анализа и той прави присъда. Той анализира до байтове какво, къде, как, защо и защо прави този код. Това тяло беше злонамерен софтуер, този компютър беше заразен. Разкрива връзките между обектите, проверява резултатите от преминаването през пясъчника.

Резултатите от работата на анализатора се предават по-нататък. Digital Forensics изследва изображенията, Malware Analysis изследва намерените „тела“, а екипът за реагиране при инциденти може да отиде на сайта и да проучи нещо, което вече е там. Резултатът от работата ще бъде потвърдена хипотеза, идентифицирана атака и начини за противодействие.

източник
 

Резултати от

Threat Hunting е сравнително млада технология, която може ефективно да се противопостави на персонализирани, нови и нестандартни заплахи, което има големи перспективи предвид нарастването на броя на такива заплахи и сложността на корпоративната инфраструктура. Изисква три компонента - данни, инструменти и анализи. Ползите от Threat Hunting не се ограничават до предотвратяването на заплахи. Не забравяйте, че в процеса на търсене ние се потапяме в нашата инфраструктура и нейните слаби места през погледа на анализатор по сигурността и можем допълнително да укрепим тези места.

Първите стъпки, които според нас трябва да бъдат предприети, за да стартираме TH процеса в нашата организация.

1. Погрижете се за защитата на крайните точки и мрежовата инфраструктура. Погрижете се за видимостта (NetFlow) и контрола (защитна стена, IDS, IPS, DLP) на всички процеси във вашата мрежа. Познайте вашата мрежа от крайния рутер до последния хост.
2. Изследвайте MITER ATT&CK.
3. Провеждайте редовно тестове за проникване на поне ключови външни ресурси, анализирайте резултатите от тях, идентифицирайте основните цели за атака и затваряйте техните уязвимости.
4. Внедрете система за разузнаване на заплахи с отворен код (например MISP, Yeti) и анализирайте регистрационни файлове заедно с нея.
5. Внедряване на платформа за реагиране при инциденти (IRP): R-Vision IRP, The Hive, пясъчна среда за анализиране на подозрителни файлове (FortiSandbox, Cuckoo).
6. Автоматизирайте рутинните процеси. Анализът на регистрационните файлове, създаването на инциденти, информирането на персонала е огромно поле за автоматизация.
7. Научете как да взаимодействате ефективно с инженери, разработчици, техническа поддръжка, за да работите заедно при инциденти.
8. Документирайте целия процес, ключови точки, постигнати резултати, за да се върнете към тях по-късно или да споделите тези данни с колеги;
9. Имайте предвид социалната страна: Бъдете наясно какво се случва с вашите служители, кого наемате и на кого давате достъп до информационните ресурси на организацията.
10. Бъдете в крак с тенденциите в областта на новите заплахи и методи за защита, подобрявайте нивото си на техническа грамотност (включително в работата на ИТ услуги и подсистеми), посещавайте конференции и общувайте с колеги.

Готови сте да обсъдите организацията на процеса на TH в коментарите.

Или елате да работите с нас!

• Водещ IS консултант
• Архитект на системи за информационна сигурност
• Водещ инженер по мрежова сигурност
• Водещ инженер по информационна сигурност (SIEM)
• Архитект по информационна сигурност (приложен)

Източници и материали за изследване

• traffichunter.guru
• attack.mitre.org
• digital-forensics.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.com
• www.anti-malware.com
• reply-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

Източник: www.habr.com