ProHoster > Блог > Administracija > Lov na prijetnje, ili Kako se zaštititi od 5% prijetnji

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnji

Poznato je 95% prijetnji sigurnosti informacija i od njih se možete zaštititi koristeći tradicionalna sredstva kao što su antivirusi, firewall, IDS, WAF. Preostalih 5% prijetnji su nepoznate i najopasnije. Oni predstavljaju 70% rizika za kompaniju zbog činjenice da ih je vrlo teško otkriti, a još više zaštititi od njih. Primjeri "crni labudovi" su epidemije WannaCry, NotPetya/ExPetr ransomwarea, kriptomajnera, Stuxnet “cyber oružja” (koje je pogodilo iranska nuklearna postrojenja) i mnogih (seća li se još neko Kido/Conficker?) drugih napada od kojih se klasična odbrana ne može dobro braniti. Želimo razgovarati o tome kako se suprotstaviti ovih 5% prijetnji koristeći Threat Hunting tehnologiju.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnji
Kontinuirana evolucija sajber napada zahtijeva stalno otkrivanje i protumjere, što nas u konačnici navodi na razmišljanje o beskonačnoj utrci u naoružanju između napadača i branitelja. Klasični sigurnosni sistemi više nisu u stanju da obezbede prihvatljiv nivo sigurnosti, pri kojem nivo rizika ne utiče na ključne pokazatelje kompanije (ekonomske, političke, reputacione) bez njihove modifikacije za određenu infrastrukturu, ali generalno pokrivaju deo rizike. Već u procesu implementacije i konfiguracije savremeni sistemi zaštite su u ulozi sustizanja i moraju odgovoriti izazovima novog vremena.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiIzvor

Tehnologija za otkrivanje prijetnji može biti jedan od odgovora na izazove našeg vremena za stručnjaka za sigurnost informacija. Termin lov na prijetnje (u daljem tekstu TH) pojavio se prije nekoliko godina. Sama tehnologija je prilično zanimljiva, ali još uvijek nema općeprihvaćene standarde i pravila. Stvar je takođe komplikovana zbog heterogenosti izvora informacija i malog broja izvora informacija na ruskom jeziku o ovoj temi. S tim u vezi, mi u LANIT-Integraciji odlučili smo da napišemo recenziju ove tehnologije.

Relevantnost

TH tehnologija se oslanja na procese nadzora infrastrukture. Postoje dva glavna scenarija internog nadzora – uzbunjivanje i lov. Upozorenje (po vrsti MSSP servisa) je tradicionalna metoda, traženje prethodno razvijenih potpisa i znakova napada i reagovanje na njih. Ovaj scenario se uspješno izvodi pomoću tradicionalnih alata za zaštitu zasnovanih na potpisu. Hunting (usluga tipa MDR) je metoda praćenja koja odgovara na pitanje „Odakle potiču potpisi i pravila?“. To je proces kreiranja pravila korelacije analizom skrivenih ili ranije nepoznatih indikatora i znakova napada. Ovoj vrsti monitoringa pripada i Threat Hunting.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnji
Samo kombinovanjem obe vrste praćenja približavamo se idealnoj zaštiti, ali uvek postoji određeni nivo rezidualnog rizika.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiZaštita korištenjem dvije vrste nadzora

A evo zašto će TH (i lov općenito!) postati sve relevantniji:

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiPrijetnje, sredstva zaštite, rizici. Izvor

95% svih prijetnji je već dobro shvaćeno. To uključuje takve vrste kao što su neželjena pošta, DDoS, virusi, rootkitovi i drugi klasični zlonamjerni softver. Možete se zaštititi od ovih prijetnji istim klasičnim sredstvima zaštite.

Tokom bilo kog projekta 20% vremena se troši na 80% posla, a preostalih 20% posla oduzima 80% vremena. Slično, među cjelokupnim okruženjem prijetnji, 5% novih vrsta prijetnji predstavljat će 70% rizika za kompaniju. U kompaniji u kojoj su organizovani procesi upravljanja bezbednošću informacija, možemo upravljati sa 30% rizika od poznatih pretnji na ovaj ili onaj način izbegavanjem (u principu odbijanje bežičnih mreža), prihvatanjem (implementacijom neophodnih bezbednosnih mera) ili prebacivanjem (npr. , na ramena integratora) ovaj rizik. Zaštitite se od ranjivosti nultog dana, APT napadi, phishing, napadi na lanac snabdevanja, sajber-špijunaže i nacionalnih operacija, kao i od velikog broja drugih napada, već je mnogo teže. Posledice ovih 5% pretnji biće mnogo ozbiljnije (prosječan iznos bankarskih gubitaka iz grupe buhtrap je 143 miliona) nego posljedice neželjene pošte ili virusa od kojih antivirusni softver spašava.

Skoro svako mora da se nosi sa 5% pretnji. Nedavno smo morali da instaliramo jedno rešenje otvorenog koda koje koristi aplikaciju iz PEAR (PHP Extension and Application Repository) spremišta. Pokušaj instaliranja ove aplikacije putem pear instalacije nije uspio jer web stranica bio nedostupan (sada već ima stub), morao sam da ga instaliram sa GitHuba. A tek nedavno se ispostavilo da je KRUŠKA postala žrtva napadi na lanac snabdevanja.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnji

Možeš li se još sjetiti napad koristeći CCleaner, NePetya ransomware epidemija putem modula za ažuriranje softvera za poresko prijavljivanje MEDoc. Prijetnje postaju sve sofisticiranije i postavlja se logično pitanje - "Kako se još uvijek možete suprotstaviti ovih 5% prijetnji?"

Definicija lova na prijetnje

Dakle, lov na prijetnje je proces proaktivne i iterativne pretrage i otkrivanja naprednih prijetnji koje se ne mogu otkriti tradicionalnim sredstvima zaštite. Napredne prijetnje uključuju, na primjer, napade kao što je APT, napade na ranjivosti 0 dana, Living off the Land, itd.

Također se može parafrazirati da je TH proces testiranja hipoteza. Ovo je pretežno ručni proces s elementima automatizacije, u kojem analitičar, oslanjajući se na svoje znanje i vještine, prebira velike količine informacija u potrazi za znacima kompromisa koji odgovaraju početno definiranoj hipotezi o prisutnosti određene prijetnje. Posebna karakteristika je raznovrsnost izvora informacija.

Treba napomenuti da Threat Hunting nije neka vrsta softverskog ili hardverskog proizvoda. To nisu upozorenja koja se mogu vidjeti u nekom rješenju. Ovo nije proces traženja IOC-a (identifikatora kompromisa). I to nije neka vrsta pasivne aktivnosti koja se odvija bez učešća analitičara informacione sigurnosti. Lov na prijetnje je prije svega proces.

Komponente lova na prijetnje

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnji
Tri glavne komponente lova na prijetnje: podaci, tehnologija, ljudi.

Podaci (šta?), uključujući Big Data. Sve vrste tokova prometa, informacije o prošlim APT-ovima, analitika, podaci o aktivnostima korisnika, podaci o mreži, informacije od zaposlenih, informacije na mračnom webu i još mnogo toga.

Tehnologija (kako?) obrada ovih podataka - svi mogući načini obrade ovih podataka, uključujući mašinsko učenje.

Ljudi koji?) - oni koji imaju veliko iskustvo u analizi raznih napada, razvijenu intuiciju i sposobnost otkrivanja napada. Obično su to analitičari informacijske sigurnosti koji moraju biti u stanju generirati hipoteze i pronaći njihovu potvrdu. Oni su srž procesa.

Model PARIS

Adam Bateman opisuje PARIS model za idealan TH proces. Ime, takoreći, nagoveštava poznatu znamenitost Francuske. Ovaj model se može posmatrati u dva smjera - odozgo i odozdo.

U procesu lova na prijetnje, napredujući model, imat ćemo posla sa dosta dokaza o zlonamjernim aktivnostima. Svaki dokaz ima mjeru koja se zove sigurnost, karakteristiku koja odražava težinu tog dokaza. Postoji "gvozdeno", direktni dokaz zlonamerne aktivnosti, prema kojem možemo odmah doći do vrha piramide i stvoriti stvarno upozorenje o dobro poznatoj infekciji. A postoje indirektni dokazi, čiji zbir nas takođe može dovesti do vrha piramide. Kao i uvijek, indirektnih dokaza ima mnogo više nego direktnih, što znači da ih treba sortirati i analizirati, provesti dodatna istraživanja, a poželjno je to automatizirati.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiPARIS model. Izvor

Gornji dio modela (1 i 2) je baziran na tehnologijama automatizacije i raznovrsnoj analitici, a donji dio (3 i 4) je zasnovan na osobama s određenim kvalifikacijama koje upravljaju procesom. Možete pogledati model koji se kreće odozgo prema dolje, gdje na vrhu plave boje imamo upozorenja tradicionalnih alata za zaštitu (antivirus, EDR, firewall, potpisi) sa visokim stepenom povjerenja i povjerenja, a ispod indikatora ( MOK, URL, MD5 i drugi), koji imaju niži stepen sigurnosti i zahtijevaju dalje proučavanje. A najniži i najdeblji nivo (4) je generisanje hipoteza, kreiranje novih scenarija za delovanje tradicionalnih sredstava zaštite. Ovaj nivo nije ograničen samo na naznačene izvore hipoteza. Što je nivo niži, to se više zahtjeva postavlja kvalifikacija analitičara.

Vrlo je važno da analitičari ne testiraju samo konačan skup unaprijed definiranih hipoteza, već stalno rade na generiranju novih hipoteza i opcija za njihovo testiranje.

TH model zrelosti upotrebe

U idealnom svijetu, TH je kontinuiran proces. Ali, pošto idealnog svijeta nema, hajde da analiziramo model zrelosti i metode u smislu ljudi, procesa i tehnologija koje se koriste. Razmotrimo model idealnog sfernog TH. Postoji 5 nivoa upotrebe ove tehnologije. Razmotrite ih na primjeru evolucije jednog tima analitičara.

nivoi zrelosti
ljudi
Procesi
tehnologije

0 nivo
Analitičari SPC
24/7
Tradicionalni instrumenti:

Tradicionalno
Upozorenje je postavljeno
Pasivno praćenje
IDS, AV, Sandboxing,

Bez TH
Rad sa upozorenjima

alati za analizu potpisa, podaci o Threat Intelligence.

1 nivo
Analitičari SPC
Jednokratni TH
BDU

Eksperimentalno
Osnovno poznavanje forenzike
MOC Search
Djelomična pokrivenost podataka sa mrežnih uređaja

Eksperimenti sa TH
Dobro poznavanje mreža i aplikacija

Djelomična primjena

2 nivo
Privremeno zanimanje
Sprintovi
BDU

Periodično
Srednje znanje iz forenzike
Sedmicu po mjesecu
Potpuna aplikacija

Privremeni TH
Odlično poznavanje mreža i aplikacija
Regular TH
Potpuna automatizacija korištenja EDR podataka

Djelomično korištenje naprednih EDR funkcija

3 nivo
Namjenska TH komanda
24/7
Djelomična sposobnost testiranja TH hipoteza

Preventivno
Odlično poznavanje forenzike i zlonamjernog softvera
Preventivni TH
Potpuna upotreba naprednih EDR funkcija

Posebni slučajevi TH
Odlično poznavanje napadačke strane
Posebni slučajevi TH
Potpuna pokrivenost podataka sa mrežnih uređaja

Prilagođena konfiguracija

4 nivo
Namjenska TH komanda
24/7
Potpuna sposobnost testiranja TH hipoteza

Vodeći
Odlično poznavanje forenzike i zlonamjernog softvera
Preventivni TH
Nivo 3 plus:

TH upotreba
Odlično poznavanje napadačke strane
Verifikacija, automatizacija i verifikacija TH hipoteza
čvrsta integracija izvora podataka;

Istraživačka sposobnost

razvoj za potrebe i nestandardnu ​​upotrebu API-ja.

Nivoi zrelosti TH prema ljudima, procesima i tehnologijama

Nivo 0: tradicionalno, bez upotrebe TH. Obični analitičari rade sa standardnim skupom upozorenja u pasivnom režimu praćenja koristeći standardne alate i tehnologije: IDS, AV, sandboxove, alate za analizu potpisa.

Nivo 1: eksperimentalno, koristeći TH. Isti analitičari sa osnovnim poznavanjem forenzike i dobrim poznavanjem mreža i aplikacija mogu izvršiti jednokratni lov na prijetnje tražeći indikatore kompromisa. EDR-ovi se dodaju alatima s djelomičnim pokrivanjem podataka sa mrežnih uređaja. Alati su djelimično primijenjeni.

Nivo 2: periodično, privremeno TH. Isti analitičari koji su već nadogradili svoje znanje o forenzici, mrežama i primijenjenim dijelovima moraju se redovno baviti (sprintom) Threat Hunting-om, recimo, sedmično u mjesecu. Alati su dopunjeni potpunim istraživanjem podataka sa mrežnih uređaja, automatizacijom analize podataka iz EDR-a i djelomičnim korištenjem naprednih EDR mogućnosti.

Nivo 3: preventivni, česti slučajevi TH. Naši analitičari su se organizovali u posvećen tim, počeli da imaju odlično poznavanje forenzike i malvera, kao i poznavanje metoda i taktika napadačke strane. Proces se već odvija 24/7. Tim je u mogućnosti da djelimično testira TH hipoteze dok u potpunosti koristi napredne mogućnosti EDR-a uz potpunu pokrivenost podataka sa mrežnih uređaja. Analitičari su takođe u mogućnosti da konfigurišu alate tako da odgovaraju njihovim potrebama.

Nivo 4: high-end, korištenje TH. Isti tim je stekao sposobnost istraživanja, sposobnost generiranja i automatizacije procesa testiranja hipoteza TH. Sada su dodani alati sa čvrstom integracijom izvora podataka, razvojem softvera za potrebe i nestandardnom upotrebom API-ja.

Tehnike lova na prijetnje

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiOsnovne tehnike lova na prijetnje

К tehničari TH, prema tehnološkoj zrelosti, su: osnovno pretraživanje, statistička analiza, tehnike vizualizacije, jednostavne agregacije, mašinsko učenje i Bayesove metode.

Najjednostavniji metod, osnovno pretraživanje, koristi se za sužavanje polja proučavanja uz pomoć određenih upita. Statistička analiza se koristi, na primjer, za izgradnju tipične aktivnosti korisnika ili mreže u obliku statističkog modela. Tehnike vizualizacije koriste se za vizualni prikaz i pojednostavljenje analize podataka u obliku grafikona i dijagrama, koji znatno olakšavaju hvatanje obrazaca u uzorku. Za optimizaciju pretraživanja i analize koristi se tehnika jednostavnog agregiranja po ključnim poljima. Što je TH proces zreliji u organizaciji, upotreba algoritama mašinskog učenja postaje relevantnija. Takođe se široko koriste u filtriranju neželjene pošte, otkrivanju zlonamernog saobraćaja i otkrivanju prevara. Napredniji tip algoritama za mašinsko učenje su Bayesove metode, koje omogućavaju klasifikaciju, smanjenje veličine uzorka i modeliranje tema.

Diamond model i TH strategije

Sergio Caltagiron, Andrew Pendegast i Christopher Betz u svom radu "Dijamantski model analize upada” je pokazao glavne ključne komponente svake zlonamjerne aktivnosti i osnovnu vezu između njih.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiDijamantski model za zlonamjerne aktivnosti

Prema ovom modelu, postoje 4 strategije lova na prijetnje, koje se zasnivaju na odgovarajućim ključnim komponentama.

1. Strategija fokusirana na žrtvu. Pretpostavljamo da žrtva ima protivnike, a oni će dostaviti "prilike" putem e-pošte. Tražimo podatke o neprijatelju putem pošte. Tražite linkove, priloge itd. Tražimo potvrdu ove hipoteze za određeni period (mjesec, dvije sedmice), ako nije pronađena, onda hipoteza nije funkcionirala.

2. Strategija fokusirana na infrastrukturu. Postoji nekoliko načina za korištenje ove strategije. Ovisno o pristupu i vidljivosti, neki su lakši od drugih. Na primjer, pratimo servere imena domena za koje je poznato da ugošćuju zlonamjerne domene. Ili imamo proces praćenja svih novih registracija imena domena za poznati obrazac koji koristi protivnik.

3. Strategija vođena prilikama. Pored strategije usmjerene na žrtvu koju koristi većina online branitelja, postoji strategija usmjerena na sposobnost. Drugi je najpopularniji i fokusira se na otkrivanje mogućnosti od strane protivnika, odnosno "malware" i mogućnost da protivnik koristi legitimne alate kao što su psexec, powershell, certutil i drugi.

4. Strategija fokusirana na neprijatelja. Pristup usmjeren na protivnika fokusira se na samog protivnika. To uključuje korištenje otvorenih informacija iz javno dostupnih izvora (OSINT), prikupljanje podataka o neprijatelju, njegovim tehnikama i metodama (TTP), analizu prethodnih incidenata, podatke o prijetnjama, itd.

Izvori informacija i hipoteze u TH

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiNeki izvori informacija za lov na prijetnje

Može postojati mnogo izvora informacija. Idealni analitičar bi trebao biti u stanju da izvuče informacije iz svega što je okolo. Tipični izvori u gotovo svakoj infrastrukturi bit će podaci iz sigurnosnih alata: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Takođe, tipični izvori informacija biće sve vrste indikatora kompromisa, obaveštajne usluge pretnji, CERT i OSINT podaci. Osim toga, možete koristiti informacije iz darkneta (na primjer, odjednom postoji naredba za hakiranje poštanskog sandučića šefa organizacije ili je kandidat za mjesto mrežnog inženjera istaknut njegovom aktivnošću), informacije primljene od HR-a (recenzije o kandidatu sa prethodnog radnog mjesta), informacije iz službe obezbjeđenja (na primjer, rezultati provjere druge strane).

Ali prije korištenja svih dostupnih izvora, potrebno je imati barem jednu hipotezu.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiIzvor

Da bi se testirale hipoteze, one se prvo moraju iznijeti. A da bi se postavile mnoge kvalitativne hipoteze, potrebno je primijeniti sistematski pristup. Proces generisanja hipoteza detaljnije je opisan u članak, vrlo je zgodno uzeti ovu šemu kao osnovu za proces postavljanja hipoteza.

Glavni izvor hipoteza će biti ATT&CK matrica (Oparničke taktike, tehnike i opšte znanje). To je, zapravo, baza znanja i model za procjenu ponašanja napadača koji implementiraju svoje aktivnosti u posljednjim koracima napada, koji se obično opisuje korištenjem koncepta Kill Chain. Odnosno, u fazama nakon što uljez prodre u internu mrežu preduzeća ili mobilni uređaj. U početku je baza znanja uključivala opis 121 taktike i tehnike korištene u napadu, od kojih je svaka detaljno opisana u Wiki formatu. Različite analitike Threat Intelligence su vrlo pogodne kao izvor za generiranje hipoteza. Posebno treba istaći rezultate analize infrastrukture i testova penetracije – to su najvredniji podaci koje nam železne hipoteze mogu dati s obzirom na to da se oslanjaju na specifičnu infrastrukturu sa svojim specifičnim nedostacima.

Proces testiranja hipoteza

Sergej Soldatov doveo dobra šema sa detaljnim opisom procesa, ilustruje proces testiranja TH hipoteze u jednom sistemu. Naznačiću glavne faze sa kratkim opisom.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiIzvor

Faza 1: TI Farma

U ovoj fazi potrebno je odabrati objekata (analizirajući ih zajedno sa svim podacima o prijetnjama) i označavajući ih njihovim karakteristikama. Ovo je datoteka, URL, MD5, proces, uslužni program, događaj. Prolazeći ih kroz sisteme Threat Intelligence, morate staviti etikete. Odnosno, ova stranica je viđena u CNC-u te i te godine, ovaj MD5 je bio povezan sa tim i takvim malverom, ovaj MD5 je preuzet sa stranice koja je distribuirala malware.

Faza 2: Slučajevi

U drugoj fazi, posmatramo interakciju između ovih objekata i identifikujemo odnose između svih ovih objekata. Dobijamo označene sisteme koji rade nešto loše.

Faza 3: Analitičar

U trećoj fazi, slučaj se predaje iskusnom analitičaru sa velikim iskustvom u analizi i on donosi presudu. On analizira na bajtove šta, gdje, kako, zašto i zašto radi ovaj kod. Ovo tijelo je bilo zlonamjerni softver, ovaj kompjuter je zaražen. Otkriva odnose između objekata, provjerava rezultate trčanja kroz sandbox.

Rezultati rada analitičara se dalje prenose. Digitalna forenzika ispituje slike, analiza zlonamjernog softvera ispituje pronađena "tijela", a tim za odgovor na incidente može otići na mjesto i ispitati nešto što je već tamo. Rezultat rada bit će potvrđena hipoteza, identificirani napad i načini suprotstavljanja.

Lov na prijetnje, ili Kako se zaštititi od 5% prijetnjiIzvor
 

Ishodi

Threat Hunting je prilično mlada tehnologija koja se može efikasno suprotstaviti prilagođenim, novim i nestandardnim prijetnjama, koja ima velike izglede s obzirom na porast broja takvih prijetnji i složenost korporativne infrastrukture. Zahtijeva tri komponente - podatke, alate i analitiku. Prednosti lova na prijetnje nisu ograničene na prevenciju prijetnji. Ne zaboravite da u procesu traženja zaranjamo u našu infrastrukturu i njene slabe tačke kroz oči sigurnosnog analitičara i ta mjesta možemo dodatno ojačati.

Prvi koraci koje je, po našem mišljenju, potrebno poduzeti da bi se pokrenuo TH proces u našoj organizaciji.

  1. Vodite računa o zaštiti krajnjih tačaka i mrežne infrastrukture. Vodite računa o vidljivosti (NetFlow) i kontroli (firewall, IDS, IPS, DLP) svih procesa u vašoj mreži. Upoznajte svoju mrežu od rubnog rutera do posljednjeg hosta.
  2. Istražiti MITER ATT&CK.
  3. Sprovedite redovno testiranje penetracije barem ključnih eksternih resursa, analizirajte njegove rezultate, identifikujte glavne mete za napad i zatvorite njihove ranjivosti.
  4. Implementirajte sistem otkrivanja prijetnji otvorenog koda (na primjer, MISP, Yeti) i analizirajte zapise zajedno s njim.
  5. Implementirajte platformu za odgovor na incidente (IRP): R-Vision IRP, The Hive, sandbox za analizu sumnjivih datoteka (FortiSandbox, Cuckoo).
  6. Automatizirajte rutinske procese. Analiza dnevnika, stvaranje incidenata, informisanje osoblja je ogromno polje za automatizaciju.
  7. Naučite kako da efikasno komunicirate sa inženjerima, programerima, tehničkom podrškom kako biste zajedno radili na incidentima.
  8. Dokumentirajte cijeli proces, ključne tačke, postignute rezultate kako biste se kasnije vratili na njih ili podijelili ove podatke sa kolegama;
  9. Imajte na umu društvenu stranu: Budite svjesni šta se dešava sa vašim zaposlenima, koga zapošljavate i kome dajete pristup informacionim resursima organizacije.
  10. Budite u toku sa trendovima u oblasti novih pretnji i metoda zaštite, unapredite nivo tehničke pismenosti (uključujući i rad IT servisa i podsistema), prisustvujte konferencijama i komunicirajte sa kolegama.

Spremni za diskusiju o organizaciji TH procesa u komentarima.

Ili dođite da radite sa nama!

Izvori i materijali za proučavanje

izvor: www.habr.com

Dodajte komentar