El 95% de les amenaces de seguretat de la informació són conegudes i pots protegir-te d'elles mitjançant mitjans tradicionals com ara antivirus, tallafocs, IDS, WAF. El 5% restant de les amenaces són desconegudes i les més perilloses. Constitueixen el 70% del risc per a una empresa pel fet que és molt difícil detectar-los, i molt menys protegir-los. Exemples són l'epidèmia del ransomware WannaCry, NotPetya/ExPetr, els criptominers, l'"arma cibernètica" Stuxnet (que va colpejar les instal·lacions nuclears de l'Iran) i molts altres atacs (algú més recorda Kido/Conficker?) que no estan molt ben defensats amb les mesures de seguretat clàssiques. Volem parlar de com contrarestar aquest 5% d'amenaces mitjançant la tecnologia Threat Hunting.
La contínua evolució dels ciberatacs requereix una detecció i contramesures constants, la qual cosa ens porta a pensar en una carrera armamentista interminable entre atacants i defensors. Els sistemes de seguretat clàssics ja no són capaços d'oferir un nivell de seguretat acceptable, en el qual el nivell de risc no afecta els indicadors clau de l'empresa (econòmics, polítics, reputacionals) sense modificar-los per a una infraestructura concreta, però en general cobreixen alguns dels els riscos. Ja en procés d'implantació i configuració, els moderns sistemes de seguretat es troben en el paper de posar-se al dia i han de respondre als reptes del nou temps.
La tecnologia Threat Hunting pot ser una de les respostes als reptes del nostre temps per a un especialista en seguretat de la informació. El terme Threat Hunting (d'ara endavant TH) va aparèixer fa uns quants anys. La tecnologia en si és força interessant, però encara no té cap estàndard ni regla generalment acceptat. La qüestió també es complica per l'heterogeneïtat de les fonts d'informació i el petit nombre de fonts d'informació en rus sobre aquest tema. En aquest sentit, des de LANIT-Integration vam decidir escriure una revisió d'aquesta tecnologia.
Rellevància
La tecnologia TH es basa en processos de monitorització de la infraestructura.. L'alerta (similar als serveis MSSP) és un mètode tradicional de cerca de signatures i signes d'atac desenvolupats anteriorment i de respondre-hi. Aquest escenari es realitza amb èxit mitjançant les eines de protecció tradicionals basades en signatura. La caça (servei tipus MDR) és un mètode de seguiment que respon a la pregunta "D'on provenen les signatures i les normes?" És el procés de creació de regles de correlació mitjançant l'anàlisi d'indicadors i signes d'atac ocults o desconeguts anteriorment. Threat Hunting fa referència a aquest tipus de monitoratge.
Només combinant els dos tipus de monitoratge obtenim una protecció propera a l'ideal, però sempre hi ha un cert nivell de risc residual.
Protecció mitjançant dos tipus de monitoratge
I aquí és per què TH (i la caça en la seva totalitat!) serà cada cop més rellevant:
Amenaces, remeis, riscos.
. Aquests inclouen tipus com ara correu brossa, DDoS, virus, rootkits i altres programes maliciosos clàssics. Podeu protegir-vos d'aquestes amenaces utilitzant les mateixes mesures de seguretat clàssiques.
Durant la realització de qualsevol projecte, i el 20% restant del treball ocupa el 80% del temps. De la mateixa manera, a tot el panorama d'amenaces, el 5% de les noves amenaces representaran el 70% del risc per a una empresa. En una empresa on s'organitzen els processos de gestió de la seguretat de la informació, podem gestionar el 30% del risc d'implantació d'amenaces conegudes d'una manera o altra evitant (negatiu de les xarxes sense fil en principi), acceptant (implementant les mesures de seguretat necessàries) o canviant. (per exemple, sobre les espatlles d'un integrador) aquest risc. Protegiu-vos de, atacs APT, phishing,, el ciberespionatge i les operacions nacionals, així com un gran nombre d'altres atacs ja són molt més difícils. Les conseqüències d'aquest 5% d'amenaces seran molt més greus () que les conseqüències del correu brossa o dels virus, dels quals salva el programari antivirus.
Gairebé tothom ha de fer front al 5% de les amenaces. Recentment hem hagut d'instal·lar una solució de codi obert que utilitza una aplicació del dipòsit PEAR (PHP Extension and Application Repository). Un intent d'instal·lar aquesta aplicació mitjançant la instal·lació de pera ha fallat perquè no estava disponible (ara hi ha un taló), l'he hagut d'instal·lar des de GitHub. I fa poc va resultar que PEAR es va convertir en una víctima.
Encara pots recordar, una epidèmia del ransomware NePetya mitjançant un mòdul d'actualització d'un programa d'informació fiscal. Les amenaces són cada cop més sofisticades i sorgeix la pregunta lògica: "Com podem contrarestar aquest 5% d'amenaces?"
Definició de Threat Hunting
Per tant, Threat Hunting és el procés de cerca i detecció proactiva i iterativa d'amenaces avançades que les eines de seguretat tradicionals no poden detectar. Les amenaces avançades inclouen, per exemple, atacs com APT, atacs a vulnerabilitats de dia 0, Living off the Land, etc.
També podem reformular que TH és el procés de prova d'hipòtesis. Es tracta d'un procés predominantment manual amb elements d'automatització, en el qual l'analista, basant-se en els seus coneixements i habilitats, tamisa grans volums d'informació a la recerca de signes de compromís que corresponguin a la hipòtesi inicialment determinada sobre la presència d'una determinada amenaça. La seva característica distintiva és la varietat de fonts d'informació.
Cal tenir en compte que Threat Hunting no és cap tipus de programari o producte de maquinari. Aquestes no són alertes que es puguin veure en alguna solució. Aquest no és un procés de cerca d'IOC (Identificadors de compromís). I això no és cap tipus d'activitat passiva que es produeix sense la participació d'analistes de seguretat de la informació. La caça d'amenaces és abans que res un procés.
Components de la caça d'amenaces
Tres components principals de Threat Hunting: dades, tecnologia, persones.
Dades (què?), inclòs el Big Data. Tot tipus de fluxos de trànsit, informació sobre APT anteriors, anàlisis, dades sobre l'activitat dels usuaris, dades de la xarxa, informació dels empleats, informació a la darknet i molt més.
Tecnologies (com?) processar aquestes dades: totes les maneres possibles de processar aquestes dades, inclòs l'aprenentatge automàtic.
Gent que?) – els que tenen una àmplia experiència en l'anàlisi de diversos atacs, han desenvolupat la intuïció i la capacitat de detectar un atac. Normalment es tracta d'analistes de seguretat de la informació que han de tenir la capacitat de generar hipòtesis i trobar-hi confirmació. Són l'enllaç principal del procés.
Model PARIS
Adam Bateman Model PARIS per al procés TH ideal. El nom fa al·lusió a una fita famosa a França. Aquest model es pot veure en dues direccions: des de dalt i des de baix.
A mesura que avancem pel model de baix a dalt, trobarem moltes proves d'activitat maliciosa. Cada evidència té una mesura anomenada confiança, una característica que reflecteix el pes d'aquesta evidència. Hi ha "ferro", evidència directa d'activitat maliciosa, segons la qual podem arribar immediatament al cim de la piràmide i crear una alerta real sobre una infecció coneguda amb precisió. I hi ha proves indirectes, la suma de les quals també ens pot portar al cim de la piràmide. Com sempre, hi ha moltes més proves indirectes que evidències directes, la qual cosa vol dir que s'han d'ordenar i analitzar, s'han de fer investigacions addicionals, i és aconsellable automatitzar-les.
Model PARIS.
La part superior del model (1 i 2) es basa en tecnologies d'automatització i analítiques diverses, i la part inferior (3 i 4) es basa en persones amb determinades titulacions que gestionen el procés. Es pot considerar que el model es mou de dalt a baix, on a la part superior del color blau tenim alertes d'eines de seguretat tradicionals (antivirus, EDR, tallafocs, signatures) amb un alt grau de confiança i confiança, i a continuació hi ha indicadors ( IOC, URL, MD5 i altres), que tenen un menor grau de certesa i requereixen un estudi addicional. I el nivell més baix i gruixut (4) és la generació d'hipòtesis, la creació de nous escenaris per al funcionament dels mitjans tradicionals de protecció. Aquest nivell no es limita només a les fonts d'hipòtesis especificades. Com més baix sigui el nivell, més requisits s'aplicaran a les qualificacions de l'analista.
És molt important que els analistes no es limiten a provar un conjunt finit d'hipòtesis predeterminades, sinó que treballin constantment per generar noves hipòtesis i opcions per provar-les.
Model de maduresa d'ús TH
En un món ideal, TH és un procés continu. Però, com que no hi ha un món ideal, analitzem-ho i mètodes en termes de persones, processos i tecnologies utilitzades. Considerem un model d'un TH esfèric ideal. Hi ha 5 nivells d'ús d'aquesta tecnologia. Vegem-les amb l'exemple de l'evolució d'un únic equip d'analistes.
Nivells de maduresa
Persones
Процессы
Tecnologia
Nivell 0
Analistes SOC
24/7
Instruments tradicionals:
Tradicional
Conjunt d'alertes
Seguiment passiu
IDS, AV, Sandboxing,
Sense TH
Treballant amb alertes
Eines d'anàlisi de signatures, dades de Threat Intelligence.
Nivell 1
Analistes SOC
TH únic
EDR
Experimental
Coneixements bàsics de forense
Cerca del COI
Cobertura parcial de dades dels dispositius de xarxa
Experiments amb TH
Bons coneixements de xarxes i aplicacions
Aplicació parcial
Nivell 2
Ocupació temporal
Sprints
EDR
Periòdic
Coneixements mitjans de forense
Setmana a mes
Aplicació completa
TH temporal
Excel·lent coneixement de xarxes i aplicacions
TH regular
Automatització completa de l'ús de dades EDR
Ús parcial de les capacitats avançades d'EDR
Nivell 3
Comandament TH dedicat
24/7
Capacitat parcial de provar hipòtesis TH
Preventiu
Excel·lent coneixement de forense i programari maliciós
TH preventiva
Ús complet de les capacitats avançades d'EDR
Casos especials TH
Excel·lent coneixement del bàndol atacant
Casos especials TH
Cobertura total de dades dels dispositius de xarxa
Configuració segons les vostres necessitats
Nivell 4
Comandament TH dedicat
24/7
Capacitat total per provar hipòtesis de TH
Liderant
Excel·lent coneixement de forense i programari maliciós
TH preventiva
Nivell 3, més:
Utilitzant TH
Excel·lent coneixement del bàndol atacant
Comprovació, automatització i verificació d'hipòtesis TH
integració estreta de les fonts de dades;
Capacitat d'investigació
desenvolupament segons necessitats i ús no estàndard de l'API.
TH nivells de maduresa per persones, processos i tecnologies
Nivell 0: tradicional, sense utilitzar TH. Els analistes habituals treballen amb un conjunt estàndard d'alertes en mode de monitoratge passiu utilitzant eines i tecnologies estàndard: IDS, AV, sandbox, eines d'anàlisi de signatures.
Nivell 1: experimental, utilitzant TH. Els mateixos analistes amb coneixements bàsics de forense i bons coneixements de xarxes i aplicacions poden dur a terme Threat Hunting una vegada buscant indicadors de compromís. Els EDR s'afegeixen a les eines amb una cobertura parcial de dades dels dispositius de xarxa. Les eines s'utilitzen parcialment.
Nivell 2: TH periòdic, temporal. Els mateixos analistes que ja han millorat els seus coneixements en forense, xarxes i la part de l'aplicació estan obligats a participar regularment en Threat Hunting (sprint), per exemple, una setmana al mes. Les eines afegeixen una exploració completa de les dades dels dispositius de xarxa, l'automatització de l'anàlisi de dades des d'EDR i l'ús parcial de les capacitats avançades d'EDR.
Nivell 3: casos preventius i freqüents de TH. Els nostres analistes es van organitzar en un equip dedicat i van començar a tenir un excel·lent coneixement de la forense i el programari maliciós, així com els mètodes i les tàctiques del bàndol atacant. El procés ja es realitza les 24 hores del dia. L'equip és capaç de provar parcialment les hipòtesis de TH alhora que aprofita plenament les capacitats avançades d'EDR amb una cobertura total de dades dels dispositius de xarxa. Els analistes també poden configurar eines per adaptar-se a les seves necessitats.
Nivell 4: de gamma alta, utilitzeu TH. El mateix equip va adquirir la capacitat d'investigar, la capacitat de generar i automatitzar el procés de prova d'hipòtesis de TH. Ara les eines s'han complementat amb una estreta integració de fonts de dades, desenvolupament de programari per satisfer les necessitats i ús no estàndard de les API.
Tècniques de caça d'amenaces
Tècniques bàsiques de caça d'amenaces
К Les TH, per ordre de maduresa de la tecnologia utilitzada, són: cerca bàsica, anàlisi estadística, tècniques de visualització, agregacions simples, aprenentatge automàtic i mètodes bayesians.
El mètode més senzill, una cerca bàsica, s'utilitza per restringir l'àrea d'investigació mitjançant consultes específiques. L'anàlisi estadística s'utilitza, per exemple, per construir l'activitat típica de l'usuari o de la xarxa en forma de model estadístic. Les tècniques de visualització s'utilitzen per mostrar visualment i simplificar l'anàlisi de dades en forma de gràfics i gràfics, que fan que sigui molt més fàcil discernir patrons a la mostra. La tècnica d'agregacions simples per camps clau s'utilitza per optimitzar la cerca i l'anàlisi. Com més madur arriba el procés de TH d'una organització, més rellevant serà l'ús d'algoritmes d'aprenentatge automàtic. També s'utilitzen àmpliament per filtrar correu brossa, detectar trànsit maliciós i detectar activitats fraudulentes. Un tipus més avançat d'algorisme d'aprenentatge automàtic són els mètodes bayesians, que permeten la classificació, la reducció de la mida de la mostra i el modelatge de temes.
Model de diamant i estratègies TH
Sergio Caltagiron, Andrew Pendegast i Christopher Betz en el seu treball "» va mostrar els principals components clau de qualsevol activitat maliciosa i la connexió bàsica entre ells.
Model de diamant per a activitats malicioses
Segons aquest model, hi ha 4 estratègies de Threat Hunting, que es basen en els components clau corresponents.
1. Estratègia orientada a la víctima. Suposem que la víctima té oponents i oferiran "oportunitats" per correu electrònic. Estem buscant dades de l'enemic al correu. Cerca enllaços, fitxers adjunts, etc. Estem buscant la confirmació d'aquesta hipòtesi durant un període de temps determinat (un mes, dues setmanes); si no la trobem, aleshores la hipòtesi no va funcionar.
2. Estratègia orientada a les infraestructures. Hi ha diversos mètodes per utilitzar aquesta estratègia. Segons l'accés i la visibilitat, alguns són més fàcils que d'altres. Per exemple, supervisem els servidors de noms de domini coneguts per allotjar dominis maliciosos. O passem pel procés de seguiment de tots els nous registres de noms de domini per a un patró conegut utilitzat per un adversari.
3. Estratègia impulsada per capacitat. A més de l'estratègia centrada en la víctima que utilitzen la majoria dels defensors de la xarxa, hi ha una estratègia centrada en l'oportunitat. És el segon més popular i se centra a detectar capacitats de l'adversari, és a dir, "programari maliciós" i la capacitat de l'adversari d'utilitzar eines legítimes com psexec, powershell, certutil i altres.
4. Estratègia orientada a l'enemic. L'enfocament centrat en l'adversari se centra en el mateix adversari. Això inclou l'ús d'informació oberta de fonts disponibles públicament (OSINT), recollida de dades sobre l'enemic, les seves tècniques i mètodes (TTP), anàlisi d'incidents anteriors, dades d'intel·ligència d'amenaces, etc.
Fonts d'informació i hipòtesis en TH
Algunes fonts d'informació per a Threat Hunting
Hi pot haver moltes fonts d'informació. Un analista ideal hauria de ser capaç d'extreure informació de tot el que hi ha al voltant. Les fonts típiques de gairebé qualsevol infraestructura seran dades d'eines de seguretat: DLP, SIEM, IDS/IPS, WAF/FW, EDR. A més, les fonts típiques d'informació seran diversos indicadors de compromís, serveis d'intel·ligència d'amenaces, dades CERT i OSINT. A més, podeu utilitzar informació de la darknet (per exemple, de sobte hi ha una ordre de piratejar la bústia de correu del cap d'una organització, o un candidat a la posició d'enginyer de xarxa ha estat exposat per a la seva activitat), informació rebuda de RRHH (revisions del candidat d'un lloc de treball anterior), informació del servei de seguretat (per exemple, els resultats de la verificació de la contrapart).
Però abans d'utilitzar totes les fonts disponibles, cal tenir almenys una hipòtesi.
Per comprovar les hipòtesis, primer s'han de plantejar. I per plantejar moltes hipòtesis de gran qualitat, cal aplicar un enfocament sistemàtic. El procés de generació d'hipòtesis es descriu amb més detall a, és molt convenient prendre aquest esquema com a base per al procés de formulació d'hipòtesis.
La principal font d'hipòtesis serà Matriu ATT&CK (Tàctiques, Tècniques i Coneixement Comú Adversaris). Es tracta, en essència, d'una base de coneixement i un model per avaluar el comportament dels atacants que duen a terme les seves activitats en els últims passos d'un atac, normalment descrit mitjançant el concepte de Kill Chain. És a dir, en les etapes posteriors a que un atacant ha penetrat a la xarxa interna d'una empresa o a un dispositiu mòbil. La base de coneixement originalment incloïa descripcions de 121 tàctiques i tècniques utilitzades en atac, cadascuna de les quals es descriu detalladament en format Wiki. Diverses analítiques d'intel·ligència d'amenaces són molt adequades com a font per generar hipòtesis. Destaquen especialment els resultats de l'anàlisi d'infraestructura i les proves de penetració: aquestes són les dades més valuoses que ens poden donar hipòtesis fermes a causa del fet que es basen en una infraestructura específica amb les seves deficiències específiques.
Procés de prova d'hipòtesis
Sergei Soldatov va portar amb una descripció detallada del procés, il·lustra el procés de prova de les hipòtesis de TH en un únic sistema. Indicaré les etapes principals amb una breu descripció.
Etapa 1: Granja TI
En aquesta etapa cal destacar objectes (analitzant-los juntament amb totes les dades d'amenaça) i assignant-los etiquetes per a les seves característiques. Aquests són fitxer, URL, MD5, procés, utilitat, esdeveniment. En passar-los per sistemes d'intel·ligència d'amenaça, cal adjuntar etiquetes. És a dir, aquest lloc es va notar en CNC en tal i tal any, aquest MD5 estava associat a tal o tal programari maliciós, aquest MD5 es va descarregar d'un lloc que distribuïa malware.
Etapa 2: Casos
En la segona etapa, observem la interacció entre aquests objectes i identifiquem les relacions entre tots aquests objectes. Tenim sistemes marcats que fan alguna cosa dolenta.
Etapa 3: Analista
En la tercera etapa, el cas es trasllada a un analista experimentat que té una àmplia experiència en anàlisi, i aquest emet un veredicte. Analitza fins als bytes què, on, com, per què i per què fa aquest codi. Aquest cos era programari maliciós, aquest ordinador estava infectat. Revela les connexions entre objectes, comprova els resultats de córrer per la caixa de sorra.
Els resultats del treball de l'analista es transmeten més endavant. Digital Forensics examina les imatges, l'anàlisi de programari maliciós examina els "cossos" trobats i l'equip de resposta a incidents pot anar al lloc i investigar alguna cosa que ja hi ha. El resultat del treball serà una hipòtesi confirmada, un atac identificat i maneres de contrarestar-lo.
Resultats de
Threat Hunting és una tecnologia bastant jove que pot contrarestar eficaçment amenaces personalitzades, noves i no estàndard, que té grans perspectives donat el nombre creixent d'aquestes amenaces i la complexitat creixent de la infraestructura corporativa. Requereix tres components: dades, eines i analistes. Els beneficis de Threat Hunting no es limiten a prevenir la implementació d'amenaces. No oblideu que durant el procés de cerca ens submergim en la nostra infraestructura i els seus punts febles a través dels ulls d'un analista de seguretat i podem reforçar encara més aquests punts.
Els primers passos que, segons la nostra opinió, cal fer per iniciar el procés de TH a la vostra organització.
- Tingueu cura de protegir els punts finals i la infraestructura de xarxa. Cuida la visibilitat (NetFlow) i el control (tallafoc, IDS, IPS, DLP) de tots els processos de la teva xarxa. Coneix la teva xarxa des de l'encaminador perifèric fins a l'últim amfitrió.
- Explorar.
- Realitzar pentests periòdics d'almenys recursos externs clau, analitzar-ne els resultats, identificar els principals objectius d'atac i tancar les seves vulnerabilitats.
- Implementeu un sistema d'intel·ligència d'amenaces de codi obert (per exemple, MISP, Yeti) i analitzeu els registres juntament amb ell.
- Implementar una plataforma de resposta a incidents (IRP): R-Vision IRP, The Hive, sandbox per analitzar fitxers sospitosos (FortiSandbox, Cuckoo).
- Automatitzar els processos rutinaris. L'anàlisi de registres, el registre d'incidències, informar al personal és un camp enorme per a l'automatització.
- Apreneu a interactuar eficaçment amb enginyers, desenvolupadors i suport tècnic per col·laborar en incidents.
- Documentar tot el procés, punts clau, resultats aconseguits per tornar-hi posteriorment o compartir aquestes dades amb els companys;
- Sigueu social: tingueu en compte què passa amb els vostres empleats, a qui contracteu i a qui doneu accés als recursos d'informació de l'organització.
- Mantenir-se al dia de les tendències en l'àmbit de les noves amenaces i mètodes de protecció, augmentar el seu nivell d'alfabetització tècnica (incloent-hi el funcionament de serveis i subsistemes informàtics), assistir a conferències i comunicar-se amb els seus companys.
A punt per parlar de l'organització del procés TH als comentaris.
O vine a treballar amb nosaltres!
Fonts i materials per estudiar
Font: www.habr.com