U 95% di e minacce à a sicurità di l'infurmazioni sò cunnisciuti, è pudete prutegge da elli cù i mezi tradiziunali cum'è antivirus, firewall, IDS, WAF. U restu 5% di e minacce sò scunnisciuti è i più periculosi. Custituiscenu u 70% di u risicu per una sucità per u fattu chì hè assai difficiuli di detectà, assai menu prutegge contru à elli. Esempii sò l'epidemie di ransomware WannaCry, NotPetya/ExPetr, cryptominers, l'"arma cibernetica" Stuxnet (chì chjappà à e instalazioni nucleari di l'Iran) è parechji (qualchissia altru ricurdate di Kido / Conficker?) altri attacchi chì ùn sò micca bè difesi contru cù misure di sicurezza classiche. Vulemu parlà di cumu contru à queste 5% di e minacce cù a tecnulugia Threat Hunting.
L'evoluzione cuntinuu di l'attacchi cibernetici richiede una rilevazione constante è contramisuri, chì infine ci porta à pensà à una corsa d'armi senza fine trà attaccanti è difensori. I sistemi di securità classicu ùn sò più capaci di furnisce un livellu di sicurezza accettabile à quale u livellu di risicu ùn affetta micca l'indicatori chjave di a cumpagnia (ecunumia, pulitica, reputazione) senza mudificà per una infrastruttura specifica, ma in generale copre una parte di l'infrastrutture. risichi. Dighjà in u prucessu di implementazione è di cunfigurazione, i sistemi di sicurezza muderni si trovanu in u rolu di catturà è devenu risponde à e sfide di u novu tempu.
A tecnulugia di Threat Hunting pò esse una di e risposte à e sfide di u nostru tempu per un specialista di sicurezza di l'infurmazioni. U terminu Threat Hunting (in seguitu chjamatu TH) hè apparsu parechji anni fà. A tecnulugia stessu hè abbastanza interessante, ma ùn hà ancu micca norme è regule generalmente accettate. A materia hè ancu cumplicata da l'eterogeneità di e fonti d'infurmazioni è u picculu numeru di fonti d'infurmazioni in lingua russa nantu à questu tema. In questu riguardu, noi di LANIT-Integrazione hà decisu di scrive una rivista di sta tecnulugia.
Pertatine
A tecnulugia TH si basa in i prucessi di monitoraghju di l'infrastruttura.. L'alerta (simile à i servizii MSSP) hè un metudu tradiziunale di ricerca di firmi sviluppati prima è segni di attacchi è risponde à elli. Stu scenariu hè realizatu cù successu da strumenti di prutezzione tradiziunali basati in a firma. A caccia (serviziu di tipu MDR) hè un metudu di surviglianza chì risponde à a quistione "Da induve venenu e firme è e regule?" Hè u prucessu di creà regule di correlazione analizendu indicatori nascosti o precedentemente scunnisciuti è segni di un attaccu. Threat Hunting si riferisce à stu tipu di surviglianza.
Solu cumminendu i dui tipi di surviglianza, avemu una prutezzione vicinu à l'ideale, ma ci hè sempre un certu livellu di risicu residuale.
Prutezzione cù dui tipi di monitoraghju
È eccu perchè TH (è a caccia in tuttu!) diventerà sempre più pertinente:
Minacce, rimedi, risichi.
. Questi includenu tipi cum'è spam, DDoS, virus, rootkits è altre malware classicu. Pudete prutezzione di sti minacce usendu e stesse misure di sicurezza classiche.
Durante l'implementazione di qualsiasi prughjettu, è u restu 20% di u travagliu pigghia 80% di u tempu. In listessu modu, in tuttu u paisaghju di a minaccia, u 5% di e minacce novi rapprisentanu u 70% di u risicu per una cumpagnia. In una cumpagnia induve i prucessi di gestione di a sicurità di l'infurmazioni sò urganizati, pudemu gestisce u 30% di u risicu di implementazione di e minacce cunnisciute in una manera o l'altra evitendu (rifiu di rete wireless in principiu), accettendu (implementazione di e misure di sicurezza necessarie) o trasfurmà. (per esempiu, nantu à e spalle di un integratore) stu risicu. Prutegge si da, attacchi APT, phishing,, spionaggio ciberneticu è operazioni naziunali, è ancu un gran numaru di altri attacchi sò digià assai più difficili. E cunsequenze di sti 5% di e minacce seranu assai più gravi () cà e cunsequenze di spam o virus, da quale u software antivirus salva.
Quasi tutti anu da trattà cun 5% di e minacce. Recentemente avemu avutu à stallà una soluzione open-source chì usa una applicazione da u repository PEAR (PHP Extension and Application Repository). Un tentativu di stallà sta applicazione via installazione di pera hà fiascatu perchè era indisponibile (avà ci hè un stub), aghju avutu à stallà da GitHub. È pocu pocu tempu hè statu chì PEAR hè diventatu una vittima.
Pudete ancu ricurdà, una epidemia di u ransomware NePetya per mezu di un modulu di aghjurnamentu per un prugramma di rapportu fiscale. E minacce sò diventate sempre più sofisticate, è a quistione logica si pone - "Cumu pudemu contru à queste 5% di e minacce?"
Definizione di Threat Hunting
Allora, Threat Hunting hè u prucessu di ricerca proattiva è iterativa è deteczione di minacce avanzate chì ùn ponu micca esse rilevate da i strumenti di sicurezza tradiziunali. I minaccii avanzati includenu, per esempiu, attacchi cum'è APT, attacchi à vulnerabilità 0-day, Living off the Land, etc.
Pudemu ancu riformulari chì TH hè u prucessu di pruvà l'ipotesi. Questu hè un prucessu principarmenti manuale cù elementi di l'automatizazione, in quale l'analista, s'appoghjanu nantu à a so cunniscenza è e so cumpetenze, sifts through large volumes of information in search of signs of compromise chì currispondenu à l'ipotesi inizialmente determinata nantu à a prisenza di una certa minaccia. A so caratteristica distintiva hè a varietà di fonti d'infurmazioni.
Si deve esse nutatu chì Threat Hunting ùn hè micca un tipu di software o pruduttu hardware. Quessi ùn sò micca alerti chì ponu esse vistu in qualchi suluzione. Questu ùn hè micca un prucessu di ricerca IOC (Identifiers of Compromise). È questu ùn hè micca un tipu d'attività passiva chì si trova senza a participazione di l'analista di sicurezza di l'infurmazioni. Threat Hunting hè prima di tuttu un prucessu.
Componenti di Threat Hunting
Trè cumpunenti principali di Threat Hunting: dati, tecnulugia, persone.
Dati (chì?), cumpresi Big Data. Tutti i tipi di flussi di trafficu, infurmazione nantu à l'APT precedenti, analitiche, dati nantu à l'attività di l'utilizatori, dati di rete, infurmazione di l'impiegati, infurmazione nantu à u darknet è assai più.
Tecnulugie (cumu?) trasfurmà sta dati - tutti i modi pussibuli di trasfurmà sta dati, cumpresu Machine Learning.
A ghjente (chì ?) - quelli chì anu una larga sperienza in l'analisi di diversi attacchi, anu sviluppatu intuizione è a capacità di detectà un attaccu. Di genere, questi sò analisti di sicurezza di l'infurmazioni chì devenu avè a capacità di generà ipotesi è truvà cunferma per elli. Sò u ligame principale in u prucessu.
Modellu PARIS
Adam Bateman U mudellu PARIS per u prucessu TH ideale. U nome allude à un famosu puntu di riferimentu in Francia. Stu mudellu pò esse vistu in duie direzzione - da sopra è da quì sottu.
Cume avemu travagliatu u nostru modu à traversu u mudellu da u fondu in sopra, avemu da scontru assai evidenza di attività maliciosa. Ogni evidenza hà una misura chjamata cunfidenza - una caratteristica chì riflette u pesu di sta evidenza. Ci hè "ferru", evidenza diretta di attività maliciosa, secondu a quale pudemu ghjunghje immediatamente à a cima di a piramide è creà una alerta attuale nantu à una infezzjoni cunnisciuta precisamente. E ci hè evidenza indiretta, a somma di quale pò ancu guidà à a cima di a piramide. Cum'è sempre, ci hè assai più evidenza indiretta chì evidenza diretta, chì significa chì anu da esse classificate è analizate, una ricerca supplementaria deve esse realizata, è hè cunsigliu per automatizà questu.
Modellu PARIS.
A parte superiore di u mudellu (1 è 2) hè basatu annantu à tecnulugii d'automatizazione è diverse analitiche, è a parte bassa (3 è 4) hè basatu annantu à e persone cun certi qualificazioni chì gestiscenu u prucessu. Pudete cunsiderà u mudellu chì si move da u cima à u fondu, induve in a parti suprana di u culore turchinu avemu avvisi da i strumenti di sicurità tradiziunali (antivirus, EDR, firewall, signatures) cù un altu gradu di cunfidenza è di fiducia, è sottu sò indicatori ( IOC, URL, MD5 è altri), chì anu un gradu più bassu di certezza è necessitanu studiu supplementu. È u livellu più bassu è più grossu (4) hè a generazione di l'ipotesi, a creazione di novi scenarii per l'operazione di i mezi tradiziunali di prutezzione. Stu livellu ùn hè micca limitatu solu à e fonti specificate di ipotesi. U più bassu u livellu, più esigenze sò posti nantu à e qualificazioni di l'analista.
Hè assai impurtante chì l'analisti ùn anu micca solu pruvà un inseme finitu di ipotesi predeterminate, ma travaglianu constantemente per generà novi ipotesi è opzioni per pruvà.
TH Usage Maturity Model
In un mondu ideale, TH hè un prucessu continuu. Ma, postu chì ùn ci hè micca un mondu ideale, analizemu è metudi in termini di persone, prucessi è tecnulugia utilizati. Cunsideremu un mudellu di un TH sfericu ideale. Ci hè 5 livelli di usu di sta tecnulugia. Fighjemu à elli cù l'esempiu di l'evoluzione di una sola squadra di analisti.
Livelli di maturità
populu
I prucessi
di tecnulugia
U nivellu di 0
Analisti SOC
24/7
Strumenti tradiziunali:
Tradiziunale
Set di avvisi
Surviglianza passiva
IDS, AV, Sandboxing,
Senza TH
U travagliu cù alerti
Strumenti di analisi di firma, dati di Threat Intelligence.
U nivellu di 1
Analisti SOC
Una volta TH
BDU
Sperimentale
Cunniscenza basi di a forensica
Ricerca IOC
Copertura parziale di dati da i dispositi di rete
Esperimenti cù TH
Bona cunniscenza di e rete è di l'applicazioni
Applicazione parziale
U nivellu di 2
Occupazione pruvisoria
Sprints
BDU
Periodicu
Cunniscenza media di a forensica
Settimana à mese
Applicazione cumpleta
Pruvisoriu TH
Eccellente cunniscenza di rete è applicazioni
Regular TH
Automatizazione cumpleta di l'usu di dati EDR
Usu parziale di capacità EDR avanzate
U nivellu di 3
Cumandamentu TH dedicatu
24/7
Capacità parziale di pruvà l'ipotesi TH
Preventiva
Eccellente cunniscenza di forensics è malware
TH preventiva
Utilizà cumpletu di capacità EDR avanzate
Casi spiciali TH
Eccellente cunniscenza di u latu attaccante
Casi spiciali TH
Copertura cumpleta di dati da i dispositi di rete
Configurazione per adattà à i vostri bisogni
U nivellu di 4
Cumandamentu TH dedicatu
24/7
Capacità piena di pruvà l'ipotesi TH
Cunducendu
Eccellente cunniscenza di forensics è malware
TH preventiva
Livellu 3, più:
Utilizendu TH
Eccellente cunniscenza di u latu attaccante
Test, automatizazione è verificazione di l'ipotesi TH
integrazione stretta di fonti di dati;
A capacità di ricerca
sviluppu secondu i bisogni è l'usu non standard di l'API.
TH livelli di maturità da persone, prucessi è tecnulugia
Livellu 0: tradiziunale, senza aduprà TH. L'analisti regularmente travaglianu cù un inseme standard di alerti in modu di monitoraghju passivu utilizendu strumenti è tecnulugia standard: IDS, AV, sandbox, strumenti di analisi di firma.
Livellu 1: sperimentale, utilizendu TH. I stessi analisti cù a cunniscenza basica di a forensica è una bona cunniscenza di e rete è di l'applicazioni ponu realizà una Caccia di Minaccia una volta per circà l'indicatori di cumprumissu. L'EDR sò aghjuntu à l'arnesi cù una cobertura parziale di dati da i dispositi di rete. L'arnesi sò parzialmente utilizati.
Livellu 2: periodic, pruvisoriu TH. I stessi analisti chì anu digià aghjurnatu a so cunniscenza in forensica, rete è a parte di l'applicazione sò tenuti à impegnà regularmente in Threat Hunting (sprint), per dì, una settimana à u mese. L'arnesi aghjunghjenu l'esplorazione completa di e dati da i dispositi di rete, l'automatizazione di l'analisi di dati da EDR, è l'usu parziale di capacità EDR avanzate.
Livellu 3: preventivi, casi frequenti di TH. I nostri analisti si sò urganizati in una squadra dedicata è cuminciaru à avè una cunniscenza eccellente di a forensica è di malware, è ancu a cunniscenza di i metudi è e tattiche di u latu attaccante. U prucessu hè digià realizatu 24/7. A squadra hè capace di pruvà parzialmente l'ipotesi TH mentre sfrutta cumplettamente e capacità avanzate di EDR cù una copertura completa di dati da i dispositi di rete. L'analisti sò ancu capaci di cunfigurà l'arnesi per adattà à i so bisogni.
Livellu 4: high-end, aduprà TH. U stessu squadra hà acquistatu a capacità di ricerca, a capacità di generà è automatizà u prucessu di pruvà l'ipotesi TH. Avà l'arnesi sò stati supplementati da una integrazione stretta di fonti di dati, u sviluppu di software per risponde à i bisogni, è l'usu non standard di l'API.
Tecniche di caccia di minaccia
Tecniche basiche di caccia di minaccia
К TH, in ordine di maturità di a tecnulugia utilizata, sò: ricerca basica, analisi statistiche, tecniche di visualizazione, aggregazioni simplici, machine learning, è metudi Bayesiani.
U metudu più simplice, una ricerca basica, hè utilizata per restringe l'area di ricerca cù e dumande specifiche. L'analisi statistiche hè aduprata, per esempiu, per custruisce l'attività tipica di l'utilizatori o di a rete in a forma di un mudellu statisticu. I tecnichi di visualizazione sò usati per vede visualmente è simplificà l'analisi di dati in forma di grafici è charts, chì facenu assai più faciule per discernisce mudelli in u sample. A tecnica di aggregazioni simplici per campi chjave hè aduprata per ottimisà a ricerca è l'analisi. U più maturu u prucessu TH di una urganizazione ghjunghje, u più rilevante l'usu di l'algoritmi di apprendimentu automaticu diventa. Sò ancu largamente usati per filtrà u puzzicheghju, detectà u trafficu maliziusu è rileva attività fraudulente. Un tipu più avanzatu di l'algoritmu d'apprendimentu di macchina hè i metudi Bayesiani, chì permettenu a classificazione, a riduzione di a dimensione di mostra, è a modellazione di tematiche.
Modellu di Diamante è Strategie TH
Sergio Caltagiron, Andrew Pendegast è Christopher Betz in u so travagliu "» hà dimustratu i principali cumpunenti chjave di ogni attività maliciosa è a cunnessione basica trà elli.
U mudellu di diamante per attività maliciosa
Sicondu stu mudellu, ci sò 4 strategie Threat Hunting, chì sò basati nantu à i cumpunenti chjave currispundenti.
1. Strategia orientata à a vittima. Assumimu chì a vittima hà avversari è daranu "uppurtunità" via email. Cerchemu i dati nimici in u mail. Ricerca di ligami, attachments, etc. Cerchemu a cunferma di sta ipotesi per un certu periudu di tempu (un mesi, duie simane); se ùn truvamu micca, allora l'ipotesi ùn hà micca travagliatu.
2. Strategia orientata à l'infrastruttura. Ci sò parechji metudi per aduprà sta strategia. Sicondu l'accessu è a visibilità, alcuni sò più faciuli cà l'altri. Per esempiu, monitoremu i servitori di nomi di duminiu cunnisciuti per ospitu domini maliziusi. O passemu per u prucessu di monitorà tutte e novi registrazioni di nomi di duminiu per un mudellu cunnisciutu utilizatu da un avversu.
3. Capability-driven strategia. In più di a strategia centrata in a vittima utilizata da a maiò parte di i difensori di a rete, ci hè una strategia centrata in l'uppurtunità. Hè u sicondu più pupulare è si cuncentra nantu à a rilevazione di capacità da l'avversu, à dì "malware" è a capacità di l'avversu per utilizà strumenti legittimi cum'è psexec, powershell, certutil è altri.
4. Strategia orientata à u nimicu. L'approcciu centratu in l'avversariu si focalizeghja nantu à l'avversu stessu. Questu include l'usu di l'infurmazioni aperti da e fonti dispunibuli publicamente (OSINT), a cullizzioni di dati nantu à l'inimicu, i so tecnichi è i metudi (TTP), l'analisi di incidenti previ, i dati di Threat Intelligence, etc.
Fonti d'infurmazione è ipotesi in TH
Alcune fonti d'infurmazioni per Threat Hunting
Ci ponu esse parechje fonti di infurmazione. Un analista ideale deve esse capace di caccià l'infurmazioni da tuttu ciò chì hè intornu. I fonti tipici in quasi ogni infrastruttura seranu dati da strumenti di sicurezza: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Inoltre, e fonti tipiche di l'infurmazioni seranu diversi indicatori di cumprumissu, servizii di Threat Intelligence, dati CERT è OSINT. Inoltre, pudete aduprà l'infurmazioni da u darknet (per esempiu, di colpu, ci hè un ordine per pirate u mailbox di u capu di una urganizazione, o un candidatu per a pusizione di un ingegnere di rete hè statu espostu per a so attività), infurmazione ricevuta da HR (revisioni di u candidatu da un postu di travagliu precedente), infurmazione da u serviziu di sicurità (per esempiu, i risultati di verificazione di a contrapartita).
Ma prima di utilizà tutte e fonti dispunibili, hè necessariu avè almenu una ipotesi.
Per pruvà l'ipotesi, prima deve esse presentate. È per prupona parechje ipotesi d'alta qualità, hè necessariu applicà un approcciu sistematicu. U prucessu di generazione di ipotesi hè descrittu in più detail in, hè assai cunvenutu di piglià stu schema cum'è a basa per u prucessu di mette in ipotesi.
A fonte principale di l'ipotesi serà Matrice ATT&CK (Tattiche, Tecniche è Cunniscenze Comune Adversariali). Hè, in essenza, una basa di cunniscenza è un mudellu per valutà u cumpurtamentu di l'attaccanti chì portanu e so attività in l'ultimi passi di un attaccu, di solitu descrittu cù u cuncettu di Kill Chain. Vale à dì, in e tappe dopu chì un attaccante hà penetratu in a reta interna di una impresa o in un dispositivu mobile. A basa di cunniscenza urigginariamente includeva descrizzioni di 121 tattiche è tecniche aduprate in attaccu, ognuna di e quali hè descritta in dettagliu in u formatu Wiki. Diversi analitiche di l'Intelligenza di Minaccia sò adattati cum'è fonte per generà ipotesi. In particulare, sò i risultati di l'analisi di l'infrastruttura è e teste di penetrazione - questu hè a dati più preziosa chì ci ponu dà ipotesi ironclad per u fattu chì sò basati nantu à una infrastruttura specifica cù i so difetti specifichi.
Prucessu di prova di l'ipotesi
Sergei Soldatov hà purtatu cù una descrizzione dettagliata di u prucessu, illustra u prucessu di pruvà l'ipotesi TH in un sistema unicu. Indicaraghju e tappe principali cù una breve descrizzione.
Tappa 1: TI Farm
In questu stadiu hè necessariu di mette in risaltu ughjetti (analizenduli inseme cù tutti i dati di minaccia) è assignendu etichette per e so caratteristiche. Quessi sò file, URL, MD5, prucessu, utilità, avvenimentu. Quandu passanu per i sistemi di Threat Intelligence, hè necessariu di aghjunghje tag. Questu hè, stu situ hè statu nutatu in CNC in un tale annu, questu MD5 era assuciatu cù tali malware, questu MD5 hè stata scaricata da un situ chì distribuiva malware.
Stage 2: Casi
À a seconda tappa, fighjemu l'interazzione trà questi ogetti è identificà e rilazioni trà tutti questi ogetti. Avemu sistemi marcati chì facenu qualcosa di male.
Stage 3: Analista
À a terza tappa, u casu hè trasferitu à un analista espertu chì hà una larga sperienza in l'analisi, è face un verdict. Analizeghja à i bytes chì, induve, cumu, perchè è perchè stu codice. Stu corpu era malware, stu computer era infettatu. Revela ligami trà l'uggetti, cuntrolla i risultati di correre à traversu u sandbox.
I risultati di u travagliu di l'analista sò trasmessi in più. Digital Forensics esamina l'imaghjini, Malware Analysis esamina i "corpi" truvati, è a squadra di Risposta à l'Incident pò andà in u situ è investigà qualcosa chì hè digià quì. U risultatu di u travagliu serà una ipotesi cunfirmata, un attaccu identificatu è modi per contru.
Risultati
Threat Hunting hè una tecnulugia abbastanza ghjovana chì pò efficacemente contru à e minacce persunalizate, novi è micca standard, chì hà grandi prospettive datu u numeru crescente di tali minacce è a crescente cumplessità di l'infrastruttura corporativa. Hè bisognu di trè cumpunenti - dati, arnesi è analisti. I beneficii di Threat Hunting ùn sò micca limitati à impedisce l'implementazione di e minacce. Ùn vi scurdate micca chì durante u prucessu di ricerca ci immersi in a nostra infrastruttura è i so punti debbuli attraversu l'ochji di un analista di sicurezza è ponu più rinfurzà questi punti.
I primi passi chì, in u nostru parè, deve esse fattu per inizià u prucessu TH in a vostra urganizazione.
- Pigliate a prutezzione di i punti finali è l'infrastruttura di rete. Pigliate a visibilità (NetFlow) è u cuntrollu (firewall, IDS, IPS, DLP) di tutti i prucessi in a vostra reta. Sapete a vostra reta da u router di punta à l'ultimu host.
- Esplora.
- Realizà pente regularmente di almenu risorse esterne chjave, analizà i so risultati, identificà i principali obiettivi per l'attaccu è chjude e so vulnerabilità.
- Implementà un sistema di intelligenza di minaccia open source (per esempiu, MISP, Yeti) è analizà i logs in cunghjunzione cun ellu.
- Implementa una piattaforma di risposta à incidenti (IRP): R-Vision IRP, The Hive, sandbox per analizà i fugliali sospetti (FortiSandbox, Cuckoo).
- Automatizà i prucessi di rutina. L'analisi di logs, a registrazione di incidenti, l'informazioni di u persunale hè un campu enormu per l'automatizazione.
- Amparate à interagisce in modu efficace cù ingegneri, sviluppatori è supportu tecnicu per collaborà in incidenti.
- Documentate tuttu u prucessu, i punti chjave, i risultati ottenuti per vultà à elli dopu o sparte sta dati cù i culleghi;
- Siate suciali: Siate cuscenti di ciò chì passa cù i vostri impiegati, quale avete assuciatu, è quale dà accessu à e risorse d'infurmazioni di l'urganizazione.
- Mantene à l'attualità di e tendenze in u campu di novi minacce è metudi di prutezzione, aumentà u vostru livellu di alfabetizazione tecnica (cumpresu in u funziunamentu di i servizii di l'IT è i sottosistemi), assiste à cunferenze è cumunicà cù i culleghi.
Pronta à discutiri l'urganizazione di u prucessu TH in i cumenti.
O venite à travaglià cun noi!
Fonti è materiali da studià
Source: www.habr.com