95 % hrozeb informační bezpečnosti je známo a můžete se před nimi chránit pomocí tradičních prostředků, jako jsou antiviry, firewally, IDS, WAF. Zbývajících 5 % hrozeb je neznámých a nejnebezpečnějších. Představují 70 % rizika pro společnost, protože je velmi obtížné je odhalit, natož chránit před nimi. Příklady jsou epidemie ransomwaru WannaCry, NotPetya/ExPetr, kryptoměři, „kybernetická zbraň“ Stuxnet (která zasáhla íránská jaderná zařízení) a mnoho (pamatujete si ještě někdo Kido/Conficker?) další útoky, proti kterým není příliš dobře bráněno klasickými bezpečnostními opatřeními. Chceme mluvit o tom, jak čelit těmto 5 % hrozeb pomocí technologie Threat Hunting.
Neustálý vývoj kybernetických útoků vyžaduje neustálou detekci a protiopatření, což nás nakonec vede k myšlence na nekonečné závody ve zbrojení mezi útočníky a obránci. Klasické bezpečnostní systémy již nejsou schopny poskytnout přijatelnou úroveň zabezpečení, při které míra rizika neovlivňuje klíčové ukazatele společnosti (ekonomické, politické, reputační), aniž by je upravily pro konkrétní infrastrukturu, ale obecně pokrývají některé z tzv. rizika. Moderní bezpečnostní systémy se již v procesu implementace a konfigurace ocitají v roli dohánějícího a musí reagovat na výzvy nové doby.
Technologie Threat Hunting může být pro specialisty na informační bezpečnost jednou z odpovědí na výzvy naší doby. Termín Threat Hunting (dále jen TH) se objevil před několika lety. Samotná technologie je docela zajímavá, ale zatím nemá žádné obecně uznávané standardy a pravidla. Věc je také komplikována heterogenitou informačních zdrojů a malým počtem ruskojazyčných zdrojů informací na toto téma. V tomto ohledu jsme se v LANIT-Integration rozhodli napsat recenzi této technologie.
Relevance
Technologie TH spoléhá na procesy monitorování infrastruktury.. Alerting (obdoba služeb MSSP) je tradiční metoda vyhledávání dříve vyvinutých signatur a známek útoků a reakce na ně. Tento scénář úspěšně provádějí tradiční nástroje ochrany založené na signaturách. Lov (služba typu MDR) je metoda monitorování, která odpovídá na otázku „Odkud pocházejí podpisy a pravidla? Je to proces vytváření korelačních pravidel analýzou skrytých nebo dříve neznámých indikátorů a známek útoku. Threat Hunting se týká tohoto typu monitorování.
Pouze kombinací obou typů monitorování získáme ochranu, která se blíží ideálu, ale vždy existuje určitá míra zbytkového rizika.
Ochrana pomocí dvou typů monitorování
A zde je důvod, proč bude TH (a lov jako celek!) stále důležitější:
Hrozby, nápravy, rizika.
. Patří mezi ně typy jako spam, DDoS, viry, rootkity a další klasický malware. Před těmito hrozbami se můžete chránit pomocí stejných klasických bezpečnostních opatření.
Při realizaci jakéhokoli projektua zbývajících 20 % práce zabere 80 % času. Podobně v celém prostředí hrozeb bude 5 % nových hrozeb představovat 70 % rizika pro společnost. Ve společnosti, kde jsou organizovány procesy řízení bezpečnosti informací, dokážeme řídit 30 % rizika implementace známých hrozeb tak či onak tím, že se vyhneme (zásadní odmítnutí bezdrátových sítí), přijmeme (zavedeme nezbytná bezpečnostní opatření) nebo přesuneme (například na ramena integrátora) toto riziko. Chraňte se před, APT útoky, phishing,, kybernetická špionáž a národní operace, stejně jako velké množství dalších útoků jsou již mnohem obtížnější. Důsledky těchto 5 % hrozeb budou mnohem závažnější () než následky spamu nebo virů, před kterými antivirový software zachraňuje.
Téměř každý se musí vypořádat s 5 % hrozeb. Nedávno jsme museli nainstalovat open-source řešení, které využívá aplikaci z úložiště PEAR (PHP Extension and Application Repository). Pokus o instalaci této aplikace pomocí hruškové instalace se nezdařil, protože byl nedostupný (nyní je na něm útržek), musel jsem ho nainstalovat z GitHubu. A právě nedávno se ukázalo, že HRUŠKA se stala obětí.
Můžete si ještě vzpomenout, epidemie ransomwaru NePetya prostřednictvím aktualizačního modulu pro program pro vykazování daní. Hrozby jsou stále sofistikovanější a vyvstává logická otázka – „Jak můžeme čelit těmto 5 % hrozeb?“
Definice Threat Hunting
Threat Hunting je tedy proces proaktivního a iterativního vyhledávání a detekce pokročilých hrozeb, které nelze detekovat tradičními bezpečnostními nástroji. Mezi pokročilé hrozby patří například útoky jako APT, útoky na 0-day zranitelnosti, Living off the Land a tak dále.
Můžeme také přeformulovat, že TH je proces testování hypotéz. Jedná se o převážně manuální proces s prvky automatizace, při kterém analytik, spoléhající na své znalosti a dovednosti, prosévá velké objemy informací a hledá známky kompromisu, které odpovídají původně stanovené hypotéze o přítomnosti určité hrozby. Jeho charakteristickým rysem je různorodost informačních zdrojů.
Je třeba poznamenat, že Threat Hunting není nějaký druh softwarového nebo hardwarového produktu. Nejsou to výstrahy, které lze vidět v nějakém řešení. Toto není proces hledání IOC (Identifiers of Compromise). A nejedná se o nějaký druh pasivní činnosti, ke které dochází bez účasti analytiků informační bezpečnosti. Threat Hunting je především proces.
Součásti lovu hrozeb
Tři hlavní složky Threat Hunting: data, technologie, lidé.
Data (co?), včetně Big Data. Všechny druhy dopravních toků, informace o předchozích APT, analýzy, údaje o aktivitě uživatelů, síťová data, informace od zaměstnanců, informace na darknetu a mnoho dalšího.
Technologie (jak?) zpracování těchto údajů - všechny možné způsoby zpracování těchto údajů, včetně Machine Learning.
Lidé kteří?) – ti, kteří mají rozsáhlé zkušenosti s analýzou různých útoků, rozvinutou intuici a schopnost detekovat útok. Obvykle se jedná o analytiky informační bezpečnosti, kteří musí mít schopnost vytvářet hypotézy a nacházet pro ně potvrzení. Jsou hlavním článkem procesu.
Model PARIS
Adam Bateman PARIS model pro ideální TH proces. Název odkazuje na slavný orientační bod ve Francii. Na tento model se lze dívat dvěma směry – shora a zdola.
Když se propracujeme modelem zdola nahoru, narazíme na spoustu důkazů o škodlivé činnosti. Každý důkaz má míru zvanou důvěra – charakteristiku, která odráží váhu tohoto důkazu. Existuje „železo“, přímý důkaz záškodnické činnosti, podle kterého můžeme okamžitě dosáhnout vrcholu pyramidy a vytvořit aktuální upozornění na přesně známou infekci. A existují nepřímé důkazy, jejichž součet nás také může dovést na vrchol pyramidy. Jako vždy existuje mnohem více nepřímých důkazů než přímých důkazů, což znamená, že je třeba je třídit a analyzovat, musí být provedeny další výzkumy a je vhodné je automatizovat.
Model PARIS.
Horní část modelu (1 a 2) je založena na automatizačních technologiích a různých analytikách a spodní část (3 a 4) je založena na lidech s určitou kvalifikací, kteří řídí proces. Můžete zvážit pohyb modelu odshora dolů, kde v horní části modré barvy máme výstrahy tradičních bezpečnostních nástrojů (antivirus, EDR, firewall, podpisy) s vysokou mírou důvěry a důvěry a níže jsou indikátory ( IOC, URL, MD5 a další), které mají nižší míru jistoty a vyžadují další studium. A nejnižší a nejtlustší úrovní (4) je generování hypotéz, vytváření nových scénářů fungování tradičních prostředků ochrany. Tato úroveň není omezena pouze na specifikované zdroje hypotéz. Čím nižší úroveň, tím více požadavků je kladeno na kvalifikaci analytika.
Je velmi důležité, aby analytici jednoduše netestovali konečný soubor předem určených hypotéz, ale neustále pracovali na vytváření nových hypotéz a možností jejich testování.
Model zralosti využití TH
V ideálním světě je TH neustálý proces. Ale protože neexistuje žádný ideální svět, pojďme analyzovat a metody z hlediska lidí, procesů a používaných technologií. Uvažujme model ideálního kulového TH. Existuje 5 úrovní použití této technologie. Podívejme se na ně na příkladu vývoje jediného týmu analytiků.
úrovně zralosti
lidé
Procesy
Technologie
Úroveň 0
Analytici SOC
24/7
Tradiční nástroje:
Tradiční
Sada upozornění
Pasivní sledování
IDS, AV, sandboxing,
Bez TH
Práce s upozorněními
Nástroje pro analýzu podpisů, data Threat Intelligence.
Úroveň 1
Analytici SOC
Jednorázové TH
EDR
Experimentální
Základní znalosti kriminalistiky
vyhledávání MOV
Částečné pokrytí dat ze síťových zařízení
Experimenty s TH
Dobrá znalost sítí a aplikací
Částečná aplikace
Úroveň 2
Dočasné zaměstnání
Sprinty
EDR
Pravidelné
Průměrná znalost kriminalistiky
Z týdne na měsíc
Plná aplikace
Dočasné TH
Výborná znalost sítí a aplikací
Pravidelné TH
Plná automatizace využití dat EDR
Částečné využití pokročilých schopností EDR
Úroveň 3
Vyhrazený TH příkaz
24/7
Částečná schopnost testovat hypotézy TH
Preventivní
Výborná znalost forenzní analýzy a malwaru
Preventivní TH
Plné využití pokročilých schopností EDR
Speciální případy TH
Výborná znalost útočné strany
Speciální případy TH
Plné pokrytí dat ze síťových zařízení
Konfigurace podle vašich potřeb
Úroveň 4
Vyhrazený TH příkaz
24/7
Plná schopnost testovat hypotézy TH
Vedoucí
Výborná znalost forenzní analýzy a malwaru
Preventivní TH
Úroveň 3 a navíc:
Pomocí TH
Výborná znalost útočné strany
Testování, automatizace a ověřování hypotéz TH
těsná integrace zdrojů dat;
Výzkumná schopnost
vývoj dle potřeb a nestandardní použití API.
Úrovně zralosti TH podle lidí, procesů a technologií
Úroveň 0: tradiční, bez použití TH. Běžní analytici pracují se standardní sadou výstrah v režimu pasivního monitorování pomocí standardních nástrojů a technologií: IDS, AV, sandbox, nástroje pro analýzu signatur.
Úroveň 1: experimentální, pomocí TH. Stejní analytici se základními znalostmi forenzní techniky a dobrou znalostí sítí a aplikací mohou provádět jednorázový lov hrozeb hledáním indikátorů kompromisu. K nástrojům s částečným pokrytím dat ze síťových zařízení jsou přidány EDR. Nástroje jsou částečně použité.
Úroveň 2: periodické, dočasné TH. Od stejných analytiků, kteří si již prohloubili své znalosti v oblasti forenzních studií, sítí a aplikační části, se vyžaduje, aby se pravidelně zapojovali do Threat Hunting (sprint), řekněme týden v měsíci. Nástroje přidávají plné zkoumání dat ze síťových zařízení, automatizaci analýzy dat z EDR a částečné využití pokročilých schopností EDR.
Úroveň 3: preventivní, časté případy TH. Naši analytici se zorganizovali do specializovaného týmu a začali mít vynikající znalosti o forenzní analýze a malwaru, stejně jako znalosti metod a taktiky útočící strany. Proces již probíhá 24/7. Tým je schopen částečně otestovat hypotézy TH při plném využití pokročilých schopností EDR s plným pokrytím dat ze síťových zařízení. Analytici jsou také schopni nakonfigurovat nástroje tak, aby vyhovovaly jejich potřebám.
Úroveň 4: high-end, použijte TH. Stejný tým získal schopnost výzkumu, schopnost generovat a automatizovat proces testování TH hypotéz. Nyní byly nástroje doplněny o úzkou integraci datových zdrojů, vývoj softwaru podle potřeb a nestandardní použití API.
Techniky lovu hrozeb
Základní techniky lovu hrozeb
К TH, v pořadí podle vyspělosti použité technologie, jsou: základní vyhledávání, statistická analýza, vizualizační techniky, jednoduché agregace, strojové učení a Bayesovské metody.
Nejjednodušší metoda, základní vyhledávání, se používá k zúžení oblasti výzkumu pomocí konkrétních dotazů. Statistická analýza se používá například pro konstrukci typické aktivity uživatele nebo sítě ve formě statistického modelu. Vizualizační techniky se používají k vizuálnímu zobrazení a zjednodušení analýzy dat ve formě grafů a tabulek, které výrazně usnadňují rozpoznání vzorů ve vzorku. Pro optimalizaci vyhledávání a analýzy se používá technika jednoduchých agregací podle klíčových polí. Čím vyspělejší proces TH organizace dosáhne, tím relevantnější bude použití algoritmů strojového učení. Jsou také široce používány při filtrování spamu, odhalování škodlivého provozu a odhalování podvodných aktivit. Pokročilejším typem algoritmu strojového učení jsou Bayesovské metody, které umožňují klasifikaci, redukci velikosti vzorku a modelování témat.
Diamantový model a TH strategie
Sergio Caltagiron, Andrew Pendegast a Christopher Betz ve své práci "» ukázal hlavní klíčové součásti jakékoli škodlivé činnosti a základní spojení mezi nimi.
Diamantový model pro škodlivou činnost
Podle tohoto modelu existují 4 strategie lovu hrozeb, které jsou založeny na odpovídajících klíčových komponentách.
1. Strategie zaměřená na oběti. Předpokládáme, že oběť má odpůrce a ti budou doručovat „příležitosti“ prostřednictvím e-mailu. Hledáme nepřátelská data v poště. Hledejte odkazy, přílohy atd. Potvrzení této hypotézy hledáme po určitou dobu (měsíc, dva týdny), pokud ji nenajdeme, pak hypotéza nefungovala.
2. Infrastrukturně orientovaná strategie. Existuje několik způsobů, jak tuto strategii použít. V závislosti na přístupu a viditelnosti jsou některé jednodušší než jiné. Sledujeme například servery doménových jmen, o kterých je známo, že jsou hostiteli škodlivých domén. Nebo procházíme procesem sledování všech nových registrací doménových jmen, zda se nevyskytuje známý vzor používaný protivníkem.
3. Strategie řízená schopnostmi. Kromě strategie zaměřené na oběť, kterou používá většina obránců sítě, existuje strategie zaměřená na příležitosti. Je druhým nejoblíbenějším a zaměřuje se na odhalování schopností od protivníka, konkrétně „malwaru“ a schopnosti protivníka používat legitimní nástroje jako psexec, powershell, certutil a další.
4. Strategie orientovaná na nepřítele. Přístup zaměřený na protivníka se zaměřuje na samotného protivníka. To zahrnuje využití otevřených informací z veřejně dostupných zdrojů (OSINT), sběr dat o nepříteli, jeho technikách a metodách (TTP), analýzu předchozích incidentů, data Threat Intelligence atd.
Zdroje informací a hypotéz v TH
Některé zdroje informací pro Threat Hunting
Zdrojů informací může být mnoho. Ideální analytik by měl být schopen extrahovat informace ze všeho, co je kolem. Typickými zdroji v téměř jakékoli infrastruktuře budou data z bezpečnostních nástrojů: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typickými zdroji informací budou také různé indikátory kompromitace, služby Threat Intelligence, data CERT a OSINT. Dodatečně můžete využít informace z darknetu (např. náhle přijde příkaz k hacknutí schránky šéfa organizace nebo byl pro svou činnost odhalen kandidát na pozici síťového inženýra), informace získané od HR (recenze kandidáta z předchozího působiště), informace od bezpečnostní služby (např. výsledky ověření protistrany).
Před použitím všech dostupných zdrojů je ale nutné mít alespoň jednu hypotézu.
Aby bylo možné otestovat hypotézy, musí být nejprve předloženy. A aby bylo možné předložit mnoho kvalitních hypotéz, je nutné uplatňovat systematický přístup. Proces generování hypotéz je podrobněji popsán v, je velmi vhodné vzít toto schéma jako základ pro proces předkládání hypotéz.
Hlavním zdrojem hypotéz bude Matice ATT&CK (Adversarial Tactics, Techniques and Common Knowledge). Jde v podstatě o znalostní základnu a model pro posuzování chování útočníků, kteří provádějí své aktivity v posledních krocích útoku, obvykle popisované pomocí konceptu Kill Chain. Tedy ve fázích poté, co útočník pronikl do vnitřní sítě podniku nebo na mobilní zařízení. Znalostní báze původně obsahovala popisy 121 taktik a technik používaných při útoku, z nichž každá je podrobně popsána ve formátu Wiki. Různé analýzy Threat Intelligence se dobře hodí jako zdroj pro generování hypotéz. Za zmínku stojí zejména výsledky infrastrukturních analýz a penetračních testů – to jsou nejcennější data, která nám mohou poskytnout pevné hypotézy, protože jsou založeny na konkrétní infrastruktuře s jejími specifickými nedostatky.
Proces testování hypotéz
Sergej Soldatov přivedl s podrobným popisem procesu ilustruje proces testování TH hypotéz v jediném systému. Hlavní etapy uvedu stručným popisem.
Fáze 1: Farma TI
V této fázi je třeba zvýraznit předměty (jejich analýzou spolu se všemi údaji o hrozbách) a přiřazením štítků pro jejich charakteristiky. Jsou to soubor, URL, MD5, proces, nástroj, událost. Při jejich průchodu systémy Threat Intelligence je nutné připevnit štítky. To znamená, že tato stránka byla zaznamenána v CNC v tom a takovém roce, tento MD5 byl spojen s takovým a takovým malwarem, tento MD5 byl stažen z webu, který distribuoval malware.
Fáze 2: Případy
Ve druhé fázi se podíváme na interakci mezi těmito objekty a identifikujeme vztahy mezi všemi těmito objekty. Dostáváme označené systémy, které dělají něco špatného.
Fáze 3: Analytik
Ve třetí fázi je případ předán zkušenému analytikovi, který má rozsáhlé zkušenosti s analýzou, a ten vynese verdikt. Rozebírá na bajty, co, kde, jak, proč a proč tento kód dělá. Toto tělo bylo malware, tento počítač byl infikován. Odhalí spojení mezi objekty, zkontroluje výsledky běhu přes sandbox.
Výsledky práce analytika jsou přenášeny dále. Digital Forensics prozkoumá obrázky, analýza malwaru prozkoumá nalezená „těla“ a tým pro odezvu na incidenty může jít na web a prozkoumat něco, co tam již je. Výsledkem práce bude potvrzená hypotéza, identifikovaný útok a způsoby, jak mu čelit.
Výsledky
Threat Hunting je poměrně mladá technologie, která dokáže účinně čelit přizpůsobeným, novým a nestandardním hrozbám, což má velké vyhlídky vzhledem k rostoucímu počtu takových hrozeb a zvyšující se složitosti podnikové infrastruktury. Vyžaduje tři složky – data, nástroje a analytiky. Výhody Threat Hunting se neomezují pouze na zabránění implementaci hrozeb. Nezapomeňte, že během procesu vyhledávání se ponoříme do naší infrastruktury a jejích slabých míst očima bezpečnostního analytika a můžeme tato místa dále posílit.
První kroky, které je podle našeho názoru potřeba udělat, aby byl zahájen proces TH ve vaší organizaci.
- Postarejte se o ochranu koncových bodů a síťové infrastruktury. Postarejte se o viditelnost (NetFlow) a kontrolu (firewall, IDS, IPS, DLP) všech procesů ve vaší síti. Poznejte svou síť od okrajového směrovače až po úplně posledního hostitele.
- Prozkoumat.
- Provádějte pravidelné pentesty alespoň klíčových externích zdrojů, analyzujte jejich výsledky, identifikujte hlavní cíle útoku a odstraňte jejich zranitelnost.
- Implementujte open source systém Threat Intelligence (například MISP, Yeti) a analyzujte protokoly ve spojení s ním.
- Implementujte platformu reakce na incidenty (IRP): R-Vision IRP, The Hive, sandbox pro analýzu podezřelých souborů (FortiSandbox, Cuckoo).
- Automatizujte rutinní procesy. Analýza protokolů, zaznamenávání incidentů, informování personálu je obrovské pole pro automatizaci.
- Naučte se efektivně komunikovat s inženýry, vývojáři a technickou podporou za účelem spolupráce na incidentech.
- Dokumentujte celý proces, klíčové body, dosažené výsledky, abyste se k nim později mohli vrátit nebo tato data sdílet s kolegy;
- Buďte sociální: Buďte si vědomi toho, co se děje se svými zaměstnanci, koho najímáte a komu dáváte přístup k informačním zdrojům organizace.
- Držte krok s trendy v oblasti nových hrozeb a způsobů ochrany, zvyšujte svou úroveň technické gramotnosti (včetně provozu IT služeb a subsystémů), navštěvujte konference a komunikujte s kolegy.
Připraveni diskutovat o organizaci procesu TH v komentářích.
Nebo pojďte pracovat s námi!
Zdroje a materiály ke studiu
Zdroj: www.habr.com