95 % af informationssikkerhedstrusler er kendte, og du kan beskytte dig selv mod dem ved hjælp af traditionelle midler som antivirus, firewalls, IDS, WAF. De resterende 5 % af truslerne er ukendte og de farligste. De udgør 70 % af risikoen for en virksomhed på grund af, at det er meget vanskeligt at opdage dem, og endnu mindre beskytte mod dem. Eksempler er WannaCry ransomware-epidemien, NotPetya/ExPetr, kryptominere, "cybervåbnet" Stuxnet (som ramte Irans atomanlæg) og mange (kan andre huske Kido/Conficker?) andre angreb, som ikke er særlig godt forsvaret imod med klassiske sikkerhedsforanstaltninger. Vi ønsker at tale om, hvordan man imødegår disse 5 % af truslerne ved hjælp af Threat Hunting-teknologi.
Den kontinuerlige udvikling af cyberangreb kræver konstant detektion og modforanstaltninger, hvilket i sidste ende får os til at tænke på et endeløst våbenkapløb mellem angribere og forsvarere. Klassiske sikkerhedssystemer er ikke længere i stand til at give et acceptabelt sikkerhedsniveau, hvor risikoniveauet ikke påvirker virksomhedens nøgleindikatorer (økonomiske, politiske, omdømme) uden at modificere dem for en specifik infrastruktur, men generelt dækker de nogle af risiciene. Allerede i gang med implementering og konfiguration befinder moderne sikkerhedssystemer sig selv i rollen som at indhente og skal reagere på den nye tids udfordringer.
Threat Hunting-teknologi kan være et af svarene på vores tids udfordringer for en informationssikkerhedsspecialist. Udtrykket Trusselsjagt (herefter benævnt TH) dukkede op for flere år siden. Teknologien i sig selv er ret interessant, men har endnu ikke nogen almindeligt accepterede standarder og regler. Sagen kompliceres også af informationskildernes heterogenitet og det lille antal russisksprogede informationskilder om dette emne. I den forbindelse besluttede vi hos LANIT-Integration at skrive en anmeldelse af denne teknologi.
aktualitet
TH-teknologien er afhængig af infrastrukturovervågningsprocesser.. Alarmering (svarende til MSSP-tjenester) er en traditionel metode til at søge efter tidligere udviklede signaturer og tegn på angreb og reagere på dem. Dette scenarie udføres med succes af traditionelle signaturbaserede beskyttelsesværktøjer. Jagt (MDR type service) er en overvågningsmetode, der besvarer spørgsmålet "Hvor kommer signaturer og regler fra?" Det er processen med at skabe korrelationsregler ved at analysere skjulte eller tidligere ukendte indikatorer og tegn på et angreb. Trusselsjagt refererer til denne type overvågning.
Kun ved at kombinere begge typer overvågning får vi en beskyttelse, der er tæt på ideel, men der er altid et vist niveau af resterende risiko.
Beskyttelse ved hjælp af to typer overvågning
Og her er grunden til, at TH (og jagt i sin helhed!) bliver mere og mere relevant:
Trusler, løsninger, risici.
. Disse omfatter typer såsom spam, DDoS, vira, rootkits og anden klassisk malware. Du kan beskytte dig selv mod disse trusler ved at bruge de samme klassiske sikkerhedsforanstaltninger.
Under gennemførelsen af ethvert projekt, og de resterende 20 % af arbejdet tager 80 % af tiden. På tværs af hele trusselslandskabet vil 5 % af nye trusler ligeledes udgøre 70 % af risikoen for en virksomhed. I en virksomhed, hvor informationssikkerhedsstyringsprocesser er organiseret, kan vi styre 30 % af risikoen for implementering af kendte trusler på den ene eller anden måde ved at undgå (principielt afvisning af trådløse netværk), acceptere (implementere de nødvendige sikkerhedsforanstaltninger) eller flytte (for eksempel på skuldrene af en integrator) denne risiko. Beskyt dig selv mod, APT-angreb, phishing,, cyberspionage og nationale operationer, samt en lang række andre angreb er allerede meget vanskeligere. Konsekvenserne af disse 5 % af truslerne vil være meget mere alvorlige () end konsekvenserne af spam eller vira, hvorfra antivirussoftware gemmer.
Næsten alle skal håndtere 5 % af truslerne. Vi skulle for nylig installere en open source-løsning, der bruger en applikation fra PEAR (PHP Extension and Application Repository) repository. Et forsøg på at installere denne applikation via pæreinstallation mislykkedes pga var utilgængelig (nu er der en stub på den), jeg var nødt til at installere den fra GitHub. Og for nylig viste det sig, at PEAR blev et offer.
Du kan stadig huske, en epidemi af NePetya ransomware gennem et opdateringsmodul til et skatteindberetningsprogram. Trusler bliver mere og mere sofistikerede, og det logiske spørgsmål opstår - "Hvordan kan vi imødegå disse 5% af truslerne?"
Definition af trusselsjagt
Så Threat Hunting er processen med proaktiv og iterativ søgning og detektion af avancerede trusler, som ikke kan opdages af traditionelle sikkerhedsværktøjer. Avancerede trusler omfatter for eksempel angreb som APT, angreb på 0-dages sårbarheder, Living off the Land, og så videre.
Vi kan også omformulere, at TH er processen med at teste hypoteser. Dette er en overvejende manuel proces med elementer af automatisering, hvor analytikeren, afhængig af sin viden og sine færdigheder, gennemsøger store mængder information på jagt efter tegn på kompromis, der svarer til den oprindeligt fastlagte hypotese om tilstedeværelsen af en bestemt trussel. Dets karakteristiske træk er mangfoldigheden af informationskilder.
Det skal bemærkes, at Threat Hunting ikke er en form for software- eller hardwareprodukt. Disse er ikke advarsler, der kan ses i nogle løsninger. Dette er ikke en IOC (Identifiers of Compromise) søgeproces. Og dette er ikke en form for passiv aktivitet, der opstår uden deltagelse af informationssikkerhedsanalytikere. Trusselsjagt er først og fremmest en proces.
Komponenter i trusselsjagt
Tre hovedkomponenter i Threat Hunting: data, teknologi, mennesker.
Data (hvad?), herunder Big Data. Alle former for trafikstrømme, information om tidligere APT'er, analyser, data om brugeraktivitet, netværksdata, information fra medarbejdere, information på darknet og meget mere.
Teknologier (hvordan?) behandling af disse data - alle mulige måder at behandle disse data på, inklusive Machine Learning.
Mennesker som?) – dem, der har stor erfaring med at analysere forskellige angreb, udviklet intuition og evnen til at opdage et angreb. Typisk er disse informationssikkerhedsanalytikere, der skal have evnen til at generere hypoteser og finde bekræftelse for dem. De er hovedleddet i processen.
Model PARIS
Adam Bateman PARIS-model for den ideelle TH-proces. Navnet hentyder til et berømt vartegn i Frankrig. Denne model kan ses i to retninger - oppefra og nedefra.
Når vi arbejder os igennem modellen nedefra og op, vil vi støde på en masse beviser på ondsindet aktivitet. Hvert bevis har et mål kaldet tillid – en egenskab, der afspejler vægten af dette bevis. Der er "jern", direkte beviser for ondsindet aktivitet, ifølge hvilket vi straks kan nå toppen af pyramiden og oprette en faktisk advarsel om en præcis kendt infektion. Og der er indirekte beviser, hvis summen også kan føre os til toppen af pyramiden. Som altid er der meget mere indirekte evidens end direkte evidens, hvilket betyder, at de skal sorteres og analyseres, der skal udføres yderligere forskning, og det er tilrådeligt at automatisere dette.
Model PARIS.
Den øverste del af modellen (1 og 2) er baseret på automatiseringsteknologier og forskellige analyser, og den nederste del (3 og 4) er baseret på personer med bestemte kvalifikationer, der styrer processen. Du kan overveje, at modellen bevæger sig fra top til bund, hvor vi i den øverste del af den blå farve har advarsler fra traditionelle sikkerhedsværktøjer (antivirus, EDR, firewall, signaturer) med en høj grad af tillid og tillid, og nedenfor er indikatorer ( IOC, URL, MD5 og andre), som har en lavere grad af sikkerhed og kræver yderligere undersøgelse. Og det laveste og tykkeste niveau (4) er genereringen af hypoteser, skabelsen af nye scenarier for driften af traditionelle beskyttelsesmidler. Dette niveau er ikke kun begrænset til de specificerede kilder til hypoteser. Jo lavere niveau, jo flere krav stilles der til analytikerens kvalifikationer.
Det er meget vigtigt, at analytikere ikke blot tester et begrænset sæt af forudbestemte hypoteser, men konstant arbejder på at generere nye hypoteser og muligheder for at teste dem.
TH-brugsmodenhedsmodel
I en ideel verden er TH en løbende proces. Men da der ikke er nogen ideel verden, lad os analysere og metoder i form af mennesker, processer og teknologier, der anvendes. Lad os overveje en model af en ideel sfærisk TH. Der er 5 niveauer for at bruge denne teknologi. Lad os se på dem ved at bruge eksemplet med udviklingen af et enkelt team af analytikere.
Niveauer af modenhed
Mennesker
processer
Teknologi
Niveau 0
SOC analytikere
24/7
Traditionelle instrumenter:
Traditionel
Sæt af advarsler
Passiv overvågning
IDS, AV, Sandboxing,
Uden TH
Arbejder med alarmer
Signaturanalyseværktøjer, Threat Intelligence-data.
Niveau 1
SOC analytikere
Engangs TH
EDR
Eksperimentel
Grundlæggende viden om retsmedicin
IOC-søgning
Delvis dækning af data fra netværksenheder
Eksperimenter med TH
Godt kendskab til netværk og applikationer
Delvis anvendelse
Niveau 2
Midlertidig besættelse
Sprints
EDR
Periodisk
Gennemsnitligt kendskab til retsmedicin
Uge til måned
Fuld ansøgning
Midlertidig TH
Stort kendskab til netværk og applikationer
Almindelig TH
Fuld automatisering af EDR-dataforbrug
Delvis brug af avancerede EDR-funktioner
Niveau 3
Dedikeret TH-kommando
24/7
Delvis evne til at teste hypoteser TH
Forebyggende
Fremragende viden om retsmedicin og malware
Forebyggende TH
Fuld brug af avancerede EDR-funktioner
Særlige tilfælde TH
Fremragende kendskab til den angribende side
Særlige tilfælde TH
Fuld dækning af data fra netværksenheder
Konfiguration der passer til dine behov
Niveau 4
Dedikeret TH-kommando
24/7
Fuld evne til at teste TH-hypoteser
Førende
Fremragende viden om retsmedicin og malware
Forebyggende TH
Niveau 3 plus:
Bruger TH
Fremragende kendskab til den angribende side
Test, automatisering og verifikation af hypoteser TH
tæt integration af datakilder;
Forskningsevne
udvikling efter behov og ikke-standard brug af API.
TH modenhedsniveauer af mennesker, processer og teknologier
0-niveau: traditionel, uden at bruge TH. Regelmæssige analytikere arbejder med et standardsæt af alarmer i passiv overvågningstilstand ved hjælp af standardværktøjer og -teknologier: IDS, AV, sandbox, signaturanalyseværktøjer.
1-niveau: eksperimentel, ved hjælp af TH. De samme analytikere med grundlæggende viden om retsmedicin og godt kendskab til netværk og applikationer kan udføre engangs-Trusselsjagt ved at søge efter indikatorer for kompromis. EDR'er føjes til værktøjerne med delvis dækning af data fra netværksenheder. Værktøjerne er delvist brugt.
2-niveau: periodisk, midlertidig TH. De samme analytikere, der allerede har opgraderet deres viden inden for retsmedicin, netværk og applikationsdelen, er forpligtet til regelmæssigt at engagere sig i Threat Hunting (sprint), for eksempel en uge om måneden. Værktøjerne tilføjer fuld udforskning af data fra netværksenheder, automatisering af dataanalyse fra EDR og delvis brug af avancerede EDR-funktioner.
3-niveau: forebyggende, hyppige tilfælde af TH. Vores analytikere organiserede sig i et dedikeret team og begyndte at have fremragende viden om retsmedicin og malware, samt viden om den angribende sides metoder og taktik. Processen udføres allerede 24/7. Holdet er i stand til delvist at teste TH-hypoteser, mens de fuldt ud udnytter de avancerede muligheder i EDR med fuld dækning af data fra netværksenheder. Analytikere er også i stand til at konfigurere værktøjer, så de passer til deres behov.
4-niveau: high-end, brug TH. Det samme hold erhvervede evnen til at forske, evnen til at generere og automatisere processen med at teste TH-hypoteser. Nu er værktøjerne blevet suppleret med tæt integration af datakilder, softwareudvikling for at imødekomme behov og ikke-standard brug af API'er.
Trusselsjagtteknikker
Grundlæggende trusselsjagtteknikker
К TH, i rækkefølge efter modenhed af den anvendte teknologi, er: grundlæggende søgning, statistisk analyse, visualiseringsteknikker, simple aggregeringer, maskinlæring og Bayesianske metoder.
Den enkleste metode, en grundlæggende søgning, bruges til at indsnævre forskningsområdet ved hjælp af specifikke forespørgsler. Statistisk analyse bruges for eksempel til at konstruere typisk bruger- eller netværksaktivitet i form af en statistisk model. Visualiseringsteknikker bruges til visuelt at vise og forenkle analysen af data i form af grafer og diagrammer, hvilket gør det meget lettere at skelne mønstre i prøven. Teknikken med simple aggregeringer efter nøglefelter bruges til at optimere søgning og analyse. Jo mere moden en organisations TH-proces bliver, jo mere relevant bliver brugen af maskinlæringsalgoritmer. De er også meget brugt til at filtrere spam, opdage ondsindet trafik og opdage svigagtige aktiviteter. En mere avanceret type maskinlæringsalgoritme er Bayesianske metoder, som giver mulighed for klassificering, reduktion af prøvestørrelse og emnemodellering.
Diamantmodel og TH-strategier
Sergio Caltagiron, Andrew Pendegast og Christopher Betz i deres arbejde "» viste de vigtigste nøglekomponenter i enhver ondsindet aktivitet og den grundlæggende forbindelse mellem dem.
Diamantmodel for ondsindet aktivitet
Ifølge denne model er der 4 trusselsjagtstrategier, som er baseret på de tilsvarende nøglekomponenter.
1. Offerorienteret strategi. Vi antager, at offeret har modstandere, og de vil levere "muligheder" via e-mail. Vi leder efter fjendedata med posten. Søg efter links, vedhæftede filer osv. Vi leder efter bekræftelse af denne hypotese i en vis periode (en måned, to uger); hvis vi ikke finder den, virkede hypotesen ikke.
2. Infrastrukturorienteret strategi. Der er flere metoder til at bruge denne strategi. Afhængigt af adgang og synlighed er nogle nemmere end andre. For eksempel overvåger vi domænenavneservere, der er kendt for at være vært for ondsindede domæner. Eller vi gennemgår processen med at overvåge alle nye domænenavnsregistreringer for et kendt mønster, der bruges af en modstander.
3. Kapacitetsdrevet strategi. Ud over den offer-fokuserede strategi, der bruges af de fleste netværksforsvarere, er der en mulighedsfokuseret strategi. Det er den næstmest populære og fokuserer på at opdage muligheder fra modstanderen, nemlig "malware" og modstanderens evne til at bruge legitime værktøjer såsom psexec, powershell, certutil og andre.
4. Fjendeorienteret strategi. Den modstandscentrerede tilgang fokuserer på modstanderen selv. Dette omfatter brugen af åben information fra offentligt tilgængelige kilder (OSINT), indsamling af data om fjenden, hans teknikker og metoder (TTP), analyse af tidligere hændelser, Threat Intelligence-data mv.
Informationskilder og hypoteser i TH
Nogle informationskilder til Threat Hunting
Der kan være mange informationskilder. En ideel analytiker bør være i stand til at udtrække information fra alt, hvad der er omkring. Typiske kilder i næsten enhver infrastruktur vil være data fra sikkerhedsværktøjer: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typiske informationskilder vil også være forskellige indikatorer for kompromis, Threat Intelligence-tjenester, CERT- og OSINT-data. Derudover kan du bruge information fra darknet (for eksempel er der pludselig en ordre om at hacke postkassen til lederen af en organisation, eller en kandidat til stillingen som netværksingeniør er blevet afsløret for sin aktivitet), information modtaget fra HR (anmeldelser af kandidaten fra et tidligere arbejdssted), information fra sikkerhedstjenesten (f.eks. resultaterne af verifikation af modparten).
Men før du bruger alle tilgængelige kilder, er det nødvendigt at have mindst én hypotese.
For at teste hypoteser skal de først fremlægges. Og for at fremsætte mange hypoteser af høj kvalitet er det nødvendigt at anvende en systematisk tilgang. Processen med at generere hypoteser er beskrevet mere detaljeret i, er det meget bekvemt at tage denne ordning som grundlag for processen med at fremsætte hypoteser.
Hovedkilden til hypoteser vil være ATT&CK matrix (Modstridende taktik, teknikker og almindelig viden). Det er i bund og grund en vidensbase og model til at vurdere adfærden hos angribere, der udfører deres aktiviteter i de sidste trin af et angreb, normalt beskrevet ved hjælp af konceptet Kill Chain. Det vil sige i stadierne efter, at en angriber er trængt ind i en virksomheds interne netværk eller på en mobilenhed. Videnbasen indeholdt oprindeligt beskrivelser af 121 taktikker og teknikker brugt i angreb, som hver især er beskrevet i detaljer i Wiki-format. Forskellige Threat Intelligence-analyser er velegnede som en kilde til at generere hypoteser. Særligt bemærkelsesværdigt er resultaterne af infrastrukturanalyser og penetrationstests - dette er de mest værdifulde data, der kan give os jernbeklædte hypoteser på grund af det faktum, at de er baseret på en specifik infrastruktur med dens specifikke mangler.
Hypotesetestproces
Sergei Soldatov bragte med en detaljeret beskrivelse af processen illustrerer den processen med at teste TH-hypoteser i et enkelt system. Jeg vil angive hovedstadierne med en kort beskrivelse.
Etape 1: TI Farm
På dette stadium er det nødvendigt at fremhæve objekter (ved at analysere dem sammen med alle trusselsdata) og tildele dem etiketter for deres egenskaber. Disse er fil, URL, MD5, proces, værktøj, begivenhed. Når du sender dem gennem Threat Intelligence-systemer, er det nødvendigt at vedhæfte tags. Det vil sige, at dette websted blev bemærket i CNC i sådan og sådan et år, denne MD5 var forbundet med sådan og sådan malware, denne MD5 blev downloadet fra et websted, der distribuerede malware.
Fase 2: Sager
På anden fase ser vi på interaktionen mellem disse objekter og identificerer relationerne mellem alle disse objekter. Vi får markerede systemer, der gør noget dårligt.
Trin 3: Analytiker
På tredje trin overføres sagen til en erfaren analytiker, der har stor erfaring med analyse, og han afsiger en dom. Han analyserer ned til bytes hvad, hvor, hvordan, hvorfor og hvorfor denne kode gør. Denne krop var malware, denne computer var inficeret. Afslører forbindelser mellem objekter, kontrollerer resultaterne af at køre gennem sandkassen.
Resultaterne af analytikerens arbejde formidles videre. Digital Forensics undersøger billeder, Malware-analyse undersøger de fundne "kroppe", og Incident Response-teamet kan gå til webstedet og undersøge noget, der allerede er der. Resultatet af arbejdet vil være en bekræftet hypotese, et identificeret angreb og måder at imødegå det på.
Resultaterne af
Threat Hunting er en ret ung teknologi, der effektivt kan imødegå tilpassede, nye og ikke-standardiserede trusler, som har store udsigter i betragtning af det stigende antal af sådanne trusler og den stigende kompleksitet af virksomhedens infrastruktur. Det kræver tre komponenter – data, værktøjer og analytikere. Fordelene ved Trusselsjagt er ikke begrænset til at forhindre implementering af trusler. Glem ikke, at vi under søgeprocessen dykker ned i vores infrastruktur og dens svage punkter gennem en sikkerhedsanalytikers øjne og kan styrke disse punkter yderligere.
De første skridt, der efter vores mening skal tages for at begynde TH-processen i din organisation.
- Sørg for at beskytte endepunkter og netværksinfrastruktur. Sørg for synlighed (NetFlow) og kontrol (firewall, IDS, IPS, DLP) af alle processer på dit netværk. Kend dit netværk fra edge-routeren til den allersidste vært.
- Udforske.
- Udfør regelmæssige tests af mindst vigtige eksterne ressourcer, analyser resultaterne, identificer hovedmålene for angreb og luk deres sårbarheder.
- Implementer et open source Threat Intelligence-system (for eksempel MISP, Yeti) og analyser logfiler i forbindelse med det.
- Implementer en hændelsesresponsplatform (IRP): R-Vision IRP, The Hive, sandkasse til analyse af mistænkelige filer (FortiSandbox, Cuckoo).
- Automatiser rutineprocesser. Analyse af logs, registrering af hændelser, informere personalet er et enormt felt for automatisering.
- Lær at interagere effektivt med ingeniører, udviklere og teknisk support for at samarbejde om hændelser.
- Dokumenter hele processen, nøglepunkter, opnåede resultater for at vende tilbage til dem senere eller dele disse data med kolleger;
- Vær social: Vær opmærksom på, hvad der sker med dine medarbejdere, hvem du ansætter, og hvem du giver adgang til organisationens informationsressourcer.
- Hold dig ajour med tendenser inden for nye trusler og beskyttelsesmetoder, øg dit niveau af tekniske færdigheder (herunder i driften af it-tjenester og undersystemer), deltag i konferencer og kommuniker med kolleger.
Klar til at diskutere tilrettelæggelsen af TH-processen i kommentarerne.
Eller kom og arbejde hos os!
Kilder og materialer til at studere
Kilde: www.habr.com