Threat Hunting ή Πώς να προστατευτείτε από το 5% των απειλών

Το 95% των απειλών για την ασφάλεια των πληροφοριών είναι γνωστές και μπορείτε να προστατευθείτε από αυτές χρησιμοποιώντας παραδοσιακά μέσα όπως antivirus, τείχη προστασίας, IDS, WAF. Το υπόλοιπο 5% των απειλών είναι άγνωστες και οι πιο επικίνδυνες. Αποτελούν το 70% του κινδύνου για μια εταιρεία λόγω του γεγονότος ότι είναι πολύ δύσκολο να εντοπιστούν και πολύ λιγότερο να προστατευτούν από αυτά. Παραδείγματα "μαύροι κύκνοι" είναι η επιδημία ransomware WannaCry, το NotPetya/ExPetr, τα cryptominers, το «κυβερνοόπλο» Stuxnet (που έπληξε τις πυρηνικές εγκαταστάσεις του Ιράν) και πολλές (οποιοσδήποτε άλλος θυμάται το Kido/Conficker;) άλλες επιθέσεις που δεν προστατεύονται πολύ καλά με κλασικά μέτρα ασφαλείας. Θέλουμε να μιλήσουμε για το πώς να αντιμετωπίσουμε αυτό το 5% των απειλών χρησιμοποιώντας την τεχνολογία Threat Hunting.

Η συνεχής εξέλιξη των επιθέσεων στον κυβερνοχώρο απαιτεί συνεχή ανίχνευση και αντίμετρα, γεγονός που μας οδηγεί τελικά να σκεφτούμε έναν ατελείωτο αγώνα εξοπλισμών μεταξύ επιτιθέμενων και υπερασπιστών. Τα κλασικά συστήματα ασφαλείας δεν είναι πλέον σε θέση να παρέχουν ένα αποδεκτό επίπεδο ασφάλειας, στο οποίο το επίπεδο κινδύνου δεν επηρεάζει τους βασικούς δείκτες της εταιρείας (οικονομικούς, πολιτικούς, φήμη) χωρίς να τους τροποποιήσουν για μια συγκεκριμένη υποδομή, αλλά γενικά καλύπτουν ορισμένα τους κινδύνους. Ήδη στη διαδικασία υλοποίησης και διαμόρφωσης, τα σύγχρονα συστήματα ασφαλείας βρίσκονται στο ρόλο να καλύψουν τη διαφορά και πρέπει να ανταποκριθούν στις προκλήσεις της νέας εποχής.

Πηγή

Η τεχνολογία Threat Hunting μπορεί να είναι μια από τις απαντήσεις στις προκλήσεις της εποχής μας για έναν ειδικό σε θέματα ασφάλειας πληροφοριών. Ο όρος Threat Hunting (εφεξής TH) εμφανίστηκε πριν από αρκετά χρόνια. Η ίδια η τεχνολογία είναι αρκετά ενδιαφέρουσα, αλλά δεν έχει ακόμη γενικά αποδεκτά πρότυπα και κανόνες. Το θέμα περιπλέκεται επίσης από την ετερογένεια των πηγών πληροφοριών και τον μικρό αριθμό των ρωσόφωνων πηγών πληροφοριών για αυτό το θέμα. Από αυτή την άποψη, εμείς στη LANIT-Integration αποφασίσαμε να γράψουμε μια ανασκόπηση αυτής της τεχνολογίας.

Συνάφεια

Η τεχνολογία TH βασίζεται σε διαδικασίες παρακολούθησης της υποδομής. Υπάρχουν δύο βασικά σενάρια για την εσωτερική παρακολούθηση – Προειδοποίηση και Κυνήγι. Η ειδοποίηση (παρόμοια με τις υπηρεσίες MSSP) είναι μια παραδοσιακή μέθοδος αναζήτησης υπογραφών και ενδείξεων επιθέσεων που είχαν αναπτυχθεί προηγουμένως και απόκρισης σε αυτές. Αυτό το σενάριο εκτελείται με επιτυχία από παραδοσιακά εργαλεία προστασίας που βασίζονται σε υπογραφές. Το κυνήγι (υπηρεσία τύπου MDR) είναι μια μέθοδος παρακολούθησης που απαντά στην ερώτηση "Από πού προέρχονται οι υπογραφές και οι κανόνες;" Είναι η διαδικασία δημιουργίας κανόνων συσχέτισης με την ανάλυση κρυφών ή προηγουμένως άγνωστων δεικτών και ενδείξεων μιας επίθεσης. Το Threat Hunting αναφέρεται σε αυτό το είδος παρακολούθησης.

Μόνο με το συνδυασμό και των δύο τύπων παρακολούθησης έχουμε προστασία που πλησιάζει την ιδανική, αλλά υπάρχει πάντα ένα ορισμένο επίπεδο υπολειπόμενου κινδύνου.

Προστασία με χρήση δύο τύπων παρακολούθησης

Και να γιατί το TH (και το κυνήγι στο σύνολό του!) θα γίνεται όλο και πιο σχετικό:

Απειλές, διορθωτικά μέτρα, κίνδυνοι. Πηγή

Το 95% όλων των απειλών έχουν ήδη μελετηθεί καλά. Αυτά περιλαμβάνουν τύπους όπως spam, DDoS, ιούς, rootkits και άλλα κλασικά κακόβουλα προγράμματα. Μπορείτε να προστατευθείτε από αυτές τις απειλές χρησιμοποιώντας τα ίδια κλασικά μέτρα ασφαλείας.

Κατά την υλοποίηση οποιουδήποτε έργου Το 20% της εργασίας χρειάζεται το 80% του χρόνου για να ολοκληρωθεί, και το υπόλοιπο 20% της εργασίας διαρκεί το 80% του χρόνου. Ομοίως, σε ολόκληρο το τοπίο απειλών, το 5% των νέων απειλών αντιπροσωπεύει το 70% του κινδύνου για μια εταιρεία. Σε μια εταιρεία όπου οργανώνονται διαδικασίες διαχείρισης ασφάλειας πληροφοριών, μπορούμε να διαχειριστούμε το 30% του κινδύνου εφαρμογής γνωστών απειλών με τον ένα ή τον άλλο τρόπο αποφεύγοντας (άρνηση ασύρματων δικτύων κατ' αρχήν), αποδεχόμενοι (εφαρμόζοντας τα απαραίτητα μέτρα ασφαλείας) ή μετατοπίζοντας (για παράδειγμα, στους ώμους ενός ολοκληρωτή) αυτός ο κίνδυνος. Προστατέψτε τον εαυτό σας από ευπάθειες μηδενικής ημέρας, επιθέσεις APT, phishing, επιθέσεις στην εφοδιαστική αλυσίδα, η κυβερνοκατασκοπεία και οι εθνικές επιχειρήσεις, καθώς και ένας μεγάλος αριθμός άλλων επιθέσεων είναι ήδη πολύ πιο δύσκολες. Οι συνέπειες αυτού του 5% των απειλών θα είναι πολύ πιο σοβαρές (Το μέσο ποσό των τραπεζικών ζημιών από τον όμιλο buhtrap είναι 143 εκατομμύρια) από τις συνέπειες ανεπιθύμητων μηνυμάτων ή ιών, από τους οποίους αποθηκεύει το λογισμικό προστασίας από ιούς.

Σχεδόν όλοι πρέπει να αντιμετωπίσουν το 5% των απειλών. Πρόσφατα χρειάστηκε να εγκαταστήσουμε μια λύση ανοιχτού κώδικα που χρησιμοποιεί μια εφαρμογή από το αποθετήριο PEAR (PHP Extension and Application Repository). Μια προσπάθεια εγκατάστασης αυτής της εφαρμογής μέσω εγκατάστασης αχλαδιών απέτυχε επειδή δικτυακός τόπος δεν ήταν διαθέσιμο (τώρα υπάρχει ένα στέλεχος σε αυτό), έπρεπε να το εγκαταστήσω από το GitHub. Και μόλις πρόσφατα αποδείχθηκε ότι η ΑΧΛΑΔΑ έγινε θύμα επιθέσεις στην εφοδιαστική αλυσίδα.

Μπορείτε ακόμα να θυμάστε επίθεση χρησιμοποιώντας CCleaner, μια επιδημία του ransomware NePetya μέσω μιας ενότητας ενημέρωσης για ένα πρόγραμμα φορολογικών αναφορών MEDoc. Οι απειλές γίνονται όλο και πιο περίπλοκες και τίθεται το λογικό ερώτημα - «Πώς μπορούμε να αντιμετωπίσουμε αυτό το 5% των απειλών;»

Ορισμός του κυνηγιού απειλών

Έτσι, το Threat Hunting είναι η διαδικασία προληπτικής και επαναληπτικής αναζήτησης και εντοπισμού προηγμένων απειλών που δεν μπορούν να εντοπιστούν από τα παραδοσιακά εργαλεία ασφαλείας. Οι προηγμένες απειλές περιλαμβάνουν, για παράδειγμα, επιθέσεις όπως APT, επιθέσεις σε ευπάθειες 0-day, Living off the Land και ούτω καθεξής.

Μπορούμε επίσης να επαναδιατυπώσουμε ότι το TH είναι η διαδικασία ελέγχου υποθέσεων. Πρόκειται για μια κυρίως χειρωνακτική διαδικασία με στοιχεία αυτοματισμού, στην οποία ο αναλυτής, βασιζόμενος στις γνώσεις και τις δεξιότητές του, κοσκινίζει μεγάλους όγκους πληροφοριών αναζητώντας σημεία συμβιβασμού που αντιστοιχούν στην αρχικά καθορισμένη υπόθεση για την παρουσία μιας συγκεκριμένης απειλής. Το χαρακτηριστικό του χαρακτηριστικό είναι η ποικιλία των πηγών πληροφοριών.

Θα πρέπει να σημειωθεί ότι το Threat Hunting δεν είναι κάποιο είδος προϊόντος λογισμικού ή υλικού. Αυτές δεν είναι ειδοποιήσεις που μπορούν να φανούν σε κάποια λύση. Αυτή δεν είναι μια διαδικασία αναζήτησης IOC (Identifiers of Compromise). Και αυτό δεν είναι κάποιο είδος παθητικής δραστηριότητας που συμβαίνει χωρίς τη συμμετοχή αναλυτών ασφάλειας πληροφοριών. Το Threat Hunting είναι πρώτα και κύρια μια διαδικασία.

Συστατικά του κυνηγιού απειλών

Τρία κύρια στοιχεία του Threat Hunting: δεδομένα, τεχνολογία, άνθρωποι.

Δεδομένα (τι;), συμπεριλαμβανομένων των Big Data. Όλα τα είδη ροών κυκλοφορίας, πληροφορίες για προηγούμενα APT, αναλυτικά στοιχεία, δεδομένα σχετικά με τη δραστηριότητα των χρηστών, δεδομένα δικτύου, πληροφορίες από υπαλλήλους, πληροφορίες στο darknet και πολλά άλλα.

Τεχνολογίες (πώς;) επεξεργασία αυτών των δεδομένων - όλοι οι πιθανοί τρόποι επεξεργασίας αυτών των δεδομένων, συμπεριλαμβανομένης της Μηχανικής Εκμάθησης.

Ανθρωποι που?) – όσοι έχουν μεγάλη εμπειρία στην ανάλυση διαφόρων επιθέσεων, έχουν αναπτύξει διαίσθηση και ικανότητα ανίχνευσης επίθεσης. Συνήθως πρόκειται για αναλυτές ασφάλειας πληροφοριών που πρέπει να έχουν την ικανότητα να δημιουργούν υποθέσεις και να βρίσκουν επιβεβαίωση για αυτές. Αποτελούν τον κύριο κρίκο στη διαδικασία.

Μοντέλο PARIS

Άνταμ Μπέιτμαν περιγράφει Μοντέλο PARIS για την ιδανική διαδικασία TH. Το όνομα παραπέμπει σε ένα διάσημο ορόσημο στη Γαλλία. Αυτό το μοντέλο μπορεί να προβληθεί σε δύο κατευθύνσεις - από πάνω και από κάτω.

Καθώς προχωράμε στο μοντέλο από κάτω προς τα πάνω, θα συναντήσουμε πολλά στοιχεία κακόβουλης δραστηριότητας. Κάθε αποδεικτικό στοιχείο έχει ένα μέτρο που ονομάζεται εμπιστοσύνη - ένα χαρακτηριστικό που αντανακλά το βάρος αυτών των αποδεικτικών στοιχείων. Υπάρχει «σίδερο», άμεσες ενδείξεις κακόβουλης δραστηριότητας, σύμφωνα με τις οποίες μπορούμε να φτάσουμε αμέσως στην κορυφή της πυραμίδας και να δημιουργήσουμε μια πραγματική ειδοποίηση για μια ακριβώς γνωστή μόλυνση. Και υπάρχουν έμμεσα στοιχεία, το άθροισμα των οποίων μπορεί επίσης να μας οδηγήσει στην κορυφή της πυραμίδας. Όπως πάντα, υπάρχουν πολύ περισσότερα έμμεσα στοιχεία από τα άμεσα στοιχεία, πράγμα που σημαίνει ότι πρέπει να ταξινομηθούν και να αναλυθούν, πρέπει να διεξαχθεί πρόσθετη έρευνα και είναι σκόπιμο να αυτοματοποιηθεί.

Μοντέλο PARIS. Πηγή

Το επάνω μέρος του μοντέλου (1 και 2) βασίζεται σε τεχνολογίες αυτοματισμού και διάφορα αναλυτικά στοιχεία, και το κάτω μέρος (3 και 4) βασίζεται σε άτομα με συγκεκριμένα προσόντα που διαχειρίζονται τη διαδικασία. Μπορείτε να σκεφτείτε ότι το μοντέλο κινείται από πάνω προς τα κάτω, όπου στο πάνω μέρος του μπλε χρώματος έχουμε ειδοποιήσεις από παραδοσιακά εργαλεία ασφαλείας (antivirus, EDR, τείχος προστασίας, υπογραφές) με υψηλό βαθμό εμπιστοσύνης και εμπιστοσύνης και παρακάτω υπάρχουν ενδείξεις ( IOC, URL, MD5 και άλλα), τα οποία έχουν χαμηλότερο βαθμό βεβαιότητας και απαιτούν πρόσθετη μελέτη. Και το χαμηλότερο και παχύτερο επίπεδο (4) είναι η δημιουργία υποθέσεων, η δημιουργία νέων σεναρίων για τη λειτουργία παραδοσιακών μέσων προστασίας. Αυτό το επίπεδο δεν περιορίζεται μόνο στις καθορισμένες πηγές υποθέσεων. Όσο χαμηλότερο είναι το επίπεδο, τόσο περισσότερες απαιτήσεις τίθενται για τα προσόντα του αναλυτή.

Είναι πολύ σημαντικό οι αναλυτές να μην δοκιμάζουν απλώς ένα πεπερασμένο σύνολο προκαθορισμένων υποθέσεων, αλλά να εργάζονται συνεχώς για να δημιουργήσουν νέες υποθέσεις και επιλογές για τον έλεγχο τους.

Μοντέλο ωριμότητας χρήσης TH

Σε έναν ιδανικό κόσμο, το TH είναι μια συνεχής διαδικασία. Αλλά, αφού δεν υπάρχει ιδανικός κόσμος, ας αναλύσουμε μοντέλο ωριμότητας και τις μεθόδους όσον αφορά τους ανθρώπους, τις διαδικασίες και τις τεχνολογίες που χρησιμοποιούνται. Ας εξετάσουμε ένα μοντέλο ιδεώδους σφαιρικού TH. Υπάρχουν 5 επίπεδα χρήσης αυτής της τεχνολογίας. Ας τα δούμε χρησιμοποιώντας το παράδειγμα της εξέλιξης μιας ενιαίας ομάδας αναλυτών.

Επίπεδα ωριμότητας
Άνθρωποι
Διαδικασίες
Τεχνολογία

Επίπεδο 0
Αναλυτές SOC
24/7
Παραδοσιακά όργανα:

Παραδοσιακός
Σύνολο ειδοποιήσεων
Παθητική παρακολούθηση
IDS, AV, Sandboxing,

Χωρίς Θ
Εργασία με ειδοποιήσεις

Εργαλεία ανάλυσης υπογραφών, δεδομένα ευφυΐας απειλών.

Επίπεδο 1
Αναλυτές SOC
Εφάπαξ Θ
EDR

Πειραματικός
Βασικές γνώσεις εγκληματολογίας
Αναζήτηση της ΔΟΕ
Μερική κάλυψη δεδομένων από συσκευές δικτύου

Πειράματα με TH
Καλή γνώση δικτύων και εφαρμογών

Μερική εφαρμογή

Επίπεδο 2
Προσωρινή απασχόληση
Σπριντ
EDR

Περιοδικός
Μέση γνώση εγκληματολογίας
Εβδομάδα σε μήνα
Πλήρης εφαρμογή

Προσωρινή Θ.Ε
Άριστη γνώση δικτύων και εφαρμογών
Τακτικό Θ.Ε
Πλήρης αυτοματοποίηση της χρήσης δεδομένων EDR

Μερική χρήση προηγμένων δυνατοτήτων EDR

Επίπεδο 3
Αφιερωμένη εντολή TH
24/7
Μερική ικανότητα δοκιμής υποθέσεων Θ

Προληπτικός
Άριστη γνώση εγκληματολογίας και κακόβουλου λογισμικού
Προληπτική Θ
Πλήρης χρήση προηγμένων δυνατοτήτων EDR

Ειδικές περιπτώσεις Θ
Άριστη γνώση της επιθετικής πλευράς
Ειδικές περιπτώσεις Θ
Πλήρης κάλυψη δεδομένων από συσκευές δικτύου

Διαμόρφωση για να ταιριάζει στις ανάγκες σας

Επίπεδο 4
Αφιερωμένη εντολή TH
24/7
Πλήρης ικανότητα δοκιμής υποθέσεων TH

Κύριος
Άριστη γνώση εγκληματολογίας και κακόβουλου λογισμικού
Προληπτική Θ
Επίπεδο 3, συν:

Χρησιμοποιώντας το TH
Άριστη γνώση της επιθετικής πλευράς
Έλεγχος, αυτοματοποίηση και επαλήθευση υποθέσεων Θ.Ε
στενή ενοποίηση των πηγών δεδομένων·

Ερευνητική ικανότητα

ανάπτυξη σύμφωνα με τις ανάγκες και μη τυπική χρήση του API.

Επίπεδα ωριμότητας TH ανά άτομα, διαδικασίες και τεχνολογίες

Επίπεδο 0: παραδοσιακό, χωρίς χρήση Θ.Χ. Οι τακτικοί αναλυτές εργάζονται με ένα τυπικό σύνολο ειδοποιήσεων σε λειτουργία παθητικής παρακολούθησης χρησιμοποιώντας τυπικά εργαλεία και τεχνολογίες: IDS, AV, sandbox, εργαλεία ανάλυσης υπογραφών.

Επίπεδο 1: πειραματικά, χρησιμοποιώντας TH. Οι ίδιοι αναλυτές με βασικές γνώσεις εγκληματολογίας και καλή γνώση δικτύων και εφαρμογών μπορούν να πραγματοποιήσουν εφάπαξ Threat Hunting αναζητώντας δείκτες συμβιβασμού. Τα EDR προστίθενται στα εργαλεία με μερική κάλυψη δεδομένων από συσκευές δικτύου. Τα εργαλεία χρησιμοποιούνται εν μέρει.

Επίπεδο 2: περιοδική, προσωρινή Θ.Ε. Οι ίδιοι αναλυτές που έχουν ήδη αναβαθμίσει τις γνώσεις τους στην εγκληματολογία, τα δίκτυα και το κομμάτι των εφαρμογών υποχρεούνται να ασχολούνται τακτικά με το Threat Hunting (σπριντ), ας πούμε, μια εβδομάδα το μήνα. Τα εργαλεία προσθέτουν πλήρη εξερεύνηση δεδομένων από συσκευές δικτύου, αυτοματοποίηση ανάλυσης δεδομένων από EDR και μερική χρήση προηγμένων δυνατοτήτων EDR.

Επίπεδο 3: προληπτικά, συχνές περιπτώσεις Θ.Ε. Οι αναλυτές μας οργανώθηκαν σε μια αφοσιωμένη ομάδα και άρχισαν να έχουν άριστη γνώση εγκληματολογίας και κακόβουλου λογισμικού, καθώς και γνώση των μεθόδων και τακτικών της επιθετικής πλευράς. Η διαδικασία πραγματοποιείται ήδη 24/7. Η ομάδα είναι σε θέση να δοκιμάσει εν μέρει τις υποθέσεις TH ενώ αξιοποιεί πλήρως τις προηγμένες δυνατότητες του EDR με πλήρη κάλυψη δεδομένων από συσκευές δικτύου. Οι αναλυτές είναι επίσης σε θέση να διαμορφώσουν εργαλεία για να ταιριάζουν στις ανάγκες τους.

Επίπεδο 4: high-end, χρησιμοποιήστε TH. Η ίδια ομάδα απέκτησε την ικανότητα έρευνας, τη δυνατότητα δημιουργίας και αυτοματοποίησης της διαδικασίας δοκιμής υποθέσεων TH. Τώρα τα εργαλεία έχουν συμπληρωθεί με στενή ενοποίηση πηγών δεδομένων, ανάπτυξη λογισμικού για την κάλυψη των αναγκών και μη τυπική χρήση των API.

Τεχνικές κυνηγιού απειλών

Βασικές τεχνικές κυνηγιού απειλών

К τεχνικούς Η TH, κατά σειρά ωριμότητας της τεχνολογίας που χρησιμοποιείται, είναι: βασική αναζήτηση, στατιστική ανάλυση, τεχνικές οπτικοποίησης, απλές συναθροίσεις, μηχανική μάθηση και μέθοδοι Bayes.

Η απλούστερη μέθοδος, μια βασική αναζήτηση, χρησιμοποιείται για να περιορίσει την περιοχή της έρευνας χρησιμοποιώντας συγκεκριμένα ερωτήματα. Η στατιστική ανάλυση χρησιμοποιείται, για παράδειγμα, για την κατασκευή τυπικής δραστηριότητας χρήστη ή δικτύου με τη μορφή ενός στατιστικού μοντέλου. Οι τεχνικές οπτικοποίησης χρησιμοποιούνται για την οπτική εμφάνιση και την απλούστευση της ανάλυσης δεδομένων με τη μορφή γραφημάτων και γραφημάτων, τα οποία καθιστούν πολύ πιο εύκολη τη διάκριση των μοτίβων στο δείγμα. Η τεχνική των απλών συναθροίσεων κατά βασικά πεδία χρησιμοποιείται για τη βελτιστοποίηση της αναζήτησης και της ανάλυσης. Όσο πιο ώριμη είναι η διαδικασία TH ενός οργανισμού, τόσο πιο σχετική γίνεται η χρήση των αλγορίθμων μηχανικής μάθησης. Χρησιμοποιούνται επίσης ευρέως για το φιλτράρισμα ανεπιθύμητων μηνυμάτων, τον εντοπισμό κακόβουλης κυκλοφορίας και τον εντοπισμό δόλιων δραστηριοτήτων. Ένας πιο προηγμένος τύπος αλγορίθμου μηχανικής μάθησης είναι οι μέθοδοι Bayes, οι οποίες επιτρέπουν ταξινόμηση, μείωση μεγέθους δείγματος και μοντελοποίηση θεμάτων.

Diamond Model and TH Strategies

Sergio Caltagiron, Andrew Pendegast και Christopher Betz στο έργο τους "The Diamond Model of Intrusion Analysis» έδειξε τα κύρια βασικά συστατικά κάθε κακόβουλης δραστηριότητας και τη βασική σύνδεση μεταξύ τους.

Μοντέλο διαμαντιών για κακόβουλη δραστηριότητα

Σύμφωνα με αυτό το μοντέλο, υπάρχουν 4 στρατηγικές Threat Hunting, οι οποίες βασίζονται στα αντίστοιχα βασικά συστατικά.

1. Στρατηγική προσανατολισμένη στο θύμα. Υποθέτουμε ότι το θύμα έχει αντιπάλους και θα προσφέρουν «ευκαιρίες» μέσω email. Αναζητούμε δεδομένα του εχθρού στο ταχυδρομείο. Αναζήτηση για συνδέσμους, συνημμένα κ.λπ. Αναζητούμε την επιβεβαίωση αυτής της υπόθεσης για ένα ορισμένο χρονικό διάστημα (ένας μήνας, δύο εβδομάδες)· αν δεν τη βρούμε, τότε η υπόθεση δεν λειτούργησε.

2. Στρατηγική προσανατολισμένη στις υποδομές. Υπάρχουν πολλές μέθοδοι για τη χρήση αυτής της στρατηγικής. Ανάλογα με την πρόσβαση και την ορατότητα, μερικά είναι ευκολότερα από άλλα. Για παράδειγμα, παρακολουθούμε διακομιστές ονομάτων τομέα που είναι γνωστό ότι φιλοξενούν κακόβουλους τομείς. Ή περνάμε από τη διαδικασία παρακολούθησης όλων των νέων καταχωρίσεων ονομάτων τομέα για ένα γνωστό μοτίβο που χρησιμοποιείται από έναν αντίπαλο.

3. Στρατηγική με γνώμονα τις δυνατότητες. Εκτός από τη στρατηγική που εστιάζει στο θύμα που χρησιμοποιείται από τους περισσότερους υπερασπιστές δικτύου, υπάρχει μια στρατηγική που εστιάζει στις ευκαιρίες. Είναι το δεύτερο πιο δημοφιλές και εστιάζει στον εντοπισμό δυνατοτήτων από τον αντίπαλο, δηλαδή «κακόβουλο λογισμικό» και την ικανότητα του αντιπάλου να χρησιμοποιεί νόμιμα εργαλεία όπως psexec, powershell, certutil και άλλα.

4. Στρατηγική προσανατολισμένη στον εχθρό. Η αντιπαλοκεντρική προσέγγιση εστιάζει στον ίδιο τον αντίπαλο. Αυτό περιλαμβάνει τη χρήση ανοιχτών πληροφοριών από δημοσίως διαθέσιμες πηγές (OSINT), τη συλλογή δεδομένων σχετικά με τον εχθρό, τις τεχνικές και τις μεθόδους του (TTP), την ανάλυση προηγούμενων περιστατικών, τα δεδομένα του Threat Intelligence κ.λπ.

Πηγές πληροφοριών και υποθέσεων στο Θ.Ε

Μερικές πηγές πληροφοριών για το Threat Hunting

Μπορεί να υπάρχουν πολλές πηγές πληροφοριών. Ένας ιδανικός αναλυτής θα πρέπει να είναι σε θέση να εξάγει πληροφορίες από οτιδήποτε υπάρχει γύρω. Τυπικές πηγές σχεδόν σε οποιαδήποτε υποδομή θα είναι δεδομένα από εργαλεία ασφαλείας: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Επίσης, τυπικές πηγές πληροφοριών θα είναι διάφοροι δείκτες συμβιβασμού, υπηρεσίες πληροφοριών απειλών, δεδομένα CERT και OSINT. Επιπλέον, μπορείτε να χρησιμοποιήσετε πληροφορίες από το darknet (για παράδειγμα, ξαφνικά υπάρχει εντολή να χακάρετε το γραμματοκιβώτιο του επικεφαλής ενός οργανισμού ή ένας υποψήφιος για τη θέση ενός μηχανικού δικτύου έχει εκτεθεί για τη δραστηριότητά του), πληροφορίες που λαμβάνονται από HR (κριτικές του υποψηφίου από προηγούμενο τόπο εργασίας), πληροφορίες από την υπηρεσία ασφαλείας (για παράδειγμα, τα αποτελέσματα της επαλήθευσης του αντισυμβαλλομένου).

Αλλά πριν χρησιμοποιήσετε όλες τις διαθέσιμες πηγές, είναι απαραίτητο να έχετε τουλάχιστον μία υπόθεση.

Πηγή

Για να ελεγχθούν οι υποθέσεις, πρέπει πρώτα να προβληθούν. Και για να προβληθούν πολλές υποθέσεις υψηλής ποιότητας, είναι απαραίτητο να εφαρμοστεί μια συστηματική προσέγγιση. Η διαδικασία δημιουργίας υποθέσεων περιγράφεται με περισσότερες λεπτομέρειες στο άρθρο, είναι πολύ βολικό να ληφθεί αυτό το σχήμα ως βάση για τη διαδικασία υποβολής υποθέσεων.

Η κύρια πηγή των υποθέσεων θα είναι Πίνακας ATT&CK (Αντιμαχικές Τακτικές, Τεχνικές και Κοινή Γνώση). Είναι, στην ουσία, μια βάση γνώσεων και ένα μοντέλο για την αξιολόγηση της συμπεριφοράς των επιτιθέμενων που πραγματοποιούν τις δραστηριότητές τους στα τελευταία βήματα μιας επίθεσης, που συνήθως περιγράφεται χρησιμοποιώντας την έννοια του Kill Chain. Δηλαδή, στα στάδια μετά τη διείσδυση ενός εισβολέα στο εσωτερικό δίκτυο μιας επιχείρησης ή σε μια κινητή συσκευή. Η βάση γνώσεων αρχικά περιλάμβανε περιγραφές 121 τακτικών και τεχνικών που χρησιμοποιούνται στην επίθεση, καθεμία από τις οποίες περιγράφεται λεπτομερώς σε μορφή Wiki. Διάφορα αναλυτικά στοιχεία του Threat Intelligence είναι κατάλληλα ως πηγή για τη δημιουργία υποθέσεων. Ιδιαίτερα αξιοσημείωτα είναι τα αποτελέσματα ανάλυσης υποδομής και δοκιμών διείσδυσης - αυτά είναι τα πιο πολύτιμα δεδομένα που μπορούν να μας δώσουν σιδερένιες υποθέσεις λόγω του γεγονότος ότι βασίζονται σε μια συγκεκριμένη υποδομή με τις συγκεκριμένες ελλείψεις της.

Διαδικασία ελέγχου υποθέσεων

Έφερε ο Σεργκέι Σολντάτοφ καλό διάγραμμα με μια λεπτομερή περιγραφή της διαδικασίας, απεικονίζει τη διαδικασία ελέγχου των υποθέσεων TH σε ένα ενιαίο σύστημα. Θα αναφέρω τα κύρια στάδια με μια σύντομη περιγραφή.

Πηγή

Στάδιο 1: TI Farm

Σε αυτό το στάδιο είναι απαραίτητο να τονίσουμε αντικείμενα (αναλύοντάς τα μαζί με όλα τα δεδομένα απειλών) και αποδίδοντάς τους ετικέτες για τα χαρακτηριστικά τους. Αυτά είναι αρχείο, URL, MD5, διαδικασία, βοηθητικό πρόγραμμα, συμβάν. Όταν τα περνάτε μέσα από συστήματα Threat Intelligence, είναι απαραίτητο να επισυνάψετε ετικέτες. Δηλαδή, αυτός ο ιστότοπος παρατηρήθηκε στο CNC τη τάδε χρονιά, αυτό το MD5 συσχετίστηκε με το άλλο κακόβουλο λογισμικό, αυτό το MD5 έγινε λήψη από έναν ιστότοπο που διένειμε κακόβουλο λογισμικό.

Στάδιο 2: Περιπτώσεις

Στο δεύτερο στάδιο, εξετάζουμε την αλληλεπίδραση μεταξύ αυτών των αντικειμένων και προσδιορίζουμε τις σχέσεις μεταξύ όλων αυτών των αντικειμένων. Παίρνουμε επισημασμένα συστήματα που κάνουν κάτι κακό.

Στάδιο 3: Αναλυτής

Στο τρίτο στάδιο, η υπόθεση μεταφέρεται σε έναν έμπειρο αναλυτή που έχει μεγάλη εμπειρία στην ανάλυση και αυτός βγάζει μια ετυμηγορία. Αναλύει μέχρι τα byte τι, πού, πώς, γιατί και γιατί κάνει αυτός ο κώδικας. Αυτό το σώμα ήταν κακόβουλο λογισμικό, αυτός ο υπολογιστής είχε μολυνθεί. Αποκαλύπτει τις συνδέσεις μεταξύ αντικειμένων, ελέγχει τα αποτελέσματα του τρεξίματος μέσα από το sandbox.

Τα αποτελέσματα της εργασίας του αναλυτή μεταδίδονται περαιτέρω. Η Digital Forensics εξετάζει εικόνες, η Ανάλυση κακόβουλου λογισμικού εξετάζει τα «σώματα» που βρέθηκαν και η ομάδα Αντιμετώπισης Συμβάντων μπορεί να μεταβεί στον ιστότοπο και να διερευνήσει κάτι που βρίσκεται ήδη εκεί. Το αποτέλεσμα της εργασίας θα είναι μια επιβεβαιωμένη υπόθεση, μια προσδιορισμένη επίθεση και τρόποι αντιμετώπισής της.

Πηγή
 

Αποτελέσματα της

Το Threat Hunting είναι μια αρκετά νέα τεχνολογία που μπορεί να αντιμετωπίσει αποτελεσματικά εξατομικευμένες, νέες και μη τυποποιημένες απειλές, η οποία έχει μεγάλες προοπτικές δεδομένου του αυξανόμενου αριθμού τέτοιων απειλών και της αυξανόμενης πολυπλοκότητας της εταιρικής υποδομής. Απαιτεί τρία στοιχεία - δεδομένα, εργαλεία και αναλυτές. Τα οφέλη του Threat Hunting δεν περιορίζονται στην πρόληψη της εφαρμογής απειλών. Μην ξεχνάτε ότι κατά τη διαδικασία αναζήτησης βουτάμε στην υποδομή μας και στα αδύνατα σημεία της μέσα από τα μάτια ενός αναλυτή ασφαλείας και μπορούμε να ενισχύσουμε περαιτέρω αυτά τα σημεία.

Τα πρώτα βήματα που, κατά τη γνώμη μας, πρέπει να γίνουν για να ξεκινήσει η διαδικασία TH στον οργανισμό σας.

1. Φροντίστε για την προστασία των τελικών σημείων και της υποδομής δικτύου. Φροντίστε για την ορατότητα (NetFlow) και τον έλεγχο (τείχος προστασίας, IDS, IPS, DLP) όλων των διαδικασιών στο δίκτυό σας. Γνωρίστε το δίκτυό σας από τον δρομολογητή αιχμής έως τον τελευταίο κεντρικό υπολογιστή.
2. Εξερευνώ MITER ATT & CK.
3. Διεξάγετε τακτικές επιθεωρήσεις τουλάχιστον βασικών εξωτερικών πόρων, αναλύστε τα αποτελέσματά τους, εντοπίστε τους κύριους στόχους για επίθεση και κλείστε τα τρωτά σημεία τους.
4. Εφαρμόστε ένα σύστημα πληροφοριών ανοιχτού κώδικα Threat Intelligence (για παράδειγμα, MISP, Yeti) και αναλύστε αρχεία καταγραφής σε συνδυασμό με αυτό.
5. Εφαρμόστε μια πλατφόρμα απόκρισης περιστατικών (IRP): R-Vision IRP, The Hive, sandbox για την ανάλυση ύποπτων αρχείων (FortiSandbox, Cuckoo).
6. Αυτοματοποιήστε τις διαδικασίες ρουτίνας. Η ανάλυση των αρχείων καταγραφής, η καταγραφή περιστατικών, η ενημέρωση του προσωπικού είναι ένα τεράστιο πεδίο αυτοματισμού.
7. Μάθετε να αλληλεπιδράτε αποτελεσματικά με μηχανικούς, προγραμματιστές και τεχνική υποστήριξη για να συνεργάζεστε σε περιστατικά.
8. Τεκμηριώστε ολόκληρη τη διαδικασία, βασικά σημεία, επιτευχθέντα αποτελέσματα για να επιστρέψετε σε αυτά αργότερα ή να μοιραστείτε αυτά τα δεδομένα με συναδέλφους.
9. Να είστε κοινωνικοί: Να γνωρίζετε τι συμβαίνει με τους υπαλλήλους σας, ποιους προσλαμβάνετε και σε ποιους δίνετε πρόσβαση στους πόρους πληροφοριών του οργανισμού.
10. Ενημερωθείτε για τις τάσεις στον τομέα των νέων απειλών και μεθόδων προστασίας, αυξήστε το επίπεδο τεχνικών γνώσεών σας (συμπεριλαμβανομένης της λειτουργίας υπηρεσιών πληροφορικής και υποσυστημάτων), παρακολουθήστε συνέδρια και επικοινωνήστε με συναδέλφους.

Έτοιμοι να συζητήσουμε την οργάνωση της διαδικασίας TH στα σχόλια.

Ή ελάτε να δουλέψετε μαζί μας!

• Επικεφαλής Σύμβουλος Ασφάλειας Πληροφοριών
• Αρχιτέκτονας Συστήματος για την Ασφάλεια Πληροφοριών
• Επικεφαλής Μηχανικός Ασφάλειας Δικτύων
• Επικεφαλής Μηχανικός Ασφάλειας Πληροφοριών (SIEM)
• Αρχιτέκτονας ασφάλειας πληροφοριών (εφαρμογή)

Πηγές και υλικά προς μελέτη

• απειλοκυνηγός.γκουρού
• attack.mitre.org
• digital-forensics.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• reply-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

Πηγή: www.habr.com