El 95% de las amenazas a la seguridad de la información son conocidas y puedes protegerte de ellas utilizando medios tradicionales como antivirus, firewalls, IDS, WAF. El 5% restante de las amenazas son desconocidas y las más peligrosas. Constituyen el 70% del riesgo para una empresa debido a que es muy difícil detectarlos y mucho menos protegerse contra ellos. Ejemplos son la epidemia de ransomware WannaCry, NotPetya/ExPetr, los criptomineros, el “arma cibernética” Stuxnet (que atacó las instalaciones nucleares de Irán) y muchos otros (¿alguien más recuerda Kido/Conficker?) otros ataques que no están muy bien defendidos con las medidas de seguridad clásicas. Queremos hablar de cómo contrarrestar ese 5% de amenazas utilizando la tecnología Threat Hunting.
La continua evolución de los ciberataques requiere una constante detección y contramedidas, lo que en última instancia nos lleva a pensar en una carrera armamentista sin fin entre atacantes y defensores. Los sistemas de seguridad clásicos ya no son capaces de proporcionar un nivel de seguridad aceptable, en el que el nivel de riesgo no afecte a los indicadores clave de la empresa (económicos, políticos, reputacionales) sin modificarlos para una infraestructura específica, pero en general cubren algunos de los riesgos. Ya en el proceso de implementación y configuración, los sistemas de seguridad modernos se encuentran en el papel de ponerse al día y deben responder a los desafíos de los nuevos tiempos.
La tecnología Threat Hunting puede ser una de las respuestas a los desafíos de nuestro tiempo para un especialista en seguridad de la información. El término Threat Hunting (en adelante TH) apareció hace varios años. La tecnología en sí es bastante interesante, pero aún no cuenta con estándares ni reglas generalmente aceptados. El asunto también se complica por la heterogeneidad de las fuentes de información y el pequeño número de fuentes de información en ruso sobre este tema. En este sentido, en LANIT-Integration decidimos escribir una reseña sobre esta tecnología.
Relevancia
La tecnología TH se basa en procesos de monitoreo de infraestructura.. Las alertas (similares a los servicios MSSP) son un método tradicional para buscar firmas y signos de ataques previamente desarrollados y responder a ellos. Este escenario se realiza con éxito mediante herramientas tradicionales de protección basadas en firmas. La caza (servicio tipo MDR) es un método de monitoreo que responde a la pregunta "¿De dónde provienen las firmas y las reglas?" Es el proceso de creación de reglas de correlación mediante el análisis de indicadores y signos de ataque ocultos o previamente desconocidos. Threat Hunting se refiere a este tipo de monitoreo.
Sólo combinando ambos tipos de monitorización conseguimos una protección cercana a la ideal, pero siempre existe un cierto nivel de riesgo residual.
Protección mediante dos tipos de monitorización
Y he aquí por qué TH (¡y la caza en su totalidad!) será cada vez más relevante:
Amenazas, remedios, riesgos.
. Estos incluyen tipos como spam, DDoS, virus, rootkits y otro malware clásico. Puedes protegerte de estas amenazas utilizando las mismas medidas de seguridad clásicas.
Durante la ejecución de cualquier proyecto.Y el 20% restante del trabajo ocupa el 80% del tiempo. Del mismo modo, en todo el panorama de amenazas, el 5 % de las nuevas amenazas representarán el 70 % del riesgo para una empresa. En una empresa donde se organizan procesos de gestión de la seguridad de la información, podemos gestionar el 30% del riesgo de implementación de amenazas conocidas de una forma u otra evitando (rechazo de redes inalámbricas en principio), aceptando (implementando las medidas de seguridad necesarias) o cambiando (por ejemplo, sobre los hombros de un integrador) este riesgo. Protégete de, ataques APT, phishing,, el ciberespionaje y las operaciones nacionales, así como una gran cantidad de otros ataques, ya son mucho más difíciles. Las consecuencias de ese 5% de amenazas serán mucho más graves () que las consecuencias del spam o los virus, de los que salva el software antivirus.
Casi todo el mundo tiene que hacer frente al 5% de las amenazas. Recientemente tuvimos que instalar una solución de código abierto que utiliza una aplicación del repositorio PEAR (PHP Extension and Application Repository). Un intento de instalar esta aplicación a través de Pear Install falló porque no estaba disponible (ahora tiene un código auxiliar), tuve que instalarlo desde GitHub. Y recientemente resultó que PEAR se convirtió en una víctima..
Aún puedes recordar, una epidemia del ransomware NePetya a través de un módulo de actualización para un programa de declaración de impuestos. Las amenazas son cada vez más sofisticadas y surge la pregunta lógica: "¿Cómo podemos contrarrestar ese 5% de amenazas?"
Definición de caza de amenazas
Entonces, Threat Hunting es el proceso de búsqueda y detección proactiva e iterativa de amenazas avanzadas que no pueden ser detectadas por las herramientas de seguridad tradicionales. Las amenazas avanzadas incluyen, por ejemplo, ataques como APT, ataques a vulnerabilidades de día 0, Living off the Land, etc.
También podemos reformular que TH es el proceso de probar hipótesis. Se trata de un proceso predominantemente manual con elementos de automatización, en el que el analista, apoyándose en sus conocimientos y habilidades, examina grandes volúmenes de información en busca de signos de compromiso que correspondan a la hipótesis inicialmente determinada sobre la presencia de una determinada amenaza. Su característica distintiva es la variedad de fuentes de información.
Cabe señalar que Threat Hunting no es algún tipo de producto de software o hardware. Estas no son alertas que se puedan ver en alguna solución. Este no es un proceso de búsqueda de IOC (Identificadores de compromiso). Y esta no es una especie de actividad pasiva que se produce sin la participación de analistas de seguridad de la información. Threat Hunting es ante todo un proceso.
Componentes de la caza de amenazas
Tres componentes principales de Threat Hunting: datos, tecnología, personas.
Datos (¿qué?), incluido el Big Data. Todo tipo de flujos de tráfico, información sobre APT anteriores, análisis, datos sobre la actividad de los usuarios, datos de la red, información de los empleados, información sobre la darknet y mucho más.
Tecnologías (¿cómo?) procesar estos datos: todas las formas posibles de procesar estos datos, incluido el aprendizaje automático.
¿Gente que?) – aquellos que tienen una amplia experiencia en el análisis de diversos ataques, una intuición desarrollada y la capacidad de detectar un ataque. Por lo general, se trata de analistas de seguridad de la información que deben tener la capacidad de generar hipótesis y encontrar confirmación para ellas. Son el eslabón principal del proceso.
Modelo PARÍS
Adam Bateman Modelo PARIS para el proceso TH ideal. El nombre alude a un lugar famoso en Francia. Este modelo se puede ver en dos direcciones: desde arriba y desde abajo.
A medida que avanzamos en el modelo de abajo hacia arriba, encontraremos mucha evidencia de actividad maliciosa. Cada pieza de evidencia tiene una medida llamada confianza, una característica que refleja el peso de esta evidencia. Hay "hierro", evidencia directa de actividad maliciosa, según la cual podemos llegar inmediatamente a la cima de la pirámide y crear una alerta real sobre una infección conocida con precisión. Y hay evidencias indirectas, cuya suma también puede llevarnos a la cima de la pirámide. Como siempre, hay mucha más evidencia indirecta que directa, lo que significa que es necesario clasificarlas y analizarlas, realizar investigaciones adicionales y es aconsejable automatizarlas.
Modelo PARÍS.
La parte superior del modelo (1 y 2) se basa en tecnologías de automatización y diversas analíticas, y la parte inferior (3 y 4) se basa en personas con determinadas cualificaciones que gestionan el proceso. Puedes considerar el modelo moviéndose de arriba hacia abajo, donde en la parte superior del color azul tenemos alertas de herramientas de seguridad tradicionales (antivirus, EDR, firewall, firmas) con un alto grado de seguridad y confianza, y debajo están los indicadores ( IOC, URL, MD5 y otros), que tienen un menor grado de certeza y requieren estudio adicional. Y el nivel más bajo y más denso (4) es la generación de hipótesis, la creación de nuevos escenarios para el funcionamiento de los medios de protección tradicionales. Este nivel no se limita únicamente a las fuentes de hipótesis especificadas. Cuanto más bajo es el nivel, más requisitos se imponen a las calificaciones del analista.
Es muy importante que los analistas no se limiten a probar un conjunto finito de hipótesis predeterminadas, sino que trabajen constantemente para generar nuevas hipótesis y opciones para probarlas.
Modelo de madurez de uso de TH
En un mundo ideal, la TH es un proceso continuo. Pero, como no existe un mundo ideal, analicemos y métodos en términos de personas, procesos y tecnologías utilizadas. Consideremos un modelo de TH esférico ideal. Hay 5 niveles de uso de esta tecnología. Veámoslos usando el ejemplo de la evolución de un único equipo de analistas.
Niveles de madurez
personas
Процессы
Tecnología
Nivel 0
Analistas de SOC
24/7
Instrumentos tradicionales:
Tradicional
conjunto de alertas
Monitoreo pasivo
IDS, AV, zona de pruebas,
Sin TH
Trabajar con alertas
Herramientas de análisis de firmas, datos de Threat Intelligence.
Nivel 1
Analistas de SOC
TH por única vez
EDR
Experimental
Conocimientos básicos de medicina forense.
búsqueda del COI
Cobertura parcial de datos de dispositivos de red.
Experimentos con TH
Buen conocimiento de redes y aplicaciones.
Aplicación parcial
Nivel 2
Ocupación temporal
Sprints
EDR
Periódico
Conocimiento medio de ciencia forense.
Semana a mes
Solicitud completa
TH temporal
Excelente conocimiento de redes y aplicaciones.
TH normal
Automatización total del uso de datos EDR
Uso parcial de capacidades avanzadas de EDR
Nivel 3
Comando TH dedicado
24/7
Capacidad parcial para probar hipótesis TH
Preventivo
Excelente conocimiento de ciencia forense y malware.
TH preventiva
Uso completo de capacidades avanzadas de EDR
Casos especiales TH
Excelente conocimiento del lado ofensivo.
Casos especiales TH
Cobertura total de datos desde dispositivos de red.
Configuración a la medida de sus necesidades
Nivel 4
Comando TH dedicado
24/7
Capacidad total para probar hipótesis de TH.
Liderando
Excelente conocimiento de ciencia forense y malware.
TH preventiva
Nivel 3, más:
Usando TH
Excelente conocimiento del lado ofensivo.
Pruebas, automatización y verificación de hipótesis TH
estrecha integración de fuentes de datos;
Capacidad de investigación
Desarrollo según necesidades y uso no estándar de API.
Niveles de madurez de TH por personas, procesos y tecnologías
Nivel 0: tradicional, sin utilizar TH. Los analistas habituales trabajan con un conjunto estándar de alertas en modo de monitoreo pasivo utilizando herramientas y tecnologías estándar: IDS, AV, sandbox, herramientas de análisis de firmas.
Nivel 1: experimental, utilizando TH. Los mismos analistas con conocimientos básicos de ciencia forense y buenos conocimientos de redes y aplicaciones pueden realizar Threat Hunting por única vez buscando indicadores de compromiso. Los EDR se agregan a las herramientas con cobertura parcial de datos de dispositivos de red. Las herramientas están parcialmente utilizadas.
Nivel 2: TH periódica y temporal. Los mismos analistas que ya han mejorado sus conocimientos en ciencia forense, redes y la parte de aplicaciones deben participar regularmente en Threat Hunting (sprint), digamos, una semana al mes. Las herramientas agregan exploración completa de datos de dispositivos de red, automatización del análisis de datos de EDR y uso parcial de capacidades avanzadas de EDR.
Nivel 3: casos preventivos y frecuentes de TH. Nuestros analistas se organizaron en un equipo dedicado y comenzaron a tener excelentes conocimientos de ciencia forense y malware, así como conocimiento de los métodos y tácticas del lado atacante. El proceso ya se realiza 24 horas al día, 7 días a la semana. El equipo puede probar parcialmente las hipótesis de TH y al mismo tiempo aprovechar al máximo las capacidades avanzadas de EDR con una cobertura total de datos de los dispositivos de red. Los analistas también pueden configurar herramientas para satisfacer sus necesidades.
Nivel 4: gama alta, use TH. El mismo equipo adquirió la capacidad de investigar, la capacidad de generar y automatizar el proceso de prueba de hipótesis de TH. Ahora las herramientas se han complementado con una estrecha integración de fuentes de datos, desarrollo de software para satisfacer las necesidades y uso no estándar de API.
Técnicas de caza de amenazas
Técnicas básicas de caza de amenazas
К Los TH, en orden de madurez de la tecnología utilizada, son: búsqueda básica, análisis estadístico, técnicas de visualización, agregaciones simples, aprendizaje automático y métodos bayesianos.
El método más simple, una búsqueda básica, se utiliza para limitar el área de investigación mediante consultas específicas. El análisis estadístico se utiliza, por ejemplo, para construir la actividad típica de un usuario o de una red en forma de un modelo estadístico. Las técnicas de visualización se utilizan para mostrar visualmente y simplificar el análisis de datos en forma de gráficos y tablas, lo que hace que sea mucho más fácil discernir patrones en la muestra. Se utiliza la técnica de agregaciones simples por campos clave para optimizar la búsqueda y el análisis. Cuanto más maduro alcanza el proceso de TH de una organización, más relevante se vuelve el uso de algoritmos de aprendizaje automático. También se utilizan ampliamente para filtrar spam, detectar tráfico malicioso y detectar actividades fraudulentas. Un tipo más avanzado de algoritmo de aprendizaje automático son los métodos bayesianos, que permiten la clasificación, la reducción del tamaño de la muestra y el modelado de temas.
Modelo Diamante y Estrategias TH
Sergio Caltagiron, Andrew Pendegast y Christopher Betz en su obra"» mostró los principales componentes clave de cualquier actividad maliciosa y la conexión básica entre ellos.
Modelo diamante para actividad maliciosa
Según este modelo, existen 4 estrategias de Threat Hunting, que se basan en los componentes clave correspondientes.
1. Estrategia orientada a las víctimas. Suponemos que la víctima tiene oponentes y estos le brindarán “oportunidades” por correo electrónico. Buscamos datos del enemigo en el correo. Busque enlaces, archivos adjuntos, etc. Buscamos la confirmación de esta hipótesis durante un cierto período de tiempo (un mes, dos semanas), si no la encontramos, entonces la hipótesis no funcionó.
2. Estrategia orientada a la infraestructura. Existen varios métodos para utilizar esta estrategia. Dependiendo del acceso y la visibilidad, algunos son más fáciles que otros. Por ejemplo, monitoreamos servidores de nombres de dominio que se sabe que alojan dominios maliciosos. O pasamos por el proceso de monitorear todos los registros de nombres de dominio nuevos en busca de un patrón conocido utilizado por un adversario.
3. Estrategia impulsada por las capacidades. Además de la estrategia centrada en las víctimas utilizada por la mayoría de los defensores de las redes, existe una estrategia centrada en las oportunidades. Es el segundo más popular y se centra en detectar capacidades del adversario, es decir, "malware" y la capacidad del adversario de utilizar herramientas legítimas como psexec, powershell, certutil y otras.
4. Estrategia orientada al enemigo. El enfoque centrado en el adversario se centra en el propio adversario. Esto incluye el uso de información abierta de fuentes disponibles públicamente (OSINT), recopilación de datos sobre el enemigo, sus técnicas y métodos (TTP), análisis de incidentes anteriores, datos de Threat Intelligence, etc.
Fuentes de información e hipótesis en TH
Algunas fuentes de información para Threat Hunting
Puede haber muchas fuentes de información. Un analista ideal debería poder extraer información de todo lo que le rodea. Las fuentes típicas en casi cualquier infraestructura serán los datos de las herramientas de seguridad: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Además, las fuentes típicas de información serán varios indicadores de compromiso, servicios de Threat Intelligence, datos CERT y OSINT. Además, puede utilizar información de la red oscura (por ejemplo, de repente hay una orden para piratear el buzón del jefe de una organización, o un candidato para el puesto de ingeniero de redes ha sido expuesto por su actividad), información recibida de Recursos Humanos (revisiones del candidato de un lugar de trabajo anterior), información del servicio de seguridad (por ejemplo, los resultados de la verificación de la contraparte).
Pero antes de utilizar todas las fuentes disponibles, es necesario tener al menos una hipótesis.
Para comprobar las hipótesis, primero hay que plantearlas. Y para proponer muchas hipótesis de calidad, es necesario aplicar un enfoque sistemático. El proceso de generación de hipótesis se describe con más detalle en, es muy conveniente tomar este esquema como base para el proceso de planteamiento de hipótesis.
La principal fuente de hipótesis será matriz ATT&CK (Tácticas, técnicas y conocimientos comunes de confrontación). Es, en esencia, una base de conocimiento y un modelo para evaluar el comportamiento de los atacantes que llevan a cabo sus actividades en los últimos pasos de un ataque, generalmente descrito utilizando el concepto de Kill Chain. Es decir, en las etapas posteriores a que un atacante haya penetrado en la red interna de una empresa o en un dispositivo móvil. La base de conocimientos incluía originalmente descripciones de 121 tácticas y técnicas utilizadas en el ataque, cada una de las cuales se describe en detalle en formato Wiki. Varios análisis de Threat Intelligence son muy adecuados como fuente para generar hipótesis. De particular interés son los resultados de los análisis de infraestructura y las pruebas de penetración: estos son los datos más valiosos que pueden darnos hipótesis sólidas debido al hecho de que se basan en una infraestructura específica con sus deficiencias específicas.
Proceso de prueba de hipótesis
Sergei Soldatov trajo Con una descripción detallada del proceso, ilustra el proceso de prueba de hipótesis TH en un solo sistema. Indicaré las etapas principales con una breve descripción.
Etapa 1: Granja TI
En esta etapa es necesario resaltar objetos (analizándolos junto con todos los datos de amenazas) y asignándoles etiquetas según sus características. Estos son archivo, URL, MD5, proceso, utilidad, evento. Al pasarlos a través de sistemas Threat Intelligence, es necesario adjuntar etiquetas. Es decir, este sitio fue detectado en CNC en tal o cual año, este MD5 estaba asociado con tal o cual malware, este MD5 fue descargado de un sitio que distribuía malware.
Etapa 2: Casos
En la segunda etapa, observamos la interacción entre estos objetos e identificamos las relaciones entre todos estos objetos. Recibimos sistemas marcados que hacen algo malo.
Etapa 3: Analista
En la tercera etapa, el caso se transfiere a un analista experimentado que tiene amplia experiencia en análisis y éste emite un veredicto. Analiza hasta los bytes qué, dónde, cómo, por qué y por qué hace este código. Este cuerpo era malware, esta computadora estaba infectada. Revela conexiones entre objetos, verifica los resultados de ejecutar el sandbox.
Los resultados del trabajo del analista se transmiten más. Digital Forensics examina las imágenes, Malware Analysis examina los "cuerpos" encontrados y el equipo de respuesta a incidentes puede ir al sitio e investigar algo que ya esté allí. El resultado del trabajo será una hipótesis confirmada, un ataque identificado y formas de contrarrestarlo.
resultados
Threat Hunting es una tecnología bastante joven que puede contrarrestar eficazmente amenazas personalizadas, nuevas y no estándar, lo que tiene grandes perspectivas dado el creciente número de este tipo de amenazas y la creciente complejidad de la infraestructura corporativa. Requiere tres componentes: datos, herramientas y analistas. Los beneficios de Threat Hunting no se limitan a prevenir la implementación de amenazas. No olvide que durante el proceso de búsqueda nos sumergimos en nuestra infraestructura y sus puntos débiles a través de los ojos de un analista de seguridad y podemos fortalecer aún más estos puntos.
Los primeros pasos que, en nuestra opinión, se deben dar para iniciar el proceso de TH en su organización.
- Ocúpese de proteger los puntos finales y la infraestructura de red. Cuide la visibilidad (NetFlow) y el control (firewall, IDS, IPS, DLP) de todos los procesos de su red. Conozca su red desde el enrutador perimetral hasta el último host.
- Explorar.
- Realice pentests periódicos de al menos recursos externos clave, analice sus resultados, identifique los principales objetivos de ataque y cierre sus vulnerabilidades.
- Implemente un sistema de inteligencia de amenazas de código abierto (por ejemplo, MISP, Yeti) y analice los registros junto con él.
- Implementar una plataforma de respuesta a incidentes (IRP): R-Vision IRP, The Hive, sandbox para analizar archivos sospechosos (FortiSandbox, Cuckoo).
- Automatizar procesos rutinarios. El análisis de registros, el registro de incidencias y la información al personal son un campo enorme para la automatización.
- Aprenda a interactuar de manera efectiva con ingenieros, desarrolladores y soporte técnico para colaborar en incidentes.
- Documentar todo el proceso, puntos clave, resultados obtenidos para volver a ellos más tarde o compartir estos datos con colegas;
- Sea social: esté consciente de lo que sucede con sus empleados, a quién contrata y a quién le da acceso a los recursos de información de la organización.
- Manténgase al tanto de las tendencias en el campo de nuevas amenazas y métodos de protección, aumente su nivel de conocimientos técnicos (incluso en la operación de servicios y subsistemas de TI), asista a conferencias y comuníquese con colegas.
Listo para discutir la organización del proceso TH en los comentarios.
¡O ven a trabajar con nosotros!
Fuentes y materiales para estudiar.
Fuente: habr.com