95% infoturbeohtudest on teada ja nende eest saab end kaitsta traditsiooniliste vahenditega nagu viirusetõrjed, tulemüürid, IDS, WAF. Ülejäänud 5% ohtudest on tundmatud ja kõige ohtlikumad. Need moodustavad 70% ettevõtte riskist, kuna neid on väga raske tuvastada, veel vähem nende eest kaitsta. Näited on WannaCry lunavaraepideemia, NotPetya/ExPetr, krüptokaevurid, "küberrelv" Stuxnet (mis tabas Iraani tuumarajatisi) ja paljud teised (kas keegi mäletab Kidot/Confickerit?) muud rünnakud, mille vastu klassikaliste turvameetmetega kuigi hästi ei kaitse. Me tahame rääkida sellest, kuidas nende 5% ohtude vastu võidelda Threat Hunting tehnoloogia abil.
Küberrünnakute pidev areng nõuab pidevat avastamist ja vastumeetmeid, mis lõpuks paneb meid mõtlema lõputule võidurelvastumisele ründajate ja kaitsjate vahel. Klassikalised turvasüsteemid ei suuda enam pakkuda vastuvõetavat turvalisuse taset, mille puhul riskitase ei mõjuta ettevõtte põhinäitajaid (majanduslikud, poliitilised, maine), ilma neid konkreetse infrastruktuuri jaoks muutmata, kuid üldiselt katavad need osa riske. Juba juurutamise ja seadistamise käigus leiavad kaasaegsed turvasüsteemid end järelejõudmise rollis ning peavad reageerima uue aja väljakutsetele.
Ohujahi tehnoloogia võib olla infoturbespetsialisti jaoks üks vastuseid meie aja väljakutsetele. Mõiste Threat Hunting (edaspidi TH) ilmus mitu aastat tagasi. Tehnoloogia ise on üsna huvitav, kuid sellel pole veel üldtunnustatud standardeid ja reegleid. Asja teeb keeruliseks ka teabeallikate heterogeensus ja selleteemaliste venekeelsete teabeallikate vähesus. Sellega seoses otsustasime LANIT-Integrationis kirjutada selle tehnoloogia ülevaate.
Asjakohasus
TH tehnoloogia tugineb infrastruktuuri jälgimisprotsessidele.. Hoiatamine (sarnaselt MSSP-teenustega) on traditsiooniline meetod varem väljatöötatud signatuuride ja rünnakumärkide otsimiseks ning neile reageerimiseks. Seda stsenaariumi täidavad edukalt traditsioonilised allkirjapõhised kaitsevahendid. Hunting (MDR-tüüpi teenus) on seiremeetod, mis vastab küsimusele "Kust tulevad allkirjad ja reeglid?" See on korrelatsioonireeglite loomise protsess, analüüsides varjatud või varem tundmatuid näitajaid ja rünnaku märke. Ohujaht viitab seda tüüpi seirele.
Ainult mõlemat tüüpi seire kombineerimisel saame ideaalilähedase kaitse, kuid alati on teatud jääkriski tase.
Kaitse kahte tüüpi seire abil
Ja siin on põhjus, miks TH (ja jahindus tervikuna!) muutub üha aktuaalsemaks:
Ohud, abinõud, riskid.
. Nende hulka kuuluvad sellised tüübid nagu rämpspost, DDoS, viirused, juurkomplektid ja muu klassikaline pahavara. Saate end nende ohtude eest kaitsta, kasutades samu klassikalisi turvameetmeid.
Mis tahes projekti elluviimise ajalja ülejäänud 20% tööst võtab 80% ajast. Samuti moodustavad kogu ohumaastikul 5% uutest ohtudest 70% ettevõtte riskist. Ettevõttes, kus infoturbe juhtimise protsessid on korraldatud, saame 30% teadaolevate ohtude realiseerumise riskist ühel või teisel viisil maandada vältides (põhimõtteliselt traadita võrkudest keeldumine), aktsepteerides (rakendatud vajalikke turvameetmeid) või nihutades. (näiteks integraatori õlgadele) see risk. Kaitske end eest, APT rünnakud, andmepüügi,, küberspionaaž ja riiklikud operatsioonid, aga ka suur hulk muid rünnakuid on juba palju raskemad. Nende 5% ohtude tagajärjed on palju tõsisemad () kui rämpsposti või viiruste tagajärjed, millest viirusetõrjetarkvara päästab.
Peaaegu kõik peavad tegelema 5% ähvardustega. Hiljuti pidime installima avatud lähtekoodiga lahenduse, mis kasutab rakendust PEAR (PHP Extension and Application Repository) hoidlast. Selle rakenduse installimise katse pirniinstalli kaudu nurjus, kuna ei olnud saadaval (nüüd on sellel tünn), pidin selle installima GitHubist. Ja just hiljuti selgus, et PEAR sai ohvriks.
Saate ikka meeles pidada, NePetya lunavara epideemia maksuaruandlusprogrammi värskendusmooduli kaudu. Ohud muutuvad üha keerukamaks ja tekib loogiline küsimus - "Kuidas me saame nende 5% ohtude vastu võidelda?"
Ohujahtimise definitsioon
Seega on ohtude otsimine protsess, mille käigus toimub ennetav ja iteratiivne otsimine ja täiustatud ohtude tuvastamine, mida traditsioonilised turvatööriistad ei suuda tuvastada. Täiustatud ohtude hulka kuuluvad näiteks rünnakud nagu APT, ründed 0-päevase haavatavusega, Living off the Land jne.
Samuti võime ümber sõnastada, et TH on hüpoteeside kontrollimise protsess. See on valdavalt manuaalne ja automatiseerimiselementidega protsess, mille käigus analüütik, tuginedes oma teadmistele ja oskustele, sõelub läbi suurtes kogustes teavet, otsides kompromissi märke, mis vastavad algselt kindlaks määratud hüpoteesile teatud ohu olemasolu kohta. Selle eripäraks on teabeallikate mitmekesisus.
Tuleb märkida, et Threat Hunting ei ole mingi tarkvara- või riistvaratoode. Need ei ole hoiatused, mida mõnes lahenduses näha võib. See ei ole IOC (Identifiers of Compromise) otsinguprotsess. Ja see pole mingi passiivne tegevus, mis toimub ilma infoturbe analüütikute osaluseta. Ohujaht on ennekõike protsess.
Ohujahi komponendid
Ohujahi kolm põhikomponenti: andmed, tehnoloogia, inimesed.
Andmed (mida?), sealhulgas suurandmed. Igasugused liiklusvood, info eelmiste APT-de kohta, analüüs, andmed kasutajate aktiivsuse kohta, võrguandmed, info töötajatelt, info darkneti kohta ja palju muud.
Tehnoloogiad (kuidas?) nende andmete töötlemine – kõik võimalikud viisid nende andmete töötlemiseks, sealhulgas masinõpe.
Inimesed kes?) – kellel on laialdased kogemused erinevate rünnakute analüüsimisel, arenenud intuitsioon ja ründe tuvastamise võime. Tavaliselt on need infoturbe analüütikud, kes peavad suutma luua hüpoteese ja leida neile kinnitust. Nad on protsessi peamine lüli.
Mudel PARIS
Adam Bateman PARIS mudel ideaalse TH protsessi jaoks. Nimi viitab kuulsale maamärgile Prantsusmaal. Seda mudelit saab vaadata kahes suunas – ülalt ja alt.
Mudeli alt üles töötades kohtame palju tõendeid pahatahtliku tegevuse kohta. Igal tõendil on mõõt, mida nimetatakse usalduseks – tunnus, mis peegeldab selle tõendi kaalu. Seal on "raud", otsesed tõendid pahatahtliku tegevuse kohta, mille järgi saame kohe jõuda püramiidi tippu ja luua tegeliku hoiatuse täpselt teadaoleva nakkuse kohta. Ja on kaudseid tõendeid, mille summa võib viia meid ka püramiidi tippu. Nagu ikka, on kaudseid tõendeid palju rohkem kui otseseid tõendeid, mis tähendab, et neid tuleb sorteerida ja analüüsida, teha täiendavaid uuringuid ning see on soovitav automatiseerida.
Mudel PARIS.
Mudeli ülemine osa (1 ja 2) põhineb automatiseerimistehnoloogiatel ja erinevatel analüütikatel ning alumine osa (3 ja 4) teatud kvalifikatsiooniga inimestel, kes protsessi juhivad. Võite kaaluda mudeli liikumist ülalt alla, kus sinise värvi ülaosas on traditsiooniliste turvatööriistade (viirusetõrje, EDR, tulemüür, signatuurid) hoiatused suure kindlustunde ja usaldusega ning allpool on indikaatorid ( IOC, URL, MD5 ja teised), mille kindlusaste on madalam ja mis nõuavad täiendavat uurimist. Ja kõige madalam ja paksem tase (4) on hüpoteeside genereerimine, traditsiooniliste kaitsevahendite toimimise uute stsenaariumide loomine. See tase ei piirdu ainult kindlaksmääratud hüpoteeside allikatega. Mida madalam on tase, seda rohkem esitatakse nõudeid analüütiku kvalifikatsioonile.
On väga oluline, et analüütikud ei kontrolliks lihtsalt piiratud komplekti etteantud hüpoteese, vaid töötaksid pidevalt uute hüpoteeside ja nende kontrollimise võimaluste genereerimisega.
TH kasutusküpsuse mudel
Ideaalses maailmas on TH pidev protsess. Kuid kuna ideaalset maailma pole olemas, analüüsime ja meetodid inimeste, protsesside ja kasutatud tehnoloogiate osas. Vaatleme ideaalse sfäärilise TH mudelit. Selle tehnoloogia kasutamisel on 5 taset. Vaatame neid ühe analüütikute meeskonna evolutsiooni näitel.
Küpsuse tasemed
Inimesed
Protsessid
Tehnoloogia
0. tase
SOC analüütikud
24/7
Traditsioonilised instrumendid:
Traditsiooniline
Märguannete komplekt
Passiivne jälgimine
IDS, AV, liivakast,
Ilma THta
Hoiatustega töötamine
Allkirjade analüüsi tööriistad, ohuteabe andmed.
1. tase
SOC analüütikud
Ühekordne TH
EDR
Eksperimentaalne
Kohtuekspertiisi algteadmised
ROK-i otsing
Võrguseadmete andmete osaline katmine
Katsed TH-ga
Head teadmised võrkude ja rakenduste kohta
Osaline rakendamine
2. tase
Ajutine okupatsioon
Sprintid
EDR
Perioodiline
Kohtuekspertiisi keskmised teadmised
Nädalast kuusse
Täielik rakendus
Ajutine TH
Suurepärased teadmised võrkude ja rakenduste kohta
Tavaline TH
EDR-andmete kasutamise täielik automatiseerimine
Täiustatud EDR-võimaluste osaline kasutamine
3. tase
Pühendatud TH-käsk
24/7
Osaline hüpoteeside kontrollimise võime TH
Ennetav
Suurepärased teadmised kohtuekspertiisi ja pahavara kohta
Ennetav TH
Täiustatud EDR-i võimaluste täielik kasutamine
Erijuhtumid TH
Suurepärased teadmised ründava poole kohta
Erijuhtumid TH
Võrguseadmete andmete täielik katvus
Teie vajadustele vastav konfiguratsioon
4. tase
Pühendatud TH-käsk
24/7
Täielik võimalus testida TH hüpoteese
Juhtiv
Suurepärased teadmised kohtuekspertiisi ja pahavara kohta
Ennetav TH
Tase 3, pluss:
Kasutades TH-d
Suurepärased teadmised ründava poole kohta
Hüpoteeside testimine, automatiseerimine ja kontrollimine TH
andmeallikate tihe integreerimine;
Uurimisvõime
vajadustele vastav arendus ja API mittestandardne kasutamine.
TH küpsustasemed inimeste, protsesside ja tehnoloogiate lõikes
0 tase: traditsiooniline, ilma TH-d kasutamata. Regulaarsed analüütikud töötavad standardsete hoiatusteadetega passiivse jälgimise režiimis, kasutades standardseid tööriistu ja tehnoloogiaid: IDS, AV, liivakast, allkirjade analüüsi tööriistu.
1 tase: eksperimentaalne, kasutades TH-d. Samad analüütikud, kellel on põhiteadmised kohtuekspertiisist ning head teadmised võrkude ja rakenduste kohta, saavad läbi viia ühekordse ohujahi, otsides kompromissi näitajaid. EDR-id lisatakse tööriistadele võrguseadmete andmete osalise katmisega. Tööriistad on osaliselt kasutatud.
2 tase: perioodiline, ajutine TH. Samad analüütikud, kes on juba täiendanud oma teadmisi kohtuekspertiisi, võrkude ja rakenduste osas, peavad regulaarselt tegelema ohujahiga (sprint), näiteks nädalas kuus. Tööriistad lisavad võrguseadmetest pärinevate andmete täielikku uurimist, EDR-ist andmete analüüsi automatiseerimist ja täiustatud EDR-i võimaluste osalist kasutamist.
3 tase: ennetavad, sagedased TH juhtumid. Meie analüütikud organiseerusid pühendunud meeskonnaks ja neil hakkasid olema suurepärased teadmised kohtuekspertiisi ja pahavara kohta ning teadmised ründava poole meetodite ja taktikate kohta. Protsess toimub juba 24/7. Meeskond suudab osaliselt testida TH hüpoteese, kasutades samal ajal täielikult EDR-i täiustatud võimalusi võrguseadmete andmete täieliku katmisega. Analüütikud saavad ka tööriistu oma vajadustele vastavaks konfigureerida.
4 tase: tipptasemel, kasutage TH-d. Sama meeskond omandas oskuse uurida, genereerida ja automatiseerida TH hüpoteeside testimise protsessi. Nüüd on tööriistadele lisandunud andmeallikate tihe integreerimine, vajadustele vastav tarkvaraarendus ja API-de mittestandardne kasutamine.
Ohujahtimise tehnikad
Ohujahtimise põhivõtted
К TH, kasutatud tehnoloogia küpsuse järjekorras, on: põhiotsing, statistiline analüüs, visualiseerimistehnikad, lihtsad liited, masinõpe ja Bayesi meetodid.
Lihtsaimat meetodit, põhiotsingut, kasutatakse uurimisvaldkonna kitsendamiseks konkreetsete päringute abil. Statistilist analüüsi kasutatakse näiteks tüüpilise kasutaja- või võrgutegevuse konstrueerimiseks statistilise mudeli kujul. Visualiseerimistehnikaid kasutatakse andmete visuaalseks kuvamiseks ja analüüsi lihtsustamiseks graafikute ja diagrammide kujul, mis muudab valimi mustrite eristamise palju lihtsamaks. Otsingu ja analüüsi optimeerimiseks kasutatakse lihtsate liitmiste tehnikat võtmeväljade kaupa. Mida küpsemaks muutub organisatsiooni TH-protsess, seda asjakohasemaks muutub masinõppe algoritmide kasutamine. Neid kasutatakse laialdaselt ka rämpsposti filtreerimiseks, pahatahtliku liikluse tuvastamiseks ja pettuste tuvastamiseks. Täiustatud masinõppe algoritmi tüüp on Bayesi meetodid, mis võimaldavad klassifitseerimist, valimi suuruse vähendamist ja teemade modelleerimist.
Teemantmudel ja TH-strateegiad
Sergio Caltagiron, Andrew Pendegast ja Christopher Betz oma töös "» näitas mis tahes pahatahtliku tegevuse peamisi võtmekomponente ja nende vahelist põhilist seost.
Teemantmudel pahatahtliku tegevuse jaoks
Selle mudeli järgi on olemas 4 Ohujahi strateegiat, mis põhinevad vastavatel põhikomponentidel.
1. Ohvrile orienteeritud strateegia. Eeldame, et ohvril on vastaseid ja nad annavad "võimalusi" e-posti teel. Otsime posti teel vaenlase andmeid. Otsige linke, manuseid jne. Sellele hüpoteesile otsime kinnitust teatud perioodiks (kuuks, kaheks nädalaks), kui me seda ei leia, siis hüpotees ei toiminud.
2. Infrastruktuurile orienteeritud strateegia. Selle strateegia kasutamiseks on mitu meetodit. Sõltuvalt juurdepääsust ja nähtavusest on mõned lihtsamad kui teised. Näiteks jälgime domeeninimeservereid, mis teadaolevalt majutavad pahatahtlikke domeene. Või jälgime kõiki uusi domeeninimede registreerimisi vastase kasutatava teadaoleva mustriga.
3. Võimepõhine strateegia. Lisaks ohvritele keskendunud strateegiale, mida enamik võrgustiku kaitsjaid kasutab, on olemas ka võimalustele keskendunud strateegia. See on populaarsuselt teine ja keskendub vastase võimete tuvastamisele, nimelt "pahavara" ja vastase võimele kasutada seaduslikke tööriistu, nagu psexec, powershell, certutil ja teised.
4. Vaenlasele orienteeritud strateegia. Vastasekeskne lähenemine keskendub vastasele endale. See hõlmab avalikult kättesaadavatest allikatest (OSINT) pärineva avatud teabe kasutamist, vaenlase, tema tehnikate ja meetodite (TTP) andmete kogumist, varasemate juhtumite analüüsi, ohuluure andmeid jne.
Infoallikad ja hüpoteesid TH-s
Mõned teabeallikad ohujahi kohta
Teabeallikaid võib olla palju. Ideaalne analüütik peaks suutma koguda teavet kõigest, mis on ümber. Peaaegu iga infrastruktuuri tüüpilised allikad on turvatööriistade andmed: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Samuti on tüüpilisteks teabeallikateks erinevad kompromissi indikaatorid, ohuluureteenused, CERT-i ja OSINT-i andmed. Lisaks saab kasutada Darkneti infot (näiteks ootamatult tuleb korraldus organisatsiooni juhi postkasti häkkida või tema tegevuse eest on paljastatud võrguinseneri kandidaat), HR (kandidaadi ülevaated eelmisest töökohast), teave turvateenistusest (näiteks vastaspoole kontrollimise tulemused).
Kuid enne kõigi olemasolevate allikate kasutamist peab olema vähemalt üks hüpotees.
Hüpoteeside kontrollimiseks tuleb need kõigepealt püstitada. Ja selleks, et püstitada palju kvaliteetseid hüpoteese, on vaja rakendada süstemaatilist lähenemist. Hüpoteeside loomise protsessi kirjeldatakse üksikasjalikumalt artiklis, on väga mugav võtta see skeem hüpoteeside püstitamise protsessi aluseks.
Peamine hüpoteeside allikas saab olema ATT&CK maatriks (Võistlemise taktikad, tehnikad ja ühised teadmised). See on sisuliselt teadmistebaas ja mudel nende ründajate käitumise hindamiseks, kes sooritavad oma tegevusi rünnaku viimastes etappides, mida tavaliselt kirjeldatakse tapmisahela kontseptsiooni abil. See tähendab etappides pärast seda, kui ründaja on tunginud ettevõtte sisevõrku või mobiilseadmesse. Algselt sisaldas teadmistebaas 121 rünnakul kasutatava taktika ja tehnika kirjeldust, millest igaüks on üksikasjalikult kirjeldatud Wiki formaadis. Erinevad ohuluure analüüsid sobivad hästi hüpoteeside genereerimise allikaks. Erilist tähelepanu väärivad infrastruktuuri analüüsi ja läbitungimistestide tulemused – need on kõige väärtuslikumad andmed, mis võivad anda meile raudseid hüpoteese, kuna need põhinevad konkreetsel taristul koos selle spetsiifiliste puudustega.
Hüpoteesi testimise protsess
Sergei Soldatov tõi koos protsessi üksikasjaliku kirjeldusega illustreerib see TH hüpoteeside testimise protsessi ühes süsteemis. Toon põhietapid välja lühikirjeldusega.
1. etapp: TI talu
Selles etapis on vaja esile tõsta objektid (analüüsides neid koos kõigi ohuandmetega) ja määrates neile nende omaduste sildid. Need on fail, URL, MD5, protsess, utiliit, sündmus. Nende Threat Intelligence süsteemide kaudu edastamisel on vaja kinnitada sildid. See tähendab, et seda saiti märgati CNC-s sellisel ja sellisel aastal, see MD5 oli seotud sellise ja sellise pahavaraga, see MD5 laaditi alla saidilt, mis levitas pahavara.
2. etapp: juhtumid
Teises etapis vaatleme nende objektide vahelist koostoimet ja tuvastame seosed kõigi nende objektide vahel. Saame märgistatud süsteemid, mis teevad midagi halba.
3. etapp: analüütik
Kolmandas etapis antakse juhtum üle kogenud analüütikule, kellel on ulatuslikud analüüsikogemused, ja ta teeb otsuse. Ta analüüsib baitideni, mida, kus, kuidas, miks ja miks see kood teeb. See keha oli pahavara, see arvuti oli nakatunud. Näitab seoseid objektide vahel, kontrollib liivakasti läbimise tulemusi.
Analüütiku töö tulemused edastatakse edasi. Digital Forensics uurib pilte, Malware Analysis uurib leitud "kehasid" ja intsidentidele reageerimise meeskond saab minna saidile ja uurida, mis seal juba on. Töö tulemuseks on kinnitatud hüpotees, tuvastatud rünnak ja võimalused selle vastu võitlemiseks.
Tulemused
Ohujaht on üsna noor tehnoloogia, mis suudab tõhusalt tõrjuda kohandatud, uusi ja mittestandardseid ohtusid, millel on suured väljavaated, arvestades selliste ohtude kasvavat arvu ja ettevõtte infrastruktuuri muutuvat keerukust. See nõuab kolme komponenti – andmeid, tööriistu ja analüütikuid. Ohujahi eelised ei piirdu ainult ohtude rakendamise ennetamisega. Ärge unustage, et otsinguprotsessi käigus sukeldume oma infrastruktuuri ja selle nõrkadesse kohtadesse läbi turvaanalüütiku pilgu ning saame neid punkte veelgi tugevdada.
Esimesed sammud, mis meie arvates tuleb astuda TH protsessi alustamiseks teie organisatsioonis.
- Hoolitsege lõpp-punktide ja võrguinfrastruktuuri kaitsmise eest. Hoolitsege kõigi oma võrgu protsesside nähtavuse (NetFlow) ja juhtimise (tulemüür, IDS, IPS, DLP) eest. Teadke oma võrku ääreruuterist kuni viimase hostini.
- Uurige.
- Korraldage regulaarselt vähemalt peamiste välisressursside testimist, analüüsige selle tulemusi, tuvastage peamised rünnakute sihtmärgid ja sulgege nende haavatavused.
- Rakendage avatud lähtekoodiga Threat Intelligence süsteem (näiteks MISP, Yeti) ja analüüsige logisid koos sellega.
- Rakendage intsidentidele reageerimise platvorm (IRP): R-Vision IRP, The Hive, liivakast kahtlaste failide analüüsimiseks (FortiSandbox, Cuckoo).
- Rutiinsete protsesside automatiseerimine. Logide analüüs, intsidentide registreerimine, töötajate teavitamine on automatiseerimise jaoks tohutu valdkond.
- Õppige tõhusalt suhtlema inseneride, arendajate ja tehnilise toega, et intsidentide lahendamisel koostööd teha.
- Dokumenteerige kogu protsess, võtmepunktid, saavutatud tulemused, et nende juurde hiljem naasta või neid andmeid kolleegidega jagada;
- Olge sotsiaalne: olge teadlik sellest, mis teie töötajatega toimub, keda palkate ja kellele annate juurdepääsu organisatsiooni teaberessurssidele.
- Hoia end kursis trendidega uute ohtude ja kaitsemeetodite vallas, tõsta oma tehnilise kirjaoskuse taset (sh IT-teenuste ja alamsüsteemide töös), osale konverentsidel ja suhtle kolleegidega.
Valmis arutama TH protsessi korraldust kommentaarides.
Või tule meile tööle!
Uuritavad allikad ja materjalid
Allikas: www.habr.com