95 % des menaces liées à la sécurité de l'information sont connues et vous pouvez vous en protéger en utilisant des moyens traditionnels tels que les antivirus, les pare-feu, les IDS, les WAF. Les 5 % restants sont inconnus et constituent les plus dangereux. Ils constituent 70% du risque pour une entreprise du fait qu’il est très difficile de les détecter, et encore moins de s’en prémunir. Exemples Il y a l’épidémie de ransomware WannaCry, NotPetya/ExPetr, les cryptomineurs, la « cyber-arme » Stuxnet (qui a frappé les installations nucléaires iraniennes) et de nombreuses autres attaques (quelqu’un d’autre se souvient de Kido/Conficker ?) qui ne sont pas très bien défendues avec les mesures de sécurité classiques. Nous souhaitons discuter de la manière de contrer ces 5 % de menaces à l'aide de la technologie Threat Hunting.
L’évolution continue des cyberattaques nécessite une détection et des contre-mesures constantes, ce qui nous amène finalement à penser à une course aux armements sans fin entre attaquants et défenseurs. Les systèmes de sécurité classiques ne sont plus en mesure de fournir un niveau de sécurité acceptable, dans lequel le niveau de risque n'affecte pas les indicateurs clés de l'entreprise (économiques, politiques, réputation) sans les modifier pour une infrastructure spécifique, mais en général ils couvrent une partie des les risques. Déjà en cours de mise en œuvre et de configuration, les systèmes de sécurité modernes se retrouvent dans un rôle de rattrapage et doivent répondre aux défis des temps nouveaux.
La technologie de chasse aux menaces peut être l’une des réponses aux défis de notre époque pour un spécialiste de la sécurité de l’information. Le terme Threat Hunting (ci-après dénommé TH) est apparu il y a plusieurs années. La technologie elle-même est assez intéressante, mais ne dispose pas encore de normes et de règles généralement acceptées. La question est également compliquée par l'hétérogénéité des sources d'information et le petit nombre de sources d'information en langue russe sur ce sujet. À cet égard, chez LANIT-Integration, nous avons décidé de rédiger une revue de cette technologie.
Actualité
La technologie TH s’appuie sur des processus de surveillance des infrastructures.. L'alerte (similaire aux services MSSP) est une méthode traditionnelle de recherche de signatures et de signes d'attaques précédemment développés et d'y répondre. Ce scénario est réalisé avec succès par les outils de protection traditionnels basés sur les signatures. Le Hunting (service de type MDR) est une méthode de surveillance qui répond à la question « D’où viennent les signatures et les règles ? Il s’agit du processus de création de règles de corrélation en analysant les indicateurs et signes d’attaque cachés ou jusqu’alors inconnus. La Threat Hunting fait référence à ce type de surveillance.
Ce n'est qu'en combinant les deux types de surveillance que nous obtenons une protection proche de l'idéal, mais il existe toujours un certain niveau de risque résiduel.
Protection utilisant deux types de surveillance
Et voici pourquoi le TH (et la chasse dans son intégralité !) deviendra de plus en plus pertinent :
Menaces, remèdes, risques.
. Ceux-ci incluent des types tels que le spam, les DDoS, les virus, les rootkits et autres logiciels malveillants classiques. Vous pouvez vous protéger de ces menaces en utilisant les mêmes mesures de sécurité classiques.
Lors de la mise en œuvre de tout projet, et les 20 % restants du travail prennent 80 % du temps. De même, sur l’ensemble du paysage des menaces, 5 % des nouvelles menaces représenteront 70 % du risque pour une entreprise. Dans une entreprise où les processus de gestion de la sécurité de l'information sont organisés, nous pouvons gérer 30 % du risque de mise en œuvre de menaces connues d'une manière ou d'une autre en évitant (refus des réseaux sans fil en principe), en acceptant (en mettant en œuvre les mesures de sécurité nécessaires) ou en déplaçant (par exemple, sur les épaules d'un intégrateur) ce risque. Protégez-vous de, attaques APT, phishing,, le cyberespionnage et les opérations nationales, ainsi qu'un grand nombre d'autres attaques, sont déjà beaucoup plus difficiles. Les conséquences de ces 5% de menaces seront bien plus graves () que les conséquences du spam ou des virus, dont le logiciel antivirus sauve.
Presque tout le monde est confronté à 5 % des menaces. Nous avons récemment dû installer une solution open source qui utilise une application du référentiel PEAR (PHP Extension and Application Repository). Une tentative d'installation de cette application via pear install a échoué car n'était pas disponible (il y a maintenant un stub dessus), j'ai dû l'installer depuis GitHub. Et tout récemment, il s'est avéré que PEAR était devenu une victime.
Tu peux encore te souvenir, une épidémie du ransomware NePetya via un module de mise à jour d'un programme de déclaration fiscale. Les menaces sont de plus en plus sophistiquées et la question logique se pose : « Comment pouvons-nous contrer ces 5 % de menaces ?
Définition de la chasse aux menaces
Ainsi, la chasse aux menaces est le processus de recherche et de détection proactive et itérative de menaces avancées qui ne peuvent pas être détectées par les outils de sécurité traditionnels. Les menaces avancées incluent, par exemple, des attaques telles que APT, des attaques contre des vulnérabilités 0-day, Living off the Land, etc.
Nous pouvons également reformuler que TH est le processus de test d’hypothèses. Il s'agit d'un processus principalement manuel avec des éléments d'automatisation, dans lequel l'analyste, s'appuyant sur ses connaissances et ses compétences, passe au crible de grands volumes d'informations à la recherche de signes de compromission correspondant à l'hypothèse initialement déterminée sur la présence d'une certaine menace. Sa particularité est la variété des sources d'information.
Il convient de noter que Threat Hunting n’est pas une sorte de produit logiciel ou matériel. Ce ne sont pas des alertes visibles dans certaines solutions. Il ne s’agit pas d’un processus de recherche d’IOC (Identifiers of Compromise). Et il ne s’agit pas d’une sorte d’activité passive qui se déroule sans la participation d’analystes en sécurité de l’information. La Threat Hunting est avant tout un processus.
Composantes de la chasse aux menaces
Trois composantes principales de la Threat Hunting : les données, la technologie et les personnes.
Des données (quoi ?), y compris le Big Data. Toutes sortes de flux de trafic, informations sur les APT précédentes, analyses, données sur l'activité des utilisateurs, données réseau, informations sur les employés, informations sur le darknet et bien plus encore.
Les technologies (comment ?) traiter ces données - toutes les manières possibles de traiter ces données, y compris le Machine Learning.
Les gens qui?) – ceux qui ont une vaste expérience dans l’analyse de diverses attaques, une intuition développée et la capacité de détecter une attaque. Il s’agit généralement d’analystes en sécurité de l’information qui doivent avoir la capacité de générer des hypothèses et de les confirmer. Ils constituent le maillon principal du processus.
Modèle PARIS
Adam Batman Modèle PARIS pour le procédé TH idéal. Le nom fait allusion à un monument célèbre en France. Ce modèle peut être vu dans deux directions : d'en haut et d'en bas.
Au fur et à mesure que nous parcourons le modèle de bas en haut, nous rencontrerons de nombreuses preuves d’activités malveillantes. Chaque élément de preuve a une mesure appelée confiance – une caractéristique qui reflète le poids de cette preuve. Il existe du « fer », preuve directe d’une activité malveillante, grâce à laquelle nous pouvons immédiatement atteindre le sommet de la pyramide et créer une véritable alerte sur une infection précisément connue. Et il existe des preuves indirectes, dont la somme peut aussi nous conduire au sommet de la pyramide. Comme toujours, il existe beaucoup plus de preuves indirectes que de preuves directes, ce qui signifie qu'elles doivent être triées et analysées, des recherches supplémentaires doivent être menées et il est conseillé de les automatiser.
Modèle PARIS.
La partie supérieure du modèle (1 et 2) est basée sur des technologies d'automatisation et diverses analyses, et la partie inférieure (3 et 4) est basée sur des personnes possédant certaines qualifications qui gèrent le processus. Vous pouvez considérer le modèle se déplaçant de haut en bas, où dans la partie supérieure de la couleur bleue se trouvent les alertes des outils de sécurité traditionnels (antivirus, EDR, pare-feu, signatures) avec un degré élevé de confiance et de confiance, et en dessous se trouvent des indicateurs ( IOC, URL, MD5 et autres), qui ont un degré de certitude inférieur et nécessitent une étude supplémentaire. Et le niveau le plus bas et le plus épais (4) est la génération d'hypothèses, la création de nouveaux scénarios pour le fonctionnement des moyens de protection traditionnels. Ce niveau ne se limite pas uniquement aux sources d’hypothèses spécifiées. Plus le niveau est bas, plus les qualifications de l'analyste sont exigeantes.
Il est très important que les analystes ne se contentent pas de tester un ensemble fini d’hypothèses prédéterminées, mais s’efforcent constamment de générer de nouvelles hypothèses et options pour les tester.
Modèle de maturité d’utilisation TH
Dans un monde idéal, TH est un processus continu. Mais comme il n’existe pas de monde idéal, analysons et les méthodes en termes de personnes, de processus et de technologies utilisées. Considérons un modèle de TH sphérique idéal. Il existe 5 niveaux d'utilisation de cette technologie. Regardons-les en prenant l'exemple de l'évolution d'une seule équipe d'analystes.
Niveaux de maturité
personnes
Processus
de la technologie
Niveau 0
Analystes SOC
24/7
Instruments traditionnels :
Traditionnel
Ensemble d'alertes
Surveillance passive
IDS, AV, Sandboxing,
Sans TH
Travailler avec des alertes
Outils d’analyse de signature, données Threat Intelligence.
Niveau 1
Analystes SOC
TH unique
EDR
Expérimental
Connaissances de base en médecine légale
Recherche du CIO
Couverture partielle des données des appareils réseau
Expériences avec TH
Bonne connaissance des réseaux et des applications
Demande partielle
Niveau 2
Occupation temporaire
Sprints
EDR
Périodique
Connaissance moyenne en médecine légale
De semaine en mois
Demande complète
TH temporaire
Excellente connaissance des réseaux et des applications
TH régulier
Automatisation complète de l'utilisation des données EDR
Utilisation partielle des capacités EDR avancées
Niveau 3
Commande TH dédiée
24/7
Capacité partielle à tester des hypothèses TH
Proactive
Excellente connaissance de la médecine légale et des logiciels malveillants
TH préventive
Utilisation complète des capacités EDR avancées
Cas particuliers TH
Excellente connaissance du côté offensif
Cas particuliers TH
Couverture complète des données des appareils réseau
Configuration adaptée à vos besoins
Niveau 4
Commande TH dédiée
24/7
Pleine capacité à tester les hypothèses TH
Menant
Excellente connaissance de la médecine légale et des logiciels malveillants
TH préventive
Niveau 3, plus :
Utiliser TH
Excellente connaissance du côté offensif
Tests, automatisation et vérification des hypothèses TH
intégration étroite des sources de données ;
Capacité de recherche
développement en fonction des besoins et utilisation non standard des API.
Niveaux de maturité TH par personnes, processus et technologies
Niveau 0: traditionnel, sans utiliser de TH. Les analystes réguliers travaillent avec un ensemble standard d'alertes en mode de surveillance passive à l'aide d'outils et de technologies standards : IDS, AV, sandbox, outils d'analyse de signature.
Niveau 1: expérimental, en utilisant TH. Les mêmes analystes possédant des connaissances de base en criminalistique et une bonne connaissance des réseaux et des applications peuvent effectuer une chasse aux menaces ponctuelle en recherchant des indicateurs de compromission. Des EDR sont ajoutés aux outils avec une couverture partielle des données des appareils réseau. Les outils sont partiellement utilisés.
Niveau 2: TH périodique et temporaire. Les mêmes analystes qui ont déjà amélioré leurs connaissances en matière d'investigation, de réseaux et d'applications sont tenus de s'engager régulièrement dans la chasse aux menaces (sprint), disons une semaine par mois. Les outils ajoutent une exploration complète des données des périphériques réseau, l'automatisation de l'analyse des données d'EDR et une utilisation partielle des fonctionnalités EDR avancées.
Niveau 3: cas préventifs et fréquents de TH. Nos analystes se sont organisés en une équipe dédiée et ont commencé à avoir une excellente connaissance de la médecine légale et des logiciels malveillants, ainsi qu'une connaissance des méthodes et tactiques de l'attaquant. Le processus est déjà effectué 24h/7 et XNUMXj/XNUMX. L’équipe est en mesure de tester partiellement les hypothèses TH tout en exploitant pleinement les capacités avancées de l’EDR avec une couverture complète des données des appareils réseau. Les analystes sont également en mesure de configurer les outils en fonction de leurs besoins.
Niveau 4: haut de gamme, utilisez TH. La même équipe a acquis la capacité de rechercher, la capacité de générer et d'automatiser le processus de test des hypothèses TH. Désormais, les outils ont été complétés par une intégration étroite des sources de données, le développement de logiciels pour répondre aux besoins et l'utilisation non standard des API.
Techniques de chasse aux menaces
Techniques de base de chasse aux menaces
К Les TH, par ordre de maturité de la technologie utilisée, sont : la recherche de base, l'analyse statistique, les techniques de visualisation, les agrégations simples, l'apprentissage automatique et les méthodes bayésiennes.
La méthode la plus simple, une recherche basique, permet d'affiner le domaine de recherche à l'aide de requêtes spécifiques. L'analyse statistique est utilisée, par exemple, pour construire une activité typique d'un utilisateur ou d'un réseau sous la forme d'un modèle statistique. Les techniques de visualisation sont utilisées pour afficher visuellement et simplifier l'analyse des données sous forme de graphiques et de diagrammes, ce qui facilite grandement la discernement des modèles dans l'échantillon. La technique d'agrégations simples par champs clés est utilisée pour optimiser la recherche et l'analyse. Plus le processus TH d’une organisation atteint la maturité, plus l’utilisation des algorithmes d’apprentissage automatique devient pertinente. Ils sont également largement utilisés pour filtrer le spam, détecter le trafic malveillant et détecter les activités frauduleuses. Les méthodes bayésiennes constituent un type d'algorithme d'apprentissage automatique plus avancé, qui permettent la classification, la réduction de la taille de l'échantillon et la modélisation thématique.
Modèle de diamant et stratégies TH
Sergio Caltagiron, Andrew Pendegast et Christopher Betz dans leur ouvrage "» a montré les principaux composants clés de toute activité malveillante et le lien de base entre eux.
Modèle Diamond pour les activités malveillantes
Selon ce modèle, il existe 4 stratégies de Threat Hunting, qui sont basées sur les composants clés correspondants.
1. Stratégie axée sur les victimes. Nous supposons que la victime a des adversaires et qu’ils lui offriront des « opportunités » par courrier électronique. Nous recherchons des données ennemies par courrier. Rechercher des liens, des pièces jointes, etc. On cherche la confirmation de cette hypothèse pendant un certain temps (un mois, deux semaines) ; si on ne la trouve pas, alors l'hypothèse n'a pas fonctionné.
2. Stratégie axée sur les infrastructures. Il existe plusieurs méthodes pour utiliser cette stratégie. Selon l'accès et la visibilité, certains sont plus faciles que d'autres. Par exemple, nous surveillons les serveurs de noms de domaine connus pour héberger des domaines malveillants. Ou nous passons par le processus de surveillance de tous les nouveaux enregistrements de noms de domaine pour détecter un modèle connu utilisé par un adversaire.
3. Stratégie axée sur les capacités. En plus de la stratégie axée sur les victimes utilisée par la plupart des défenseurs des réseaux, il existe une stratégie axée sur les opportunités. Il s'agit du deuxième plus populaire et se concentre sur la détection des capacités de l'adversaire, à savoir les « logiciels malveillants » et la capacité de l'adversaire à utiliser des outils légitimes tels que psexec, PowerShell, certutil et autres.
4. Stratégie orientée vers l'ennemi. L’approche centrée sur l’adversaire se concentre sur l’adversaire lui-même. Cela inclut l'utilisation d'informations ouvertes provenant de sources accessibles au public (OSINT), la collecte de données sur l'ennemi, ses techniques et méthodes (TTP), l'analyse des incidents précédents, les données de Threat Intelligence, etc.
Sources d’information et hypothèses en TH
Quelques sources d’informations pour la chasse aux menaces
Il peut y avoir de nombreuses sources d'informations. Un analyste idéal devrait être capable d’extraire des informations de tout ce qui l’entoure. Les sources typiques dans presque toutes les infrastructures seront les données provenant d'outils de sécurité : DLP, SIEM, IDS/IPS, WAF/FW, EDR. En outre, les sources d’informations typiques seront divers indicateurs de compromission, les services de Threat Intelligence, les données CERT et OSINT. De plus, vous pouvez utiliser des informations du darknet (par exemple, soudainement, il y a un ordre de pirater la boîte aux lettres du chef d'une organisation, ou un candidat au poste d'ingénieur réseau a été dénoncé pour son activité), des informations reçues de RH (avis du candidat d'un ancien lieu de travail), informations du service de sécurité ( par exemple, les résultats de la vérification de la contrepartie).
Mais avant d’utiliser toutes les sources disponibles, il faut avoir au moins une hypothèse.
Afin de tester des hypothèses, il faut d’abord les émettre. Et pour avancer de nombreuses hypothèses de qualité, il est nécessaire d’appliquer une approche systématique. Le processus de génération d’hypothèses est décrit plus en détail dans, il est très pratique de prendre ce schéma comme base pour le processus d'émission d'hypothèses.
La principale source d’hypothèses sera Matrice ATT&CK (Tactiques, techniques et connaissances communes contradictoires). Il s’agit essentiellement d’une base de connaissances et d’un modèle permettant d’évaluer le comportement des attaquants qui exercent leurs activités dans les dernières étapes d’une attaque, généralement décrites à l’aide du concept de Kill Chain. C’est-à-dire dès qu’un attaquant a pénétré le réseau interne d’une entreprise ou sur un appareil mobile. La base de connaissances comprenait à l'origine des descriptions de 121 tactiques et techniques utilisées lors d'attaques, chacune étant décrite en détail au format Wiki. Diverses analyses de Threat Intelligence conviennent parfaitement comme source de génération d’hypothèses. Il convient de noter en particulier les résultats de l'analyse des infrastructures et des tests d'intrusion - ce sont les données les plus précieuses qui peuvent nous fournir des hypothèses à toute épreuve, car elles sont basées sur une infrastructure spécifique avec ses lacunes spécifiques.
Processus de test d’hypothèse
Sergueï Soldatov a amené avec une description détaillée du processus, il illustre le processus de test des hypothèses TH dans un seul système. J'indiquerai les principales étapes avec une brève description.
Étape 1 : Ferme TI
A ce stade, il convient de souligner des objets (en les analysant avec toutes les données sur les menaces) et en leur attribuant des étiquettes pour leurs caractéristiques. Il s'agit d'un fichier, d'une URL, d'un MD5, d'un processus, d'un utilitaire, d'un événement. Lors de leur transmission via les systèmes Threat Intelligence, il est nécessaire d’attacher des balises. C'est-à-dire que ce site a été remarqué au CNC en telle ou telle année, ce MD5 était associé à tel ou tel malware, ce MD5 a été téléchargé depuis un site qui distribuait des malware.
Étape 2 : cas
Dans un deuxième temps, nous regardons l'interaction entre ces objets et identifions les relations entre tous ces objets. Nous avons des systèmes marqués qui font quelque chose de mal.
Étape 3 : Analyste
Lors de la troisième étape, l'affaire est transférée à un analyste expérimenté possédant une vaste expérience en analyse, et il rend un verdict. Il analyse en octets ce que, où, comment, pourquoi et pourquoi ce code fait. Ce corps était un malware, cet ordinateur était infecté. Révèle les connexions entre les objets, vérifie les résultats de l'exécution dans le bac à sable.
Les résultats du travail de l'analyste sont transmis ultérieurement. Digital Forensics examine les images, Malware Analysis examine les « corps » trouvés et l’équipe de réponse aux incidents peut se rendre sur le site et enquêter sur quelque chose qui s’y trouve déjà. Le résultat des travaux sera une hypothèse confirmée, une attaque identifiée et des moyens de la contrer.
Les résultats de
La chasse aux menaces est une technologie relativement jeune qui permet de contrer efficacement les menaces personnalisées, nouvelles et non standard, qui offre de grandes perspectives compte tenu du nombre croissant de ces menaces et de la complexité croissante de l'infrastructure de l'entreprise. Cela nécessite trois éléments : des données, des outils et des analystes. Les avantages de la Threat Hunting ne se limitent pas à empêcher la mise en œuvre des menaces. N’oubliez pas que lors du processus de recherche, nous plongeons dans notre infrastructure et ses points faibles à travers les yeux d’un analyste en sécurité et pouvons renforcer davantage ces points.
Les premières étapes qui, à notre avis, doivent être franchies pour entamer le processus TH dans votre organisation.
- Prenez soin de protéger les points finaux et l’infrastructure réseau. Prenez soin de la visibilité (NetFlow) et du contrôle (pare-feu, IDS, IPS, DLP) de tous les processus de votre réseau. Connaissez votre réseau depuis le routeur périphérique jusqu'au tout dernier hôte.
- Etudier.
- Effectuez régulièrement des tests d'intrusion sur au moins les ressources externes clés, analysez ses résultats, identifiez les principales cibles d'attaque et corrigez leurs vulnérabilités.
- Implémentez un système open source de Threat Intelligence (par exemple, MISP, Yeti) et analysez les journaux en conjonction avec celui-ci.
- Implémenter une plateforme de réponse aux incidents (IRP) : R-Vision IRP, The Hive, sandbox d'analyse des fichiers suspects (FortiSandbox, Cuckoo).
- Automatisez les processus de routine. L'analyse des logs, l'enregistrement des incidents, l'information du personnel sont un immense domaine d'automatisation.
- Apprenez à interagir efficacement avec les ingénieurs, les développeurs et le support technique pour collaborer sur les incidents.
- Documenter l'ensemble du processus, les points clés, les résultats obtenus afin d'y revenir plus tard ou partager ces données avec des collègues ;
- Soyez social : soyez conscient de ce qui se passe avec vos employés, des personnes que vous embauchez et des personnes auxquelles vous donnez accès aux ressources d'information de l'organisation.
- Tenez-vous au courant des tendances dans le domaine des nouvelles menaces et méthodes de protection, augmentez votre niveau de connaissances techniques (y compris dans le fonctionnement des services et sous-systèmes informatiques), assistez à des conférences et communiquez avec des collègues.
Prêt à discuter de l'organisation du processus TH dans les commentaires.
Ou venez travailler avec nous !
Sources et matériaux à étudier
Source: habr.com