Coñécense o 95 % das ameazas á seguridade da información e pode protexerse delas mediante medios tradicionais como antivirus, cortalumes, IDS, WAF. O 5% restante das ameazas son descoñecidas e as máis perigosas. Constitúen o 70% do risco para unha empresa debido a que é moi difícil detectalos e moito menos protexelos contra eles. Exemplos son a epidemia de ransomware WannaCry, NotPetya/ExPetr, criptomineiros, a “ciberarma” Stuxnet (que alcanzou as instalacións nucleares de Irán) e moitos (alguén se lembra de Kido/Conficker?) outros ataques que non están moi ben defendidos coas medidas de seguridade clásicas. Queremos falar de como contrarrestar este 5% das ameazas mediante a tecnoloxía Threat Hunting.
A evolución continua dos ataques cibernéticos require unha detección e contramedidas constantes, o que finalmente nos leva a pensar nunha carreira armamentista interminable entre atacantes e defensores. Os sistemas de seguridade clásicos xa non son capaces de proporcionar un nivel de seguridade aceptable, no que o nivel de risco non afecta aos indicadores clave da empresa (económicos, políticos, reputación) sen modificalos para unha infraestrutura concreta, pero en xeral cobren algúns dos os riscos. Xa en proceso de implantación e configuración, os modernos sistemas de seguridade atópanse no papel de poñerse ao día e deben responder aos retos do novo tempo.
A tecnoloxía Threat Hunting pode ser unha das respostas aos retos do noso tempo para un especialista en seguridade da información. O termo Threat Hunting (en diante TH) apareceu hai varios anos. A tecnoloxía en si é bastante interesante, pero aínda non ten ningún estándar e regras xeralmente aceptados. O asunto tamén se complica pola heteroxeneidade das fontes de información e o pequeno número de fontes de información en ruso sobre este tema. Neste sentido, en LANIT-Integration decidimos escribir unha reseña desta tecnoloxía.
Relevancia
A tecnoloxía TH depende de procesos de monitorización da infraestrutura.. A alerta (semellante aos servizos MSSP) é un método tradicional para buscar sinaturas e sinais de ataque desenvolvidos previamente e responder a eles. Este escenario realízase con éxito polas ferramentas tradicionais de protección baseadas en sinaturas. A caza (servizo tipo MDR) é un método de seguimento que responde á pregunta "De onde veñen as sinaturas e as regras?" É o proceso de creación de regras de correlación mediante a análise de indicadores e signos ocultos ou previamente descoñecidos dun ataque. Threat Hunting refírese a este tipo de seguimento.
Só combinando ambos tipos de vixilancia conseguimos unha protección próxima á ideal, pero sempre hai un certo nivel de risco residual.
Protección mediante dous tipos de vixilancia
E aquí é por que TH (e a caza na súa totalidade!) será cada vez máis relevante:
Ameazas, remedios, riscos.
. Estes inclúen tipos como spam, DDoS, virus, rootkits e outro malware clásico. Pode protexerse destas ameazas usando as mesmas medidas de seguridade clásicas.
Durante a execución de calquera proxecto, e o 20% restante do traballo leva o 80% do tempo. Así mesmo, en todo o panorama de ameazas, o 5% das novas ameazas representarán o 70% do risco para unha empresa. Nunha empresa onde se organizan procesos de xestión da seguridade da información, podemos xestionar o 30% do risco de implantación de ameazas coñecidas dun xeito ou doutro evitando (rexeitamento das redes sen fíos en principio), aceptando (implantando as medidas de seguridade necesarias) ou desprazando. (por exemplo, sobre os ombreiros dun integrador) este risco. Protéxete de, ataques APT, phishing,, a espionaxe cibernética e as operacións nacionais, así como un gran número de outros ataques xa son moito máis difíciles. As consecuencias deste 5% das ameazas serán moito máis graves () que as consecuencias do spam ou dos virus, dos que salva o software antivirus.
Case todos teñen que facer fronte ao 5% das ameazas. Hai pouco tivemos que instalar unha solución de código aberto que utiliza unha aplicación do repositorio PEAR (PHP Extension and Application Repository). Un intento de instalar esta aplicación mediante a instalación de pera fallou porque non estaba dispoñible (agora hai un esbozo), tiven que instalalo desde GitHub. E hai pouco descubriuse que PEAR converteuse nunha vítima.
Aínda pode lembrar, unha epidemia do ransomware NePetya a través dun módulo de actualización para un programa de informes de impostos. As ameazas son cada vez máis sofisticadas e xorde a pregunta lóxica: "Como podemos contrarrestar este 5 % das ameazas?"
Definición de caza de ameazas
Entón, Threat Hunting é o proceso de busca e detección proactiva e iterativa de ameazas avanzadas que non poden ser detectadas polas ferramentas de seguridade tradicionais. As ameazas avanzadas inclúen, por exemplo, ataques como APT, ataques a vulnerabilidades de día 0, Living off the Land, etc.
Tamén podemos reformular que TH é o proceso de proba de hipóteses. Trátase dun proceso predominantemente manual con elementos de automatización, no que o analista, apoiándose nos seus coñecementos e habilidades, peneira grandes volumes de información na procura de sinais de compromiso que se correspondan coa hipótese inicialmente determinada sobre a presenza dunha determinada ameaza. A súa característica distintiva é a variedade de fontes de información.
Nótese que Threat Hunting non é algún tipo de produto de software ou hardware. Non son alertas que se poidan ver nalgunha solución. Este non é un proceso de busca de IOC (Identificadores de Compromiso). E non se trata dun tipo de actividade pasiva que se produza sen a participación de analistas de seguridade da información. Threat Hunting é ante todo un proceso.
Compoñentes da caza de ameazas
Tres compoñentes principais de Threat Hunting: datos, tecnoloxía, persoas.
Datos (que?), incluíndo Big Data. Todo tipo de fluxos de tráfico, información sobre APT anteriores, análises, datos sobre a actividade dos usuarios, datos da rede, información dos empregados, información sobre a darknet e moito máis.
Tecnoloxías (como?) procesar estes datos: todas as formas posibles de procesar estes datos, incluído o Machine Learning.
Persoas (quen?) – aqueles que teñen unha ampla experiencia na análise de varios ataques, desenvolveron a intuición e a capacidade de detectar un ataque. Normalmente trátase de analistas de seguridade da información que deben ter a capacidade de xerar hipóteses e atopar confirmación para elas. Son o principal elo do proceso.
Modelo PARIS
Adam Bateman Modelo PARIS para o proceso TH ideal. O nome fai alusión a un fito famoso en Francia. Este modelo pódese ver en dúas direccións: desde arriba e desde abaixo.
A medida que avanzamos no modelo de abaixo cara arriba, atoparemos moitas evidencias de actividade maliciosa. Cada proba ten unha medida chamada confianza, unha característica que reflicte o peso desta evidencia. Hai "ferro", evidencia directa de actividade maliciosa, segundo a cal podemos chegar inmediatamente á parte superior da pirámide e crear unha alerta real sobre unha infección coñecida con precisión. E hai evidencias indirectas, cuxa suma tamén nos pode levar ao cumio da pirámide. Como sempre, hai moitas máis evidencias indirectas que as directas, o que significa que hai que clasificalas e analizalas, hai que realizar investigacións adicionais, e é recomendable automatizar isto.
Modelo PARIS.
A parte superior do modelo (1 e 2) baséase en tecnoloxías de automatización e diversas analíticas, e a parte inferior (3 e 4) baséase en persoas cunha determinada titulación que xestionan o proceso. Pódese considerar o modelo que se move de arriba a abaixo, onde na parte superior da cor azul temos alertas das ferramentas de seguridade tradicionais (antivirus, EDR, firewall, sinaturas) cun alto grao de confianza e confianza, e debaixo hai indicadores ( IOC, URL, MD5 e outros), que teñen un menor grao de certeza e requiren un estudo adicional. E o nivel máis baixo e máis groso (4) é a xeración de hipóteses, a creación de novos escenarios para o funcionamento dos medios tradicionais de protección. Este nivel non se limita só ás fontes de hipóteses especificadas. Canto máis baixo é o nivel, máis requisitos se aplican ás cualificacións do analista.
É moi importante que os analistas non se limiten a probar un conxunto finito de hipóteses predeterminadas, senón que traballen constantemente para xerar novas hipóteses e opcións para probalas.
Modelo de madurez de uso TH
Nun mundo ideal, TH é un proceso continuo. Pero, como non hai mundo ideal, analicemos e métodos en canto a persoas, procesos e tecnoloxías empregadas. Consideremos un modelo dun TH esférico ideal. Hai 5 niveis de uso desta tecnoloxía. Vexámolos co exemplo da evolución dun único equipo de analistas.
Niveis de madurez
Persoas
Os procesos
Tecnoloxía
Nivel 0
Analistas SOC
24/7
Instrumentos tradicionais:
Tradicional
Conxunto de alertas
Monitorización pasiva
IDS, AV, Sandboxing,
Sen TH
Traballando con alertas
Ferramentas de análise de sinaturas, datos de Threat Intelligence.
Nivel 1
Analistas SOC
TH único
EDR
Experimental
Coñecementos básicos de forense
Busca IOC
Cobertura parcial de datos de dispositivos de rede
Experimentos con TH
Bo coñecemento de redes e aplicacións
Aplicación parcial
Nivel 2
Ocupación temporal
Sprints
EDR
Periódico
Coñecementos medios de forense
Semana a mes
Aplicación completa
Temporal TH
Excelente coñecemento de redes e aplicacións
TH regular
Automatización total do uso de datos EDR
Uso parcial de capacidades EDR avanzadas
Nivel 3
Comando TH dedicado
24/7
Capacidade parcial para probar hipóteses TH
Preventivo
Excelentes coñecementos de forense e malware
TH preventivo
Uso total das capacidades EDR avanzadas
Casos especiais TH
Excelente coñecemento do bando atacante
Casos especiais TH
Cobertura total de datos dos dispositivos de rede
Configuración adaptada ás súas necesidades
Nivel 4
Comando TH dedicado
24/7
Capacidade total para probar hipóteses TH
Liderando
Excelentes coñecementos de forense e malware
TH preventivo
Nivel 3, máis:
Usando TH
Excelente coñecemento do bando atacante
Comprobación, automatización e verificación de hipóteses TH
estreita integración das fontes de datos;
Capacidade de investigación
desenvolvemento segundo as necesidades e o uso non estándar da API.
TH niveis de madurez por persoas, procesos e tecnoloxías
Nivel 0: tradicional, sen utilizar TH. Os analistas habituais traballan cun conxunto estándar de alertas en modo de seguimento pasivo utilizando ferramentas e tecnoloxías estándar: IDS, AV, sandbox e ferramentas de análise de sinaturas.
Nivel 1: experimental, usando TH. Os mesmos analistas con coñecementos básicos de forense e bos coñecementos de redes e aplicacións poden realizar Threat Hunting puntualmente buscando indicadores de compromiso. Os EDR engádense ás ferramentas con cobertura parcial de datos dos dispositivos de rede. As ferramentas utilízanse parcialmente.
Nivel 2: periódico, temporal TH. Os mesmos analistas que xa melloraron os seus coñecementos en forense, redes e a parte de aplicación están obrigados a participar regularmente en Threat Hunting (sprint), digamos, unha semana ao mes. As ferramentas engaden unha exploración completa dos datos dos dispositivos de rede, a automatización da análise de datos desde EDR e o uso parcial das capacidades avanzadas de EDR.
Nivel 3: casos preventivos e frecuentes de TH. Os nosos analistas organizáronse nun equipo dedicado e comezaron a ter un excelente coñecemento da forense e do malware, así como dos métodos e tácticas do bando atacante. O proceso xa se realiza as 24 horas do día. O equipo é capaz de probar parcialmente as hipóteses de TH ao tempo que aproveita plenamente as capacidades avanzadas de EDR cunha cobertura total de datos dos dispositivos de rede. Os analistas tamén poden configurar ferramentas para atender ás súas necesidades.
Nivel 4: gama alta, use TH. O mesmo equipo adquiriu a capacidade de investigación, a capacidade de xerar e automatizar o proceso de proba de hipóteses de TH. Agora as ferramentas complementáronse cunha estreita integración de fontes de datos, desenvolvemento de software para satisfacer as necesidades e uso non estándar de API.
Técnicas de caza de ameazas
Técnicas básicas de caza de ameazas
К TH, por orde de madurez da tecnoloxía utilizada, son: busca básica, análise estatística, técnicas de visualización, agregacións sinxelas, aprendizaxe automática e métodos bayesianos.
O método máis sinxelo, unha busca básica, úsase para restrinxir a área de investigación mediante consultas específicas. A análise estatística úsase, por exemplo, para construír unha actividade típica do usuario ou da rede en forma de modelo estatístico. As técnicas de visualización utilízanse para mostrar visualmente e simplificar a análise dos datos en forma de gráficos e cadros, que facilitan moito discernir patróns na mostra. Emprégase a técnica de agregacións simples por campos clave para optimizar a busca e a análise. Canto máis maduro alcanza o proceso de TH dunha organización, máis relevante se fai o uso de algoritmos de aprendizaxe automática. Tamén son moi utilizados para filtrar spam, detectar tráfico malicioso e detectar actividades fraudulentas. Un tipo máis avanzado de algoritmo de aprendizaxe automática son os métodos bayesianos, que permiten a clasificación, a redución do tamaño da mostra e o modelado de temas.
Modelo diamante e estratexias TH
Sergio Caltagiron, Andrew Pendegast e Christopher Betz no seu traballo "» mostrou os principais compoñentes clave de calquera actividade maliciosa e a conexión básica entre eles.
Modelo de diamante para actividade maliciosa
Segundo este modelo, existen 4 estratexias de Threat Hunting, que se basean nos compoñentes clave correspondentes.
1. Estratexia orientada á vítima. Supoñemos que a vítima ten opoñentes e que entregarán "oportunidades" por correo electrónico. Buscamos datos do inimigo no correo. Busca ligazóns, anexos, etc. Buscamos a confirmación desta hipótese durante un período de tempo determinado (un mes, dúas semanas); se non a atopamos, a hipótese non funcionou.
2. Estratexia orientada ás infraestruturas. Hai varios métodos para usar esta estratexia. Dependendo do acceso e da visibilidade, algúns son máis fáciles que outros. Por exemplo, supervisamos os servidores de nomes de dominio coñecidos por albergar dominios maliciosos. Ou pasamos polo proceso de seguimento de todos os novos rexistros de nomes de dominio para un patrón coñecido utilizado por un adversario.
3. Estratexia orientada á capacidade. Ademais da estratexia enfocada na vítima utilizada pola maioría dos defensores da rede, hai unha estratexia enfocada na oportunidade. É o segundo máis popular e céntrase na detección de capacidades do adversario, é dicir, "malware" e a capacidade do adversario para usar ferramentas lexítimas como psexec, powershell, certutil e outras.
4. Estratexia orientada ao inimigo. O enfoque centrado no adversario céntrase no propio adversario. Isto inclúe o uso de información aberta de fontes dispoñibles públicamente (OSINT), recollida de datos sobre o inimigo, as súas técnicas e métodos (TTP), análise de incidentes anteriores, datos de Intelixencia de Ameazas, etc.
Fontes de información e hipóteses en TH
Algunhas fontes de información para Threat Hunting
Pode haber moitas fontes de información. Un analista ideal debería ser capaz de extraer información de todo o que hai ao redor. As fontes típicas en case calquera infraestrutura serán os datos de ferramentas de seguridade: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Ademais, as fontes típicas de información serán varios indicadores de compromiso, servizos de intelixencia de ameazas, datos CERT e OSINT. Ademais, podes usar información da darknet (por exemplo, de súpeto hai unha orde para piratear a caixa de correo do xefe dunha organización, ou un candidato para o posto de enxeñeiro de rede foi exposto pola súa actividade), información recibida de RRHH (revisións do candidato dun lugar de traballo anterior), información do servizo de seguridade (por exemplo, os resultados da verificación da contraparte).
Pero antes de utilizar todas as fontes dispoñibles, é necesario ter polo menos unha hipótese.
Para probar as hipóteses, primeiro deben ser formuladas. E para presentar moitas hipóteses de alta calidade, é necesario aplicar un enfoque sistemático. O proceso de xeración de hipóteses descríbese con máis detalle en, é moi conveniente tomar este esquema como base para o proceso de formulación de hipóteses.
A principal fonte de hipóteses será Matriz ATT&CK (Tácticas, Técnicas e Saberes Comúns adversarios). Trátase, en esencia, dunha base de coñecemento e un modelo para avaliar o comportamento dos atacantes que realizan as súas actividades nos últimos pasos dun ataque, descrito normalmente mediante o concepto de Kill Chain. É dicir, nas etapas posteriores a que un atacante penetrase na rede interna dunha empresa ou nun dispositivo móbil. A base de coñecemento incluía orixinalmente descricións de 121 tácticas e técnicas utilizadas no ataque, cada unha delas descrita en detalle en formato Wiki. Varias análises de Intelixencia de Ameazas son moi adecuadas como fonte para xerar hipóteses. Destacan especialmente os resultados das análises de infraestruturas e das probas de penetración: estes son os datos máis valiosos que nos poden dar hipóteses férreas debido ao feito de que se basean nunha infraestrutura específica coas súas deficiencias específicas.
Proceso de proba de hipóteses
Sergei Soldatov trouxo cunha descrición detallada do proceso, ilustra o proceso de proba de hipóteses de TH nun único sistema. Indicarei as principais etapas cunha breve descrición.
Fase 1: TI Farm
Nesta fase hai que destacar obxectos (analizándoos xunto con todos os datos das ameazas) e asignándolles etiquetas para as súas características. Estes son ficheiro, URL, MD5, proceso, utilidade, evento. Ao pasalos polos sistemas de Intelixencia de Ameazas, é necesario achegar etiquetas. É dicir, este sitio notouse en CNC en tal ano, este MD5 estaba asociado con tal malware, este MD5 foi descargado dun sitio que distribuía malware.
Fase 2: Casos
Na segunda etapa, observamos a interacción entre estes obxectos e identificamos as relacións entre todos estes obxectos. Temos sistemas marcados que fan algo malo.
Fase 3: Analista
Na terceira etapa, o caso transfírese a un analista experimentado que ten unha ampla experiencia na análise, e el emite un veredicto. Analiza ata os bytes que, onde, como, por que e por que fai este código. Este corpo era malware, este ordenador estaba infectado. Revela conexións entre obxectos, comproba os resultados de percorrer a caixa de area.
Os resultados do traballo do analista transmítense máis adiante. Digital Forensics examina imaxes, Malware Analysis examina os "corpos" atopados e o equipo de Resposta a Incidentes pode ir ao sitio e investigar algo que xa está alí. O resultado do traballo será unha hipótese confirmada, un ataque identificado e formas de contrarrestalo.
Resultados de
Threat Hunting é unha tecnoloxía bastante nova que pode contrarrestar eficazmente ameazas personalizadas, novas e non estándar, que ten grandes perspectivas dado o crecente número de tales ameazas e a crecente complexidade da infraestrutura corporativa. Require tres compoñentes: datos, ferramentas e analistas. Os beneficios da caza de ameazas non se limitan a previr a implementación de ameazas. Non esquezas que durante o proceso de busca mergullámonos na nosa infraestrutura e nos seus puntos débiles a través dos ollos dun analista de seguridade e podemos reforzar aínda máis estes puntos.
Os primeiros pasos que, na nosa opinión, hai que dar para comezar o proceso de TH na súa organización.
- Coidar de protexer os puntos finais e a infraestrutura de rede. Coida a visibilidade (NetFlow) e o control (firewall, IDS, IPS, DLP) de todos os procesos da túa rede. Coñece a túa rede desde o enrutador de borde ata o último host.
- Explorar.
- Realizar pentests periódicos de polo menos recursos externos clave, analizar os seus resultados, identificar os principais obxectivos de ataque e pechar as súas vulnerabilidades.
- Implementar un sistema de intelixencia de ameazas de código aberto (por exemplo, MISP, Yeti) e analizar os rexistros en conxunto con el.
- Implantar unha plataforma de resposta a incidentes (IRP): R-Vision IRP, The Hive, sandbox para a análise de ficheiros sospeitosos (FortiSandbox, Cuckoo).
- Automatizar procesos rutineiros. Análise de rexistros, rexistro de incidencias, informar ao persoal é un campo enorme para a automatización.
- Aprende a interactuar de forma eficaz con enxeñeiros, desenvolvedores e soporte técnico para colaborar en incidentes.
- Documentar todo o proceso, puntos clave, resultados acadados para volver a eles máis tarde ou compartir estes datos cos compañeiros;
- Sexa social: teña en conta o que está a pasar cos seus empregados, a quen contrata e a quen dá acceso aos recursos de información da organización.
- Mantéñase ao tanto das tendencias no campo das novas ameazas e métodos de protección, aumente o seu nivel de alfabetización técnica (incluído no funcionamento de servizos e subsistemas informáticos), asiste a conferencias e comuníquese cos compañeiros.
Listo para discutir a organización do proceso TH nos comentarios.
Ou ven traballar connosco!
Fontes e materiais a estudar
Fonte: www.habr.com