Poznato je 95% prijetnji informacijskoj sigurnosti, a možete se zaštititi od njih koristeći tradicionalna sredstva kao što su antivirusi, firewall, IDS, WAF. Preostalih 5% prijetnji su nepoznate i najopasnije. Oni čine 70% rizika za tvrtku jer ih je vrlo teško otkriti, a još manje zaštititi od njih. Primjeri su epidemija ransomwarea WannaCry, NotPetya/ExPetr, kriptominari, "kibernetičko oružje" Stuxnet (koje je pogodilo iranske nuklearne objekte) i mnogi (sjeća li se još netko Kido/Conficker?) drugi napadi od kojih se ne mogu dobro obraniti klasičnim sigurnosnim mjerama. Želimo razgovarati o tome kako se suprotstaviti ovih 5% prijetnji pomoću tehnologije Threat Hunting.
Kontinuirana evolucija cyber napada zahtijeva stalnu detekciju i protumjere, što nas u konačnici navodi na pomisao o beskonačnoj utrci u naoružanju između napadača i branitelja. Klasični sigurnosni sustavi više nisu u mogućnosti pružiti prihvatljivu razinu sigurnosti, pri kojoj razina rizika ne utječe na ključne pokazatelje tvrtke (ekonomske, političke, reputaciju) bez modifikacije za određenu infrastrukturu, ali općenito pokrivaju neke od rizicima. Već u procesu implementacije i konfiguracije moderni sigurnosni sustavi nalaze se u ulozi sustizača i moraju odgovoriti izazovima novog vremena.
Tehnologija lova na prijetnje može biti jedan od odgovora na izazove našeg vremena za stručnjaka za informacijsku sigurnost. Pojam Threat Hunting (dalje u tekstu TH) pojavio se prije nekoliko godina. Sama tehnologija je vrlo zanimljiva, ali još uvijek nema neke općeprihvaćene standarde i pravila. Stvar je također komplicirana heterogenošću izvora informacija i malim brojem izvora informacija na ruskom jeziku o ovoj temi. U tom smo smislu mi u LANIT-Integration odlučili napisati recenziju ove tehnologije.
aktualnost
TH tehnologija oslanja se na procese praćenja infrastrukture.. Uzbunjivanje (slično MSSP uslugama) tradicionalna je metoda traženja prethodno razvijenih potpisa i znakova napada te odgovora na njih. Ovaj scenarij uspješno izvode tradicionalni zaštitni alati temeljeni na potpisima. Hunting (usluga tipa MDR) je metoda praćenja koja odgovara na pitanje "Odakle potječu potpisi i pravila?" To je proces stvaranja pravila korelacije analizom skrivenih ili prethodno nepoznatih pokazatelja i znakova napada. Lov na prijetnje odnosi se na ovu vrstu nadzora.
Tek kombinacijom obje vrste nadzora dobivamo zaštitu koja je blizu idealne, ali uvijek postoji određena razina zaostalog rizika.
Zaštita pomoću dvije vrste nadzora
A evo zašto će TH (i lov u cijelosti!) postati sve relevantniji:
Prijetnje, lijekovi, rizici.
. To uključuje vrste kao što su neželjena pošta, DDoS, virusi, rootkitovi i drugi klasični malware. Možete se zaštititi od ovih prijetnji koristeći iste klasične sigurnosne mjere.
Tijekom provedbe bilo kojeg projekta, a preostalih 20% posla oduzima 80% vremena. Isto tako, u cijelom krajoliku prijetnji, 5% novih prijetnji predstavljat će 70% rizika za tvrtku. U poduzeću u kojem su organizirani procesi upravljanja informacijskom sigurnošću možemo upravljati 30% rizika implementacije poznatih prijetnji na ovaj ili onaj način izbjegavanjem (načelno odbijanje bežičnih mreža), prihvaćanjem (provođenjem potrebnih sigurnosnih mjera) ili prebacivanjem (na primjer, na ramenima integratora) ovaj rizik. Zaštitite se od, APT napadi, phishing,, kibernetička špijunaža i nacionalne operacije, kao i veliki broj drugih napada već su znatno otežani. Posljedice ovih 5% prijetnji bit će puno ozbiljnije () nego posljedice spama ili virusa, od kojih antivirusni softver spašava.
Gotovo se svatko mora suočiti s 5% prijetnji. Nedavno smo morali instalirati rješenje otvorenog koda koje koristi aplikaciju iz repozitorija PEAR (PHP Extension and Application Repository). Pokušaj instaliranja ove aplikacije putem pear instalacije nije uspio jer bio nedostupan (sada postoji zaglavak na njemu), morao sam ga instalirati s GitHuba. A upravo se nedavno pokazalo da je KRUŠKA postala žrtva.
Još se možete sjetiti, epidemija ransomwarea NePetya kroz modul ažuriranja za program za prijavu poreza. Prijetnje postaju sve sofisticiranije i postavlja se logično pitanje – “Kako se možemo suprotstaviti ovih 5% prijetnji?”
Definicija lova na prijetnje
Dakle, Lov na prijetnje je proces proaktivnog i iterativnog pretraživanja i otkrivanja naprednih prijetnji koje se ne mogu otkriti tradicionalnim sigurnosnim alatima. Napredne prijetnje uključuju, na primjer, napade kao što je APT, napade na 0-dnevne ranjivosti, Living off the Land i tako dalje.
Također možemo preformulirati da je TH proces testiranja hipoteza. Riječ je o pretežno ručnom procesu s elementima automatizacije, u kojem analitičar, oslanjajući se na svoje znanje i vještine, prebire velike količine informacija u potrazi za znakovima kompromisa koji odgovaraju inicijalno utvrđenoj hipotezi o prisutnosti određene prijetnje. Njegova posebnost je raznolikost izvora informacija.
Treba napomenuti da Threat Hunting nije neka vrsta softverskog ili hardverskog proizvoda. Ovo nisu upozorenja koja se mogu vidjeti u nekom rješenju. Ovo nije IOC (Identifiers of Compromise) proces pretraživanja. I to nije neka vrsta pasivne aktivnosti koja se odvija bez sudjelovanja analitičara informacijske sigurnosti. Lov na prijetnje je prije svega proces.
Komponente lova na prijetnje
Tri glavne komponente Threat Huntinga: podaci, tehnologija, ljudi.
Podaci (što?), uključujući Big Data. Sve vrste tokova prometa, informacije o prethodnim APT-ovima, analitika, podaci o aktivnostima korisnika, mrežni podaci, informacije od zaposlenika, informacije na darknetu i još mnogo toga.
Tehnologije (kako?) obrada ovih podataka - svi mogući načini obrade tih podataka, uključujući strojno učenje.
Ljudi koji?) – oni koji imaju bogato iskustvo u analizi različitih napada, razvijenu intuiciju i sposobnost otkrivanja napada. Obično su to analitičari informacijske sigurnosti koji moraju imati sposobnost generiranja hipoteza i pronalaženja potvrda za njih. Oni su glavna karika u procesu.
Model PARIS
Adam Bateman PARIS model za idealan TH proces. Ime aludira na poznatu znamenitost u Francuskoj. Ovaj model se može promatrati u dva smjera - odozgo i odozdo.
Dok budemo prolazili kroz model odozdo prema gore, naići ćemo na mnogo dokaza o zlonamjernim aktivnostima. Svaki dokaz ima mjeru koja se zove povjerenje - karakteristika koja odražava težinu ovog dokaza. Postoji “željezo”, izravan dokaz zlonamjerne aktivnosti, prema kojem možemo odmah doći do vrha piramide i stvoriti stvarnu uzbunu o točno poznatoj infekciji. A postoje neizravni dokazi čiji nas zbroj također može dovesti do vrha piramide. Kao i uvijek, neizravnih dokaza ima puno više nego izravnih, što znači da ih treba sortirati i analizirati, provesti dodatna istraživanja, a preporučljivo je to automatizirati.
Model PARIS.
Gornji dio modela (1 i 2) temelji se na tehnologijama automatizacije i raznim analitikama, a donji dio (3 i 4) temelji se na osobama s određenim kvalifikacijama koje upravljaju procesom. Možete razmotriti kretanje modela od vrha prema dolje, gdje u gornjem dijelu plave boje imamo upozorenja tradicionalnih sigurnosnih alata (antivirus, EDR, vatrozid, potpisi) s visokim stupnjem pouzdanosti i povjerenja, a ispod su indikatori ( IOC, URL, MD5 i drugi), koji imaju niži stupanj sigurnosti i zahtijevaju dodatna istraživanja. A najniža i najdeblja razina (4) je generiranje hipoteza, stvaranje novih scenarija za djelovanje tradicionalnih sredstava zaštite. Ova razina nije ograničena samo na navedene izvore hipoteza. Što je niža razina, to se više zahtjeva postavlja na kvalifikacije analitičara.
Vrlo je važno da analitičari ne testiraju samo konačan skup unaprijed određenih hipoteza, već stalno rade na stvaranju novih hipoteza i opcija za njihovo testiranje.
TH Model zrelosti korištenja
U idealnom svijetu, TH je proces koji traje. No, budući da idealnog svijeta nema, analizirajmo i metode u smislu ljudi, procesa i tehnologija koje se koriste. Razmotrimo model idealne sferne TH. Postoji 5 razina korištenja ove tehnologije. Pogledajmo ih na primjeru evolucije jednog tima analitičara.
Razine zrelosti
Ljudi
procesi
Tehnologija
Razina 0
Analitičari SOC-a
24/7
Tradicionalni instrumenti:
Tradicionalan
Skup upozorenja
Pasivni nadzor
IDS, AV, Sandboxing,
Bez TH
Rad s upozorenjima
Alati za analizu potpisa, Threat Intelligence podaci.
Razina 1
Analitičari SOC-a
Jednokratni TH
EDR
Eksperimentalno
Osnovno poznavanje forenzike
MOK pretraga
Djelomična pokrivenost podataka s mrežnih uređaja
Eksperimenti s TH
Dobro poznavanje mreža i aplikacija
Djelomična primjena
Razina 2
Privremeno zanimanje
Sprintevi
EDR
Periodički
Prosječno poznavanje forenzike
Iz tjedna u mjesec
Potpuna primjena
Privremeni TH
Izvrsno poznavanje mreža i aplikacija
Redovni TH
Potpuna automatizacija korištenja EDR podataka
Djelomično korištenje naprednih EDR mogućnosti
Razina 3
Namjenska TH naredba
24/7
Djelomična sposobnost testiranja hipoteza TH
Preventivno
Izvrsno poznavanje forenzike i zlonamjernog softvera
Preventivni TH
Potpuna upotreba naprednih EDR mogućnosti
Posebni slučajevi TH
Izvrsno poznavanje napadačke strane
Posebni slučajevi TH
Potpuna pokrivenost podataka s mrežnih uređaja
Konfiguracija prema vašim potrebama
Razina 4
Namjenska TH naredba
24/7
Puna sposobnost testiranja TH hipoteza
Vodeći
Izvrsno poznavanje forenzike i zlonamjernog softvera
Preventivni TH
Razina 3, plus:
Korištenje TH
Izvrsno poznavanje napadačke strane
Testiranje, automatizacija i provjera hipoteza TH
uska integracija izvora podataka;
Istraživačka sposobnost
razvoj prema potrebama i nestandardno korištenje API-ja.
TH razine zrelosti prema ljudima, procesima i tehnologijama
Razina 0: tradicionalno, bez korištenja TH. Redoviti analitičari rade sa standardnim skupom upozorenja u načinu pasivnog nadzora koristeći standardne alate i tehnologije: IDS, AV, sandbox, alate za analizu potpisa.
Razina 1: eksperimentalno, korištenjem TH. Isti analitičari s osnovnim znanjem o forenzici i dobrim poznavanjem mreža i aplikacija mogu provesti jednokratni Threat Hunting tražeći indikatore kompromitacije. EDR-ovi su dodani alatima s djelomičnim pokrivanjem podataka s mrežnih uređaja. Alati su djelomično korišteni.
Razina 2: periodični, privremeni TH. Isti analitičari koji su već nadogradili svoje znanje iz forenzike, mreža i aplikativnog dijela dužni su redovito sudjelovati u Threat Huntingu (sprint), recimo tjedan dana u mjesecu. Alati dodaju potpuno istraživanje podataka s mrežnih uređaja, automatizaciju analize podataka iz EDR-a i djelomičnu upotrebu naprednih EDR mogućnosti.
Razina 3: preventivno, česti slučajevi TH. Naši analitičari organizirali su se u posvećen tim i počeli izvrsno poznavati forenziku i malware, kao i poznavati metode i taktike napadačke strane. Proces se već provodi 24/7. Tim je u mogućnosti djelomično testirati TH hipoteze dok u potpunosti iskorištava napredne mogućnosti EDR-a s potpunom pokrivenošću podataka s mrežnih uređaja. Analitičari također mogu konfigurirati alate prema svojim potrebama.
Razina 4: high-end, koristite TH. Isti tim je stekao sposobnost istraživanja, sposobnost generiranja i automatizacije procesa testiranja TH hipoteza. Sada su alati dopunjeni bliskom integracijom izvora podataka, razvojem softvera koji zadovoljava potrebe i nestandardnom upotrebom API-ja.
Tehnike lova na prijetnje
Osnovne tehnike lova na prijetnje
К TH, prema zrelosti korištene tehnologije, su: osnovno pretraživanje, statistička analiza, tehnike vizualizacije, jednostavne agregacije, strojno učenje i Bayesove metode.
Najjednostavnija metoda, osnovno pretraživanje, koristi se za sužavanje područja istraživanja pomoću specifičnih upita. Statistička analiza koristi se, na primjer, za konstruiranje tipične aktivnosti korisnika ili mreže u obliku statističkog modela. Tehnike vizualizacije koriste se za vizualni prikaz i pojednostavljenje analize podataka u obliku grafikona i dijagrama, koji uvelike olakšavaju uočavanje uzoraka u uzorku. Za optimizaciju pretraživanja i analize koristi se tehnika jednostavnih agregacija po ključnim poljima. Što je TH proces organizacije zreliji, upotreba algoritama strojnog učenja postaje relevantnija. Također se široko koriste u filtriranju neželjene pošte, otkrivanju zlonamjernog prometa i otkrivanju lažnih aktivnosti. Naprednija vrsta algoritma strojnog učenja su Bayesove metode koje omogućuju klasifikaciju, smanjenje veličine uzorka i modeliranje tema.
Dijamantni model i TH strategije
Sergio Caltagiron, Andrew Pendegast i Christopher Betz u svom radu "» pokazao je glavne ključne komponente svake zlonamjerne aktivnosti i osnovnu vezu između njih.
Dijamantni model za zlonamjerne aktivnosti
Prema ovom modelu, postoje 4 strategije lova na prijetnje, koje se temelje na odgovarajućim ključnim komponentama.
1. Strategija usmjerena na žrtve. Pretpostavljamo da žrtva ima protivnike i oni će joj isporučiti "prilike" putem e-pošte. Tražimo podatke o neprijatelju u pošti. Tražite poveznice, privitke itd. Tražimo potvrdu ove hipoteze određeno vrijeme (mjesec, dva tjedna), ako je ne nađemo, onda hipoteza nije uspjela.
2. Strategija usmjerena na infrastrukturu. Postoji nekoliko metoda za korištenje ove strategije. Ovisno o pristupu i vidljivosti, neki su lakši od drugih. Na primjer, pratimo poslužitelje naziva domena za koje je poznato da ugošćuju zlonamjerne domene. Ili prolazimo kroz proces praćenja svih novih registracija imena domena za poznati obrazac koji koristi protivnik.
3. Strategija vođena sposobnostima. Uz strategiju usmjerenu na žrtve koju koristi većina mrežnih branitelja, postoji strategija usmjerena na prilike. Drugi je najpopularniji i usredotočen je na otkrivanje mogućnosti protivnika, odnosno "zlonamjernog softvera" i sposobnost protivnika da koristi legitimne alate kao što su psexec, powershell, certutil i drugi.
4. Strategija usmjerena na neprijatelja. Pristup usmjeren na protivnika usredotočuje se na samog protivnika. To uključuje korištenje otvorenih informacija iz javno dostupnih izvora (OSINT), prikupljanje podataka o neprijatelju, njegovim tehnikama i metodama (TTP), analizu prethodnih incidenata, Threat Intelligence podatke itd.
Izvori informacija i hipoteze u TH
Neki izvori informacija za Threat Hunting
Može postojati mnogo izvora informacija. Idealan analitičar trebao bi moći izvući informacije iz svega što je okolo. Tipični izvori u gotovo svakoj infrastrukturi bit će podaci iz sigurnosnih alata: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Također, tipični izvori informacija bit će različiti indikatori kompromitacije, usluge Threat Intelligence, CERT i OSINT podaci. Osim toga, možete koristiti informacije s darkneta (na primjer, iznenada postoji naredba za hakiranje poštanskog sandučića čelnika organizacije ili je kandidat za mjesto mrežnog inženjera razotkriven zbog svoje aktivnosti), informacije primljene od HR (recenzije kandidata s prethodnog radnog mjesta), informacije iz sigurnosne službe (na primjer, rezultati provjere druge ugovorne strane).
No, prije korištenja svih dostupnih izvora, potrebno je imati barem jednu hipotezu.
Kako bi se testirale hipoteze, one se prvo moraju postaviti. A da bi se postavilo mnogo kvalitetnih hipoteza, potrebno je primijeniti sustavan pristup. Proces generiranja hipoteza je detaljnije opisan u, vrlo je zgodno uzeti ovu shemu kao osnovu za proces postavljanja hipoteza.
Glavni izvor hipoteza bit će ATT&CK matrica (Suparničke taktike, tehnike i opće znanje). To je, u biti, baza znanja i model za procjenu ponašanja napadača koji provode svoje aktivnosti u zadnjim koracima napada, koji se obično opisuje pomoću koncepta Kill Chain. To jest, u fazama nakon što je napadač prodro u internu mrežu poduzeća ili u mobilni uređaj. Baza znanja izvorno je uključivala opise 121 taktike i tehnike korištene u napadu, od kojih je svaka detaljno opisana u Wiki formatu. Različite analize obavještajnih podataka o prijetnjama dobro su prikladne kao izvor za generiranje hipoteza. Posebno treba istaknuti rezultate analize infrastrukture i penetracijskih testova - to su najvrjedniji podaci koji nam mogu dati čvrste hipoteze budući da se temelje na specifičnoj infrastrukturi sa svojim specifičnim nedostacima.
Proces testiranja hipoteza
Sergej Soldatov je doveo uz detaljan opis procesa ilustrira proces testiranja TH hipoteza u jednom sustavu. Naznačit ću glavne faze s kratkim opisom.
Faza 1: Farma TI
U ovoj fazi potrebno je istaknuti objekti (analizirajući ih zajedno sa svim podacima o prijetnjama) i dodjeljivanjem oznaka za njihove karakteristike. To su datoteka, URL, MD5, proces, uslužni program, događaj. Prilikom prolaska kroz Threat Intelligence sustave potrebno je priložiti oznake. Odnosno, ova stranica je primijećena u CNC-u te i te godine, ovaj MD5 je bio povezan s tim i tim zlonamjernim softverom, ovaj MD5 je preuzet sa stranice koja je distribuirala zlonamjerni softver.
Faza 2: Slučajevi
U drugoj fazi promatramo interakciju između tih objekata i identificiramo odnose između svih tih objekata. Dobivamo označene sustave koji rade nešto loše.
Faza 3: Analitičar
U trećoj fazi slučaj se prenosi iskusnom analitičaru koji ima veliko iskustvo u analizi i on donosi presudu. On raščlanjuje do bajtova što, gdje, kako, zašto i zašto ovaj kod radi. Ovo tijelo je zlonamjerni softver, ovo računalo je zaraženo. Otkriva veze između objekata, provjerava rezultate trčanja kroz sandbox.
Rezultate rada analitičara prenosimo dalje. Digitalna forenzika ispituje slike, analiza zlonamjernog softvera ispituje pronađena "tijela", a tim za odgovor na incidente može otići na mjesto i istražiti nešto što se već nalazi. Rezultat rada bit će potvrđena hipoteza, identificiran napad i načini suprotstavljanja istom.
Rezultati
Threat Hunting je prilično mlada tehnologija koja se može učinkovito suprotstaviti prilagođenim, novim i nestandardnim prijetnjama, što ima veliku perspektivu s obzirom na sve veći broj takvih prijetnji i sve veću kompleksnost korporativne infrastrukture. Zahtijeva tri komponente - podatke, alate i analitičare. Prednosti Threat Huntinga nisu ograničene na sprječavanje implementacije prijetnji. Ne zaboravite da tijekom procesa pretraživanja zaranjamo u našu infrastrukturu i njezine slabe točke kroz oči sigurnosnog analitičara i možemo dodatno ojačati te točke.
Prvi koraci koje je, po našem mišljenju, potrebno poduzeti za početak procesa TH u vašoj organizaciji.
- Pobrinite se za zaštitu krajnjih točaka i mrežne infrastrukture. Pobrinite se za vidljivost (NetFlow) i kontrolu (firewall, IDS, IPS, DLP) svih procesa na vašoj mreži. Upoznajte svoju mrežu od rubnog usmjerivača do posljednjeg glavnog računala.
- Istražiti.
- Provedite redovite pentestove barem ključnih vanjskih resursa, analizirajte njegove rezultate, identificirajte glavne mete za napad i zatvorite njihove ranjivosti.
- Implementirajte sustav obavještavanja o prijetnjama otvorenog koda (na primjer, MISP, Yeti) i analizirajte zapisnike zajedno s njim.
- Implementirajte platformu za odgovor na incidente (IRP): R-Vision IRP, The Hive, sandbox za analizu sumnjivih datoteka (FortiSandbox, Cuckoo).
- Automatizirajte rutinske procese. Analiza logova, snimanje incidenata, informiranje osoblja veliko je polje za automatizaciju.
- Naučite učinkovito komunicirati s inženjerima, programerima i tehničkom podrškom radi suradnje na incidentima.
- Dokumentirajte cijeli proces, ključne točke, postignute rezultate kako biste im se kasnije vratili ili podijelili te podatke s kolegama;
- Budite društveni: Budite svjesni što se događa s vašim zaposlenicima, koga zapošljavate i kome dajete pristup informacijskim resursima organizacije.
- Budite u tijeku s trendovima u području novih prijetnji i načina zaštite, povećavajte svoju razinu tehničke pismenosti (uključujući rad IT servisa i podsustava), posjećujte konferencije i komunicirajte s kolegama.
Spremni razgovarati o organizaciji procesa TH u komentarima.
Ili dođite raditi s nama!
Izvori i materijali za proučavanje
Izvor: www.habr.com