95% nan menas sekirite enfòmasyon yo konnen, epi ou ka pwoteje tèt ou kont yo lè l sèvi avèk mwayen tradisyonèl tankou antivirus, firewall, IDS, WAF. 5% ki rete nan menas yo enkoni ak pi danjere a. Yo konstitye 70% nan risk pou yon konpayi akòz lefèt ke li trè difisil yo detekte yo, anpil mwens pwoteje kont yo. Egzanp yo se WannaCry ransomware epidemi, NotPetya/ExPetr, cryptominers, "cyber zam" Stuxnet (ki frape enstalasyon nikleyè Iran an) ak anpil (nenpòt lòt moun sonje Kido/Conficker?) lòt atak ki pa trè byen defann kont ak mezi sekirite klasik. Nou vle pale sou fason pou kontrekare 5% menas sa yo lè l sèvi avèk teknoloji Threat Hunting.
Evolisyon kontinyèl atak cyber mande pou deteksyon konstan ak kont mezi, ki finalman mennen nou panse a yon kous zam kontinuèl ant atakè ak defansè. Sistèm sekirite klasik yo pa kapab bay yon nivo sekirite akseptab nan ki nivo risk pa afekte endikatè kle konpayi an (ekonomik, politik, repitasyon) san yo pa modifye yo pou yon enfrastrikti espesifik, men an jeneral yo kouvri kèk nan yo. risk. Deja nan pwosesis aplikasyon an ak konfigirasyon, sistèm sekirite modèn yo jwenn tèt yo nan wòl nan pwan moute epi yo dwe reponn a defi yo nan nouvo tan an.
Teknoloji lachas menas ka youn nan repons pou defi tan nou an pou yon espesyalis sekirite enfòmasyon. Tèm lachas menas (ki rele TH) te parèt plizyè ane de sa. Teknoloji nan tèt li se byen enteresan, men li poko gen okenn estanda ak règ jeneralman aksepte. Zafè a konplike tou pa eterojenite sous enfòmasyon ak ti kantite sous enfòmasyon ki nan lang Ris sou sijè sa a. Nan sans sa a, nou menm nan LANIT-Integration deside ekri yon revizyon sou teknoloji sa a.
Enpòtans
Teknoloji TH depann sou pwosesis siveyans enfrastrikti.. Alèt (menm jan ak sèvis MSSP) se yon metòd tradisyonèl pou chèche siyati ak siy atak ki te deja devlope epi reponn a yo. Se senaryo sa a avèk siksè fèt pa zouti pwoteksyon tradisyonèl ki baze sou siyati. Lachas (sèvis tip MDR) se yon metòd siveyans ki reponn kesyon "Ki kote siyati ak règ yo soti?" Li se pwosesis pou kreye règ korelasyon pa analize endikatè kache oswa deja enkoni ak siy yon atak. Lachas menas refere a kalite siveyans sa a.
Se sèlman lè nou konbine tou de kalite siveyans nou jwenn pwoteksyon ki pre ideyal, men toujou gen yon sèten nivo risk rezidyèl.
Pwoteksyon lè l sèvi avèk de kalite siveyans
Ak isit la poukisa TH (ak lachas nan antye!) ap vin de pli zan pli enpòtan:
Menas, remèd, risk.
. Men sa yo enkli kalite tankou spam, DDoS, viris, routki ak lòt malveyan klasik. Ou ka pwoteje tèt ou kont menas sa yo lè l sèvi avèk menm mezi sekirite klasik yo.
Pandan aplikasyon an nan nenpòt pwojè, ak rès 20% nan travay la pran 80% nan tan an. Menm jan an tou, atravè tout peyizaj menas la, 5% nan nouvo menas pral reprezante 70% nan risk pou yon konpayi. Nan yon konpayi kote pwosesis jesyon sekirite enfòmasyon yo òganize, nou ka jere 30% risk pou aplikasyon menas li te ye nan yon fason oswa yon lòt lè nou evite (refi rezo san fil an prensip), aksepte (aplike mezi sekirite ki nesesè yo) oswa deplase. (pa egzanp, sou zepòl yon intégrateur) risk sa a. Pwoteje tèt ou kont, atak APT, èskrokri,, cyber espyonaj ak operasyon nasyonal yo, osi byen ke yon gwo kantite lòt atak yo deja pi difisil. Konsekans 5% menas sa yo pral pi grav anpil () pase konsekans yo nan spam oswa viris, ki soti nan ki lojisyèl antivirus sove.
Prèske tout moun gen fè fas ak 5% nan menas. Dènyèman, nou te oblije enstale yon solisyon sous louvri ki sèvi ak yon aplikasyon ki soti nan depo PEAR (PHP Extension and Application Repository). Yon tantativ pou enstale aplikasyon sa a atravè enstalasyon pwa echwe paske pa t disponib (kounye a gen yon souch sou li), mwen te oblije enstale li nan GitHub. Ak jis dènyèman li te tounen soti ke PEAR te vin yon viktim.
Ou ka toujou sonje, yon epidemi ransomware NePetya atravè yon modil ajou pou yon pwogram rapò taks. Menas yo ap vin pi plis ak plis sofistike, ak kesyon lojik la rive - "Ki jan nou ka kontrekare 5% nan menas sa yo?"
Definisyon lachas menas
Se konsa, lachas menas se pwosesis rechèch aktif ak iteratif ak deteksyon menas avanse ki pa ka detekte pa zouti sekirite tradisyonèl yo. Menas avanse yo enkli, pou egzanp, atak tankou APT, atak sou vilnerabilite 0-jou, Living off the Land, ak sou sa.
Nou ka repete tou ke TH se pwosesis pou teste ipotèz yo. Sa a se yon pwosesis majorite manyèl ak eleman nan automatisation, nan ki analis la, repoze sou konesans li ak konpetans li, sifts nan gwo komèsan nan enfòmasyon nan rechèch nan siy konpwomi ki koresponn ak ipotèz la okòmansman detèmine sou prezans nan yon menas sèten. Karakteristik diferan li yo se varyete sous enfòmasyon.
Li ta dwe remake ke menas lachas se pa yon kalite pwodwi lojisyèl oswa pyès ki nan konpitè. Sa yo se pa alèt ki ka wè nan kèk solisyon. Sa a se pa yon pwosesis rechèch IOC (Idantifikatè Konpwomi). Epi sa a se pa yon kalite aktivite pasif ki fèt san patisipasyon analis sekirite enfòmasyon yo. Lachas menas se premye ak premye yon pwosesis.
Eleman nan lachas menas
Twa eleman prensipal nan menas lachas: done, teknoloji, moun.
Done (ki sa?), ki gen ladan Big Data. Tout kalite sikilasyon, enfòmasyon sou APT anvan yo, analiz, done sou aktivite itilizatè, done rezo, enfòmasyon ki soti nan anplwaye yo, enfòmasyon sou darknet la ak plis ankò.
Teknoloji (kijan?) trete done sa yo - tout fason posib pou trete done sa yo, enkli Machine Learning.
Moun (kiyès?) – moun ki gen anpil eksperyans nan analize divès atak, devlope entwisyon ak kapasite nan detekte yon atak. Tipikman sa yo se analis sekirite enfòmasyon ki dwe gen kapasite pou jenere ipotèz epi jwenn konfimasyon pou yo. Yo se lyen prensipal la nan pwosesis la.
Modèl PARIS
Adan Bateman PARIS modèl pou pwosesis TH ideyal la. Non an fè referans a yon bòn ki pi popilè an Frans. Ou ka wè modèl sa a nan de direksyon - soti anwo ak anba a.
Pandan n ap travay atravè modèl la depi anba a, n ap rankontre anpil prèv ki montre aktivite move. Chak prèv gen yon mezi ki rele konfyans - yon karakteristik ki reflete pwa prèv sa a. Gen "fè", prèv dirèk nan aktivite move, dapre ki nou ka imedyatman rive nan tèt piramid la epi kreye yon alèt aktyèl sou yon enfeksyon jisteman li te ye. Epi gen prèv endirèk, sòm nan ki ka mennen nou tou nan tèt piramid la. Kòm toujou, gen plis prèv endirèk pase prèv dirèk, ki vle di ke yo bezwen yo dwe klase ak analize, rechèch adisyonèl dwe fèt, epi li se konseye otomatize sa a.
Modèl PARIS.
Pati anwo a nan modèl la (1 ak 2) baze sou teknoloji automatisation ak analiz divès kalite, ak pati ki pi ba a (3 ak 4) baze sou moun ki gen sèten kalifikasyon ki jere pwosesis la. Ou ka konsidere modèl la k ap deplase soti anwo jouk anba, kote nan pati siperyè koulè ble a nou gen alèt soti nan zouti sekirite tradisyonèl yo (antivirus, EDR, firewall, siyati) ak yon wo degre de konfyans ak konfyans, ak anba a yo se endikatè ( IOC, URL, MD5 ak lòt moun), ki gen yon degre pi ba nan sètitid epi ki mande etid adisyonèl. Ak nivo ki pi ba ak pi epè (4) se jenerasyon an nan ipotèz, kreyasyon an nan nouvo senaryo pou operasyon an nan mwayen tradisyonèl pwoteksyon. Nivo sa a pa limite sèlman nan sous espesifye nan ipotèz yo. Plis nivo a pi ba, plis kondisyon yo mete sou kalifikasyon analis la.
Li enpòtan anpil pou analis yo pa senpleman teste yon seri ipotèz predetèmine, men yo toujou ap travay pou jenere nouvo ipotèz ak opsyon pou teste yo.
TH Itilizasyon Matirite Modèl
Nan yon mond ideyal, TH se yon pwosesis kontinyèl. Men, depi pa gen monn ideyal, ann analize ak metòd an tèm de moun, pwosesis ak teknoloji yo itilize. Ann konsidere yon modèl yon TH esferik ideyal. Gen 5 nivo itilize teknoloji sa a. Ann gade yo lè l sèvi avèk egzanp evolisyon yon sèl ekip analis yo.
Nivo matirite
Moun
Pwosesis yo
Teknoloji
Nivo nivo
Analis SOC
24/7
Enstriman tradisyonèl yo:
Tradisyonèl
Mete alèt
Siveyans pasif
IDS, AV, Sandboxing,
San TH
Travay ak alèt
Zouti analiz siyati, done entèlijans menas.
Nivo nivo
Analis SOC
Yon sèl fwa TH
BDU
Eksperimantal
Konesans debaz nan legal legal
rechèch IOC
Kouvèti pasyèl nan done ki soti nan aparèy rezo yo
Eksperyans ak TH
Bon konesans nan rezo ak aplikasyon yo
Aplikasyon pasyèl
Nivo nivo
Okipasyon tanporè
Sprints
BDU
Peryodik
Konesans mwayèn nan legal legal
Semèn a mwa
Aplikasyon konplè
Tanporè TH
Ekselan konesans nan rezo ak aplikasyon yo
TH regilye
Otomatik konplè nan itilizasyon done EDR
Itilizasyon yon pati nan kapasite EDR avanse
Nivo nivo
Kòmand TH dedye
24/7
Kapasite pasyèl pou teste ipotèz TH
Prevantif
Ekselan konesans nan legal ak malveyan
Prevantif TH
Itilizasyon konplè kapasite EDR avanse
Ka espesyal TH
Ekselan konesans sou bò atak la
Ka espesyal TH
Kouvèti konplè done ki soti nan aparèy rezo yo
Konfigirasyon adapte ak bezwen ou yo
Nivo nivo
Kòmand TH dedye
24/7
Kapasite konplè pou teste ipotèz TH
Dirijan
Ekselan konesans nan legal ak malveyan
Prevantif TH
Nivo 3, plis:
Sèvi ak TH
Ekselan konesans sou bò atak la
Tès, automatisation ak verifikasyon ipotèz TH
sere entegrasyon sous done yo;
Kapasite rechèch
devlopman selon bezwen ak itilizasyon ki pa estanda nan API.
TH nivo matirite pa moun, pwosesis ak teknoloji
Nivo 0: tradisyonèl, san yo pa itilize TH. Analis regilye yo travay avèk yon seri alèt estanda nan mòd siveyans pasif lè l sèvi avèk zouti ak teknoloji estanda: IDS, AV, sandbox, zouti analiz siyati.
Nivo 1: eksperimantal, lè l sèvi avèk TH. Analis yo menm ki gen konesans debaz nan legal legal ak bon konesans nan rezo ak aplikasyon yo ka fè yon sèl-fwa menas lachas pa chèche endikatè nan konpwomi. EDR yo ajoute nan zouti yo ak pwoteksyon pasyèl nan done ki soti nan aparèy rezo yo. Zouti yo pasyèlman itilize.
Nivo 2: peryodik, tanporè TH. Analis yo menm ki te deja amelyore konesans yo nan forensics, rezo ak pati aplikasyon an oblije regilyèman angaje yo nan menas lachas (sprint), di, yon semèn nan yon mwa. Zouti yo ajoute eksplorasyon konplè done ki soti nan aparèy rezo, automatisation analiz done ki soti nan EDR, ak itilizasyon pasyèl kapasite EDR avanse.
Nivo 3: prevantif, ka souvan TH. Analis nou yo te òganize tèt yo nan yon ekip devwe epi yo te kòmanse gen konesans ekselan nan legal legal ak malveyan, osi byen ke konesans nan metòd yo ak taktik nan atak la. Pwosesis la deja fèt 24/7. Ekip la kapab teste pasyèlman ipotèz TH pandan y ap pwofite totalman kapasite avanse EDR ak pwoteksyon konplè done ki sòti nan aparèy rezo yo. Analis yo kapab tou configured zouti yo adapte bezwen yo.
Nivo 4: segondè, sèvi ak TH. Ekip la menm akeri kapasite nan rechèch, kapasite nan jenere ak otomatize pwosesis la nan tès ipotèz TH. Koulye a, zouti yo te konplete pa sere entegrasyon sous done, devlopman lojisyèl pou satisfè bezwen yo, ak itilizasyon ki pa estanda nan API.
Teknik lachas menas
Teknik debaz lachas menas
К TH, nan lòd matirite nan teknoloji yo itilize, yo se: rechèch debaz, analiz estatistik, teknik vizyalizasyon, agrégasyon senp, aprantisaj machin, ak metòd Bayezyen.
Metòd ki pi senp la, yon rechèch debaz, yo itilize pou diminye zòn nan rechèch lè l sèvi avèk demann espesifik. Yo itilize analiz estatistik, pa egzanp, pou konstwi aktivite tipik itilizatè oswa rezo nan fòm yon modèl estatistik. Teknik vizyalizasyon yo itilize pou montre ak senplifye analiz done yo sou fòm graf ak tablo, ki fè li pi fasil pou disène modèl nan echantiyon an. Teknik agrégasyon senp pa domèn kle yo itilize pou optimize rechèch ak analiz. Plis pwosesis TH yon òganizasyon rive nan matirite, se plis itilizasyon algoritm aprantisaj machin yo vin pi enpòtan. Yo tou lajman itilize nan filtraj Spam, detekte move trafik ak detekte aktivite fwod. Yon kalite algorithm aprantisaj machin ki pi avanse se metòd Bayezyen, ki pèmèt pou klasifikasyon, rediksyon gwosè echantiyon, ak modèl sijè.
Modèl Diamond ak Estrateji TH
Sergio Caltagiron, Andrew Pendegast ak Christopher Betz nan travay yo "» te montre eleman kle prensipal yo nan nenpòt aktivite move ak koneksyon debaz ki genyen ant yo.
Modèl Diamond pou aktivite move
Dapre modèl sa a, gen 4 estrateji lachas menas, ki baze sou eleman kle korespondan yo.
1. Estrateji oryante sou viktim yo. Nou sipoze ke viktim nan gen opozan epi yo pral delivre "opòtinite" pa imel. Nou ap chèche done lènmi pa lapòs. Chèche lyen, atachman, elatriye. Nou ap chèche konfimasyon ipotèz sa a pou yon sèten peryòd tan (yon mwa, de semèn); si nou pa jwenn li, Lè sa a, ipotèz la pa t travay.
2. Estrateji oryante sou enfrastrikti. Gen plizyè metòd pou itilize estrateji sa a. Tou depan de aksè ak vizibilite, gen kèk ki pi fasil pase lòt. Pou egzanp, nou kontwole sèvè non domèn yo konnen yo òganize domèn move. Oswa nou ale nan pwosesis pou kontwole tout nouvo anrejistreman non domèn pou yon modèl li te ye ke yon advèsè itilize.
3. Kapasite-kondwi estrateji. Anplis estrateji ki konsantre sou viktim yo itilize pa pifò defansè rezo a, gen yon estrateji ki konsantre sou opòtinite. Li se dezyèm ki pi popilè epi li konsantre sou detekte kapasite nan men advèsè a, sètadi "malveyan" ak kapasite advèsè a pou sèvi ak zouti lejitim tankou psexec, powershell, certutil ak lòt moun.
4. estrateji oryante lènmi. Apwòch ki santre sou advèsè a konsantre sou advèsè a li menm. Sa a gen ladan itilizasyon enfòmasyon ouvè ki soti nan sous ki disponib piblikman (OSINT), koleksyon done sou lènmi an, teknik ak metòd li yo (TTP), analiz de ensidan anvan yo, done entèlijans menas, elatriye.
Sous enfòmasyon ak ipotèz nan TH
Kèk sous enfòmasyon pou lachas menas
Kapab genyen anpil sous enfòmasyon. Yon analis ideyal ta dwe kapab ekstrè enfòmasyon ki soti nan tout bagay ki alantou. Sous tipik nan prèske nenpòt enfrastrikti yo pral done ki soti nan zouti sekirite: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Epitou, sous enfòmasyon tipik yo pral endikatè divès kalite konpwomi, sèvis entèlijans menas, done CERT ak OSINT. Anplis de sa, ou ka sèvi ak enfòmasyon ki soti nan darknet la (pa egzanp, toudenkou gen yon lòd yo pirate bwat lèt la nan tèt la nan yon òganizasyon, oswa yon kandida pou pozisyon nan yon enjenyè rezo te ekspoze pou aktivite li), enfòmasyon yo resevwa nan men HR (revizyon sou kandida a soti nan yon kote anvan travay), enfòmasyon ki soti nan sèvis sekirite a (pa egzanp, rezilta yo nan verifikasyon nan kontrepati a).
Men, anvan ou sèvi ak tout sous ki disponib, li nesesè pou gen omwen yon ipotèz.
Yo nan lòd yo teste ipotèz, yo dwe premye mete devan. Ak nan lòd yo mete devan anpil ipotèz-wo kalite, li nesesè aplike yon apwòch sistematik. Pwosesis jenere ipotèz yo dekri an plis detay nan, li trè pratik yo pran konplo sa a kòm baz pou pwosesis la nan mete pi devan ipotèz.
Sous prensipal ipotèz yo pral ATT&CK matris (Taktik Adversary, Teknik ak Konesans Komen). Li se, nan sans, yon baz konesans ak modèl pou evalye konpòtman an nan atakè ki fè aktivite yo nan dènye etap yo nan yon atak, anjeneral ki dekri lè l sèvi avèk konsèp nan Touye Chain. Sa vle di, nan etap yo apre yon atakè te antre nan rezo entèn yon antrepriz oswa sou yon aparèy mobil. Okòmansman, baz konesans la te gen ladann deskripsyon 121 taktik ak teknik yo itilize nan atak, yo chak dekri an detay nan fòma Wiki. Divès kalite analiz entèlijans menas yo byen adapte kòm yon sous pou jenere ipotèz. An patikilye, rezilta yo nan analiz enfrastrikti ak tès pénétration - sa a se done ki pi enpòtan ki ka ban nou ipotèz ironclad akòz lefèt ke yo baze sou yon enfrastrikti espesifik ak enpèfeksyon espesifik li yo.
Pwosesis tès ipotèz
Sergei Soldatov pote ak yon deskripsyon detaye sou pwosesis la, li montre pwosesis la nan tès ipotèz TH nan yon sistèm sèl. Mwen pral endike etap prensipal yo ak yon deskripsyon tou kout.
Etap 1: TI Farm
Nan etap sa a li nesesè mete aksan sou objè yo (nan analize yo ansanm ak tout done menas) epi bay yo etikèt pou karakteristik yo. Sa yo se dosye, URL, MD5, pwosesis, sèvis piblik, evènman. Lè w ap pase yo atravè sistèm entèlijans menas yo, li nesesè yo tache tags. Sa vle di, sit sa a te remake nan CNC nan yon tèl ane, MD5 sa a te asosye ak malveyan tèl ak tèl, MD5 sa a te telechaje soti nan yon sit ki distribye malveyan.
Etap 2: Ka
Nan dezyèm etap la, nou gade nan entèraksyon ki genyen ant objè sa yo epi idantifye relasyon ki genyen ant tout objè sa yo. Nou jwenn sistèm make ki fè yon move bagay.
Etap 3: Analis
Nan twazyèm etap la, ka a transfere bay yon analis ki gen eksperyans ki gen anpil eksperyans nan analiz, epi li fè yon vèdik. Li analize desann nan bytes yo ki sa, ki kote, ki jan, poukisa ak poukisa kòd sa a fè. Kò sa a te malveyan, òdinatè sa a te enfekte. Revele koneksyon ant objè yo, tcheke rezilta yo nan kouri nan bwat sab la.
Rezilta travay analis yo transmèt pi lwen. Digital Forensics egzamine imaj, analiz malveyan egzamine "kò" yo jwenn, ak ekip la Repons Ensidan ka ale sou sit la epi mennen ankèt sou yon bagay ki deja la. Rezilta travay la pral yon ipotèz konfime, yon atak idantifye ak fason pou kontrekare li.
Rezilta
Threat Hunting se yon teknoloji jistis jèn ki ka efektivman kontrekare menas pèsonalize, nouvo ak ki pa estanda, ki gen gwo kandida yo bay nimewo a ap grandi nan menas sa yo ak konpleksite a ogmante nan enfrastrikti antrepriz. Li mande twa konpozan - done, zouti ak analis. Benefis lachas menas yo pa limite a anpeche aplikasyon menas yo. Pa bliye ke pandan pwosesis rechèch la nou plonje nan enfrastrikti nou yo ak pwen fèb li yo nan je yo nan yon analis sekirite epi yo ka ranfòse plis pwen sa yo.
Premye etap sa yo ki, daprè nou, bezwen pran pou kòmanse pwosesis TH nan òganizasyon w lan.
- Pran swen pou pwoteje pwen final yo ak enfrastrikti rezo a. Pran swen vizibilite (NetFlow) ak kontwòl (pare-feu, IDS, IPS, DLP) tout pwosesis sou rezo ou. Konnen rezo ou a soti nan routeur kwen nan dènye lame a.
- Eksplore.
- Fè tès regilye nan omwen resous ekstèn kle, analize rezilta li yo, idantifye sib prensipal yo pou atak ak fèmen frajilite yo.
- Aplike yon sistèm entèlijans menas sous louvri (pa egzanp, MISP, Yeti) epi analize mòso bwa ansanm ak li.
- Aplike yon platfòm repons ensidan (IRP): R-Vision IRP, The Hive, sandbox pou analize dosye sispèk (FortiSandbox, Cuckoo).
- Otomatik pwosesis woutin yo. Analiz de mòso bwa, anrejistreman ensidan, enfòme anplwaye se yon jaden gwo pou automatisation.
- Aprann byen kominike avèk enjenyè, devlopè, ak sipò teknik pou kolabore sou ensidan yo.
- Dokimande tout pwosesis la, pwen kle yo, rezilta reyalize yo nan lòd yo retounen nan yo pita oswa pataje done sa yo ak kòlèg li yo;
- Fè sosyal: Ou dwe konnen sa k ap pase ak anplwaye ou yo, ki moun ou anboche, ak ki moun ou bay aksè a resous enfòmasyon òganizasyon an.
- Kenbe okouran de tandans nan domèn nouvo menas ak metòd pwoteksyon, ogmante nivo alfabetizasyon teknik ou (tankou nan operasyon sèvis IT ak subsistèm), ale nan konferans ak kominike ak kòlèg li yo.
Pare pou diskite sou òganizasyon pwosesis TH la nan kòmantè yo.
Oswa vin travay avèk nou!
Sous ak materyèl pou etidye
Sous: www.habr.com