Az információbiztonsági fenyegetések 95%-a ismert, és hagyományos eszközökkel, például vírusirtókkal, tűzfalakkal, IDS-sel, WAF-al védekezhet ellenük. A fenyegetések fennmaradó 5%-a ismeretlen és a legveszélyesebb. Egy vállalat kockázatának 70%-át teszik ki, mivel nagyon nehéz felismerni őket, és még kevésbé megvédeni őket. Példák a WannaCry ransomware-járvány, a NotPetya/ExPetr, a kriptominerek, a „kiberfegyver” a Stuxnet (amely Irán nukleáris létesítményeit sújtotta) és sok más támadás (emlékszik még valaki a Kido-ra/Confickerre?), amelyek ellen nem védenek túl jól a klasszikus biztonsági intézkedések. Arról szeretnénk beszélni, hogyan lehet a fenyegetések ezen 5%-át a Threat Hunting technológia segítségével leküzdeni.
A kibertámadások folyamatos fejlődése folyamatos felderítést és ellenintézkedéseket igényel, ami végső soron a támadók és a védők közötti végtelen fegyverkezési verseny gondolatához vezet. A klasszikus biztonsági rendszerek már nem képesek olyan elfogadható szintű biztonságot nyújtani, amelynél a kockázati szint nem befolyásolja a vállalat kulcsfontosságú mutatóit (gazdasági, politikai, reputációs) anélkül, hogy azokat egy adott infrastruktúrára módosítanák, de általánosságban lefedik a a kockázatokat. A modern biztonsági rendszerek már a bevezetés és konfiguráció folyamatában a felzárkózó szerepben találják magukat, és válaszolniuk kell az új idők kihívásaira.
A fenyegetésvadász technológia lehet az egyik válasz korunk kihívásaira egy információbiztonsági szakember számára. A fenyegetésvadászat (továbbiakban TH) kifejezés néhány évvel ezelőtt jelent meg. Maga a technológia meglehetősen érdekes, de még nem rendelkezik általánosan elfogadott szabványokkal és szabályokkal. Az ügyet bonyolítja az információforrások heterogenitása és a témával kapcsolatos orosz nyelvű információforrások csekély száma is. Ebben a tekintetben mi, a LANIT-Integration úgy döntöttünk, hogy véleményt írunk erről a technológiáról.
aktualitás
A TH technológia az infrastruktúra-felügyeleti folyamatokon alapul.. A riasztás (hasonlóan az MSSP szolgáltatásokhoz) egy hagyományos módszer a korábban kifejlesztett szignatúrák és támadásokra utaló jelek felkutatására és az azokra való reagálásra. Ezt a forgatókönyvet sikeresen végrehajtják a hagyományos aláírás-alapú védelmi eszközök. A vadászat (MDR típusú szolgáltatás) egy olyan megfigyelési módszer, amely megválaszolja a „Honnan származnak az aláírások és a szabályok?” kérdésre. Ez a korrelációs szabályok létrehozásának folyamata rejtett vagy korábban ismeretlen indikátorok és támadási jelek elemzésével. A fenyegetésvadászat az ilyen típusú megfigyelésre utal.
Csak a két típusú megfigyelés kombinálásával kapunk az ideálishoz közeli védelmet, de mindig van egy bizonyos szintű fennmaradó kockázat.
Védelem kétféle felügyelettel
És ezért válik egyre fontosabbá a TH (és a vadászat a maga teljességében!):
Veszélyek, jogorvoslatok, kockázatok.
. Ide tartoznak az olyan típusok, mint a spam, DDoS, vírusok, rootkitek és más klasszikus rosszindulatú programok. Megvédheti magát ezekkel a fenyegetésekkel szemben ugyanazokkal a klasszikus biztonsági intézkedésekkel.
Bármely projekt megvalósítása során, és a munka fennmaradó 20%-a az idő 80%-át teszi ki. Hasonlóképpen, a teljes fenyegetési környezetben az új fenyegetések 5%-a teszi ki a vállalat kockázatának 70%-át. Egy olyan cégnél, ahol az információbiztonság irányítási folyamatai meg vannak szervezve, elkerüléssel (a vezeték nélküli hálózatok elvi megtagadása), elfogadásával (a szükséges biztonsági intézkedések végrehajtásával) vagy eltolással az ismert fenyegetések valamilyen módon történő megvalósításának kockázatának 30%-át tudjuk kezelni. (például egy integrátor vállára) ezt a kockázatot. Védd magad attól, APT-támadások, adathalászat,, a kiberkémkedés és a nemzeti műveletek, valamint számos egyéb támadás már sokkal nehezebb. A fenyegetések ezen 5%-ának a következményei sokkal súlyosabbak lesznek ().
Szinte mindenkinek meg kell küzdenie a fenyegetések 5%-ával. Nemrég telepítenünk kellett egy nyílt forráskódú megoldást, amely a PEAR (PHP Extension and Application Repository) lerakatból származó alkalmazást használja. Az alkalmazás körtetelepítéssel történő telepítésére tett kísérlet meghiúsult, mert nem volt elérhető (most egy csonk van rajta), fel kellett telepítenem a GitHubról. Nemrég pedig kiderült, hogy a KÖRTÉT áldozat lett.
Emlékszel még, a NePetya ransomware járványa egy adóbevallási program frissítési modulján keresztül. A fenyegetések egyre kifinomultabbak, és felmerül a logikus kérdés: „Hogyan tudunk ellensúlyozni a fenyegetések 5%-át?”
A fenyegetésvadászat definíciója
Tehát a fenyegetésvadászat a hagyományos biztonsági eszközökkel nem észlelhető fejlett fenyegetések proaktív és iteratív keresésének és észlelésének folyamata. A fejlett fenyegetések közé tartoznak például az olyan támadások, mint az APT, a 0-napos sebezhetőségek elleni támadások, a Living off the Land és így tovább.
Azt is átfogalmazhatjuk, hogy a TH a hipotézisek tesztelésének folyamata. Ez egy túlnyomórészt manuális folyamat automatizálási elemekkel, amelyben az elemző tudására és készségeire támaszkodva nagy mennyiségű információt szitál át a kompromisszum jeleit keresve, amelyek megfelelnek egy bizonyos fenyegetés jelenlétére vonatkozó, kezdetben meghatározott hipotézisnek. Különlegessége az információforrások sokfélesége.
Meg kell jegyezni, hogy a Threat Hunting nem valamiféle szoftver vagy hardver termék. Ezek nem olyan riasztások, amelyek valamilyen megoldásban láthatók. Ez nem egy IOC (Identifiers of Compromise) keresési folyamat. És ez nem valamiféle passzív tevékenység, amely információbiztonsági elemzők részvétele nélkül történik. A fenyegetésvadászat mindenekelőtt egy folyamat.
A fenyegetésvadászat összetevői
A fenyegetésvadászat három fő összetevője: adatok, technológia, emberek.
Adatok (mi?), köztük a Big Data. Mindenféle forgalom, információk a korábbi APT-kről, elemzések, adatok a felhasználói aktivitásról, hálózati adatok, információk az alkalmazottaktól, információk a darknetről és még sok más.
Technológiák (hogyan?) ezen adatok feldolgozása – az adatok feldolgozásának minden lehetséges módja, beleértve a gépi tanulást is.
Emberek, akik?) – akik nagy tapasztalattal rendelkeznek a különféle támadások elemzésében, fejlett intuícióval és támadás észlelési képességgel rendelkeznek. Ezek általában információbiztonsági elemzők, akiknek képesnek kell lenniük hipotézisek generálására és megerősítésre. Ők a fő láncszem a folyamatban.
PARIS modell
Adam Bateman PARIS modell az ideális TH folyamathoz. A név egy híres franciaországi nevezetességre utal. Ez a modell két irányban nézhető - felülről és alulról.
Miközben alulról felfelé haladunk végig a modellen, számos rosszindulatú tevékenység bizonyítékával találkozunk. Minden bizonyítéknak van egy mérőszáma, amelyet bizalomnak neveznek – ez a tulajdonság tükrözi ennek a bizonyítéknak a súlyát. Létezik „vas”, közvetlen bizonyíték a rosszindulatú tevékenységre, amely szerint azonnal elérhetjük a piramis csúcsát, és tényleges riasztást készíthetünk egy pontosan ismert fertőzésről. És vannak közvetett bizonyítékok, amelyek összege szintén a piramis csúcsára vezethet. Mint mindig, most is sokkal több a közvetett bizonyíték, mint a közvetlen bizonyíték, ami azt jelenti, hogy ezeket válogatni, elemezni kell, további kutatásokat kell végezni, és ezt célszerű automatizálni.
PARIS modell.
A modell felső része (1. és 2.) automatizálási technológiákon és különféle elemzéseken, az alsó része (3. és 4.) pedig bizonyos képzettséggel rendelkező, a folyamatot irányító személyeken alapul. Tekinthetjük felülről lefelé haladó modellt, ahol a kék szín felső részében a hagyományos biztonsági eszközök (vírusirtó, EDR, tűzfal, aláírások) figyelmeztetései vannak nagy biztonsággal és bizalommal, alatta pedig indikátorok ( IOC, URL, MD5 és mások), amelyek bizonyossága alacsonyabb, és további tanulmányozást igényel. A legalacsonyabb és legvastagabb szint (4) pedig a hipotézisek generálása, új forgatókönyvek megalkotása a hagyományos védelmi eszközök működéséhez. Ez a szint nem korlátozódik csak a hipotézisek meghatározott forrásaira. Minél alacsonyabb a szint, annál több követelményt támasztanak az elemző képesítésével szemben.
Nagyon fontos, hogy az elemzők ne egyszerűen előre meghatározott hipotézisek véges halmazát teszteljék, hanem folyamatosan dolgozzanak új hipotézisek és tesztelési lehetőségek létrehozásán.
TH használati érettségi modell
Egy ideális világban a TH egy folyamatos folyamat. De mivel nincs ideális világ, elemezzük és módszerek az alkalmazott emberek, folyamatok és technológiák tekintetében. Tekintsük egy ideális gömb alakú TH modelljét. Ennek a technológiának 5 szintje van. Nézzük meg őket egyetlen elemzőcsapat evolúciójának példáján.
Érettségi szintek
Emberek
A folyamatok
Technológia
0 szint
SOC elemzők
24/7
Hagyományos hangszerek:
Hagyományos
Figyelmeztetések halmaza
Passzív megfigyelés
IDS, AV, Sandboxing,
TH nélkül
Munka a riasztásokkal
Aláíráselemző eszközök, fenyegetésintelligencia adatok.
1 szint
SOC elemzők
Egyszeri TH
EDR
Kísérleti
Törvényszéki alapismeretek
NOB keresés
A hálózati eszközökről származó adatok részleges lefedettsége
Kísérletek TH-val
A hálózatok és alkalmazások jó ismerete
Részleges alkalmazás
2 szint
Ideiglenes foglalkozás
Sprintek
EDR
Időszakos
Átlagos kriminalisztikai ismeretek
Hétről hónapra
Teljes alkalmazás
Ideiglenes TH
A hálózatok és alkalmazások kiváló ismerete
Rendszeres TH
Az EDR adathasználat teljes automatizálása
Fejlett EDR-képességek részleges használata
3 szint
Dedikált TH parancs
24/7
Részleges képesség hipotézisek tesztelésére TH
Megelőző
A kriminalisztika és a rosszindulatú programok kiváló ismerete
Megelőző TH
A fejlett EDR képességek teljes kihasználása
Különleges esetek TH
A támadóoldal kiváló ismerete
Különleges esetek TH
A hálózati eszközökről származó adatok teljes lefedettsége
Konfiguráció az Ön igényeinek megfelelően
4 szint
Dedikált TH parancs
24/7
Teljes képesség a TH hipotézisek tesztelésére
Vezető
A kriminalisztika és a rosszindulatú programok kiváló ismerete
Megelőző TH
3. szint, plusz:
TH használatával
A támadóoldal kiváló ismerete
Hipotézisek tesztelése, automatizálása és ellenőrzése TH
az adatforrások szoros integrációja;
Kutatási képesség
igény szerinti fejlesztés és nem szabványos API használata.
A TH érettségi szintjei emberek, folyamatok és technológiák szerint
0. szint: hagyományos, TH használata nélkül. A rendszeres elemzők szabványos riasztáskészlettel dolgoznak passzív megfigyelési módban szabványos eszközök és technológiák használatával: IDS, AV, sandbox, aláíráselemző eszközök.
1. szint: kísérleti, TH felhasználásával. Ugyanazok az elemzők, akik alapvető kriminalisztikai ismeretekkel rendelkeznek, és jól ismerik a hálózatokat és az alkalmazásokat, egyszeri fenyegetésvadászatot hajthatnak végre a kompromisszummutatók keresésével. Az EDR-ek hozzáadódnak az eszközökhöz a hálózati eszközökről származó adatok részleges lefedettségével. Az eszközök részben használtak.
2. szint: időszakos, ideiglenes TH. Ugyanazok az elemzők, akik már bővítették tudásukat a kriminalisztika, a hálózatok és az alkalmazási rész területén, kötelesek rendszeresen részt venni a fenyegetésvadászatban (sprint), mondjuk havonta egy héten. Az eszközök hozzáadják a hálózati eszközökről származó adatok teljes feltárását, az EDR-ből származó adatelemzés automatizálását és a fejlett EDR-képességek részleges használatát.
3. szint: megelőző, gyakori TH esetek. Elemzőink egy elhivatott csapattá szerveződtek, és elkezdtek kiváló kriminalisztikai és malware ismeretekkel, valamint a támadó oldal módszereinek és taktikáinak ismereteivel. A folyamat már 24/7-ben zajlik. A csapat képes részben tesztelni a TH hipotéziseket, miközben teljes mértékben kihasználja az EDR fejlett képességeit a hálózati eszközökről származó adatok teljes lefedettségével. Az elemzők az igényeiknek megfelelő eszközöket is konfigurálhatnak.
4. szint: high-end, használja a TH. Ugyanez a csapat megszerezte a kutatási képességet, a TH hipotézisek tesztelésének folyamatának generálását és automatizálását. Most az eszközöket az adatforrások szoros integrációja, az igényeket kielégítő szoftverfejlesztés és az API-k nem szabványos használata egészítette ki.
Fenyegetés vadászat technikák
Alapvető fenyegetésvadászati technikák
К A TH az alkalmazott technológia érettségi sorrendjében a következők: alapvető keresés, statisztikai elemzés, vizualizációs technikák, egyszerű aggregációk, gépi tanulás és Bayes-módszerek.
A legegyszerűbb módszer, az alapkeresés, a kutatási terület szűkítésére szolgál meghatározott lekérdezések segítségével. A statisztikai elemzést például tipikus felhasználói vagy hálózati tevékenység statisztikai modell formájában történő megalkotására használják. Vizualizációs technikákat használnak az adatok vizuális megjelenítésére és egyszerűsítésére grafikonok és diagramok formájában, ami sokkal könnyebbé teszi a minták mintáinak felismerését. A kulcsmezők szerinti egyszerű összesítés technikáját használják a keresés és elemzés optimalizálására. Minél érettebbé válik egy szervezet TH-folyamata, annál relevánsabbá válik a gépi tanulási algoritmusok használata. Széles körben használják a kéretlen levelek szűrésére, a rosszindulatú forgalom észlelésére és a csaló tevékenységek felderítésére is. A gépi tanulási algoritmusok fejlettebb típusa a Bayes-módszer, amely lehetővé teszi az osztályozást, a mintaméret csökkentését és a téma modellezését.
Gyémánt modell és TH stratégiák
Sergio Caltagiron, Andrew Pendegast és Christopher Betz munkájukban "» bemutatta minden rosszindulatú tevékenység fő kulcselemeit és a köztük lévő alapvető kapcsolatot.
Gyémánt modell rosszindulatú tevékenységhez
E modell szerint 4 fenyegetésvadász stratégia létezik, amelyek a megfelelő kulcskomponenseken alapulnak.
1. Áldozatorientált stratégia. Feltételezzük, hogy az áldozatnak vannak ellenfelei, és ők e-mailben biztosítják a „lehetőségeket”. Ellenségadatokat keresünk levélben. Keressen linkeket, mellékleteket stb. Ennek a hipotézisnek a megerősítését keressük egy bizonyos ideig (egy hónap, két hét), ha nem találjuk, akkor a hipotézis nem működött.
2. Infrastruktúra-orientált stratégia. Számos módszer létezik ennek a stratégiának a használatára. A hozzáféréstől és a láthatóságtól függően egyesek könnyebbek, mint mások. Például figyeljük azokat a tartománynévszervereket, amelyekről ismert, hogy rosszindulatú tartományokat tárolnak. Vagy végignézzük az összes új domain név regisztrációját az ellenfél által használt ismert minta alapján.
3. Képességvezérelt stratégia. A legtöbb hálózati védő által használt áldozat-központú stratégia mellett létezik egy lehetőség-központú stratégia is. Ez a második legnépszerűbb, és az ellenfél képességeinek felderítésére összpontosít, nevezetesen a „rosszindulatú programokra”, valamint az ellenfél azon képességére, hogy olyan legitim eszközöket használjon, mint a psexec, a powershell, a certutil és mások.
4. Ellenség-orientált stratégia. Az ellenfélközpontú megközelítés magára az ellenfélre összpontosít. Ez magában foglalja a nyilvánosan elérhető forrásokból származó nyílt információk (OSINT) felhasználását, az ellenségről, annak technikáiról és módszereiről (TTP) vonatkozó adatok gyűjtését, a korábbi incidensek elemzését, a fenyegetés-felderítési adatokat stb.
Információforrások és hipotézisek a TH-ban
Néhány információforrás a fenyegetésvadászathoz
Sok információforrás lehet. Egy ideális elemzőnek képesnek kell lennie arra, hogy információt nyerjen ki mindenből, ami körülveszi. Szinte minden infrastruktúra tipikus forrása a biztonsági eszközökből származó adatok: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Emellett tipikus információforrások a kompromisszum különböző mutatói, a fenyegetésfelderítő szolgáltatások, a CERT és az OSINT adatok. Ezenkívül felhasználhatja a darknetből származó információkat (például hirtelen parancs érkezik egy szervezet vezetőjének postafiókjának feltörésére, vagy egy hálózatmérnöki posztra jelöltet tettek közzé tevékenysége miatt), HR (a jelölt véleménye egy korábbi munkahelyről), információ a biztonsági szolgálattól (például a partner ellenőrzésének eredményei).
De az összes rendelkezésre álló forrás felhasználása előtt legalább egy hipotézisre van szükség.
A hipotézisek teszteléséhez először fel kell őket állítani. És ahhoz, hogy sok jó minőségű hipotézist fel lehessen állítani, szisztematikus megközelítést kell alkalmazni. A hipotézisek létrehozásának folyamatát részletesebben a, nagyon kényelmes ezt a sémát a hipotézisek felállításának alapjául venni.
A hipotézisek fő forrása az lesz ATT&CK mátrix (Adverzális taktika, technikák és közös tudás). Lényegében ez egy tudásbázis és modell azon támadók viselkedésének felmérésére, akik egy támadás utolsó lépésében végzik tevékenységüket, általában a Kill Chain fogalmával írják le. Vagyis azokban a szakaszokban, amikor a támadó behatolt egy vállalat belső hálózatába vagy egy mobileszközre. A tudásbázis eredetileg 121 támadásban használt taktika és technika leírását tartalmazta, amelyek mindegyike részletesen le van írva Wiki formátumban. A különféle fenyegetésintelligencia-elemzések kiválóan alkalmasak hipotézisek generálására. Különösen figyelemre méltóak az infrastruktúra-elemzések és a penetrációs tesztek eredményei – ezek a legértékesebb adatok, amelyek vaskalapos hipotéziseket adhatnak, mivel egy adott infrastruktúrán alapulnak, annak sajátos hiányosságaival.
Hipotézisvizsgálati folyamat
Szergej Soldatov hozta a folyamat részletes leírásával szemlélteti a TH hipotézisek tesztelésének folyamatát egyetlen rendszerben. A főbb szakaszokat rövid leírással fogom jelezni.
1. szakasz: TI Farm
Ebben a szakaszban szükséges kiemelni tárgyakat (az összes fenyegetési adattal együtt elemezve), és címkéket rendel hozzá a jellemzőikhez. Ezek a fájl, URL, MD5, folyamat, segédprogram, esemény. Amikor átadja őket a Threat Intelligence rendszereken, címkéket kell csatolni. Vagyis ezt az oldalt a CNC-ben ilyen-olyan évben vették észre, ehhez az MD5-höz ilyen-olyan kártevőket társítottak, ezt az MD5-öt egy kártevőt terjesztő oldalról töltötték le.
2. szakasz: Esetek
A második szakaszban megvizsgáljuk ezen objektumok közötti kölcsönhatást, és azonosítjuk az összes objektum közötti kapcsolatokat. Jelzett rendszereket kapunk, amelyek valami rosszat csinálnak.
3. szakasz: elemző
A harmadik szakaszban az ügyet átadják egy tapasztalt elemzőnek, aki nagy tapasztalattal rendelkezik az elemzésben, és ő hoz ítéletet. Bájtokig elemzi, hogy mit, hol, hogyan, miért és miért csinál ez a kód. Ez a test rosszindulatú program volt, ez a számítógép fertőzött. Feltárja az objektumok közötti kapcsolatokat, ellenőrzi a homokozón való futás eredményeit.
Az elemzői munka eredményeit továbbítjuk. A Digital Forensics megvizsgálja a képeket, a Malware Analysis megvizsgálja a talált „testeket”, és az Incident Response csapata felkeresheti a helyszínt, és kivizsgálhat valamit, ami már ott van. A munka eredménye egy megerősített hipotézis, egy azonosított támadás és az ellene való védekezés módjai.
Eredményei
A fenyegetésvadászat egy meglehetősen fiatal technológia, amely hatékonyan képes szembeszállni a testre szabott, új és nem szabványos fenyegetésekkel, és az ilyen fenyegetések növekvő száma és a vállalati infrastruktúra egyre összetettebbé válása miatt nagy kilátások vannak. Három összetevőt igényel: adatok, eszközök és elemzők. A fenyegetésvadászat előnyei nem korlátozódnak a fenyegetések megvalósításának megakadályozására. Ne felejtsük el, hogy a keresési folyamat során egy biztonsági elemző szemével merülünk bele infrastruktúránkba és annak gyenge pontjaiba, és tovább erősíthetjük ezeket a pontokat.
Az első lépések, amelyeket véleményünk szerint meg kell tenni a TH folyamat elindításához a szervezetében.
- Gondoskodjon a végpontok és a hálózati infrastruktúra védelméről. Gondoskodjon a hálózaton lévő összes folyamat láthatóságáról (NetFlow) és vezérléséről (tűzfal, IDS, IPS, DLP). Ismerje meg hálózatát a szélső útválasztótól a legutolsó gazdagépig.
- Fedezd fel.
- Végezzen rendszeres ellenőrzéseket legalább a kulcsfontosságú külső erőforrásokon, elemezze az eredményeket, azonosítsa a támadás fő célpontjait, és zárja be a sebezhetőségeiket.
- Nyílt forráskódú Threat Intelligence rendszert (például MISP, Yeti) valósítson meg, és ezzel együtt elemezze a naplókat.
- Valósítson meg egy eseményreagáló platformot (IRP): R-Vision IRP, The Hive, homokozó a gyanús fájlok elemzéséhez (FortiSandbox, Cuckoo).
- Automatizálja a rutinfolyamatokat. A naplók elemzése, az incidensek rögzítése, a személyzet tájékoztatása az automatizálás hatalmas terepe.
- Tanuljon meg hatékonyan együttműködni mérnökökkel, fejlesztőkkel és műszaki támogatással az incidensek kezelésében.
- Dokumentálja a teljes folyamatot, a kulcspontokat, az elért eredményeket, hogy később visszatérhessen rájuk, vagy megossza ezeket az adatokat kollégáival;
- Legyen közösségi: Legyen tisztában azzal, hogy mi történik az alkalmazottaival, kiket vesz fel, és kinek ad hozzáférést a szervezet információs forrásaihoz.
- Kövessen lépést az új fenyegetések és védelmi módszerek terén tapasztalható trendekkel, növelje műszaki ismereteit (beleértve az IT szolgáltatások és alrendszerek üzemeltetését is), vegyen részt konferenciákon és kommunikáljon kollégáival.
Készen áll a TH folyamat megszervezésének megvitatására a megjegyzésekben.
Vagy gyere velünk dolgozni!
Tanulmányozandó források és anyagok
Forrás: will.com