95% ancaman keamanan informasi diketahui, dan Anda dapat melindungi diri dari ancaman tersebut menggunakan cara tradisional seperti antivirus, firewall, IDS, WAF. 5% ancaman sisanya tidak diketahui dan merupakan yang paling berbahaya. Penyakit-penyakit tersebut menyumbang 70% risiko bagi perusahaan karena sangat sulit untuk mendeteksinya, apalagi melindunginya. Contoh adalah epidemi ransomware WannaCry, NotPetya/ExPetr, penambang kripto, “senjata siber” Stuxnet (yang menyerang fasilitas nuklir Iran) dan banyak (ada yang ingat Kido/Conficker?) serangan lain yang tidak dapat dilawan dengan baik dengan langkah-langkah keamanan klasik. Kami ingin membahas cara melawan 5% ancaman ini dengan menggunakan teknologi Threat Hunting.
Evolusi serangan siber yang terus-menerus memerlukan deteksi dan tindakan penanggulangan yang terus-menerus, yang pada akhirnya membuat kita berpikir tentang perlombaan senjata tanpa akhir antara penyerang dan pembela. Sistem keamanan klasik tidak lagi mampu memberikan tingkat keamanan yang dapat diterima, di mana tingkat risiko tidak mempengaruhi indikator utama perusahaan (ekonomi, politik, reputasi) tanpa memodifikasinya untuk infrastruktur tertentu, namun secara umum mencakup beberapa hal. risikonya. Sudah dalam proses implementasi dan konfigurasi, sistem keamanan modern berada dalam peran untuk mengejar ketertinggalan dan harus merespons tantangan zaman baru.
Teknologi Perburuan Ancaman mungkin menjadi salah satu jawaban atas tantangan zaman kita bagi seorang spesialis keamanan informasi. Istilah Threat Hunting (selanjutnya disebut TH) muncul beberapa tahun lalu. Teknologinya sendiri cukup menarik, namun belum memiliki standar dan aturan yang berlaku umum. Masalah ini juga diperumit oleh heterogenitas sumber informasi dan sedikitnya jumlah sumber informasi berbahasa Rusia tentang topik ini. Dalam hal ini, kami di LANIT-Integration memutuskan untuk menulis ulasan tentang teknologi ini.
Relevansi
Teknologi TH bergantung pada proses pemantauan infrastruktur.. Peringatan (mirip dengan layanan MSSP) adalah metode tradisional untuk mencari tanda tangan dan tanda-tanda serangan yang dikembangkan sebelumnya dan meresponsnya. Skenario ini berhasil dilakukan oleh alat perlindungan berbasis tanda tangan tradisional. Hunting (layanan jenis MDR) adalah metode pemantauan yang menjawab pertanyaan “Dari mana datangnya tanda tangan dan aturan?” Ini adalah proses menciptakan aturan korelasi dengan menganalisis indikator dan tanda serangan yang tersembunyi atau sebelumnya tidak diketahui. Perburuan Ancaman mengacu pada jenis pemantauan ini.
Hanya dengan menggabungkan kedua jenis pemantauan tersebut kita mendapatkan perlindungan yang mendekati ideal, namun selalu ada tingkat risiko sisa tertentu.
Perlindungan menggunakan dua jenis pemantauan
Dan inilah mengapa TH (dan perburuan secara keseluruhan!) akan menjadi semakin relevan:
Ancaman, solusi, risiko.
. Ini termasuk jenis-jenis seperti spam, DDoS, virus, rootkit, dan malware klasik lainnya. Anda dapat melindungi diri Anda dari ancaman ini menggunakan langkah-langkah keamanan klasik yang sama.
Selama implementasi proyek apa pun, dan 20% pekerjaan sisanya memakan 80% waktu. Demikian pula, di seluruh lanskap ancaman, 5% ancaman baru akan menyumbang 70% risiko bagi perusahaan. Di perusahaan di mana proses manajemen keamanan informasi diatur, kita dapat mengelola 30% risiko penerapan ancaman yang diketahui dengan satu atau lain cara dengan menghindari (pada prinsipnya penolakan jaringan nirkabel), menerima (menerapkan langkah-langkah keamanan yang diperlukan) atau menggeser (misalnya, ditanggung oleh integrator) risiko ini. Lindungi diri Anda dari, serangan APT, phishing,, spionase dunia maya dan operasi nasional, serta sejumlah besar serangan lainnya sudah jauh lebih sulit dilakukan. Konsekuensi dari 5% ancaman ini akan jauh lebih serius () daripada konsekuensi dari spam atau virus, yang menyimpan perangkat lunak antivirus.
Hampir setiap orang harus menghadapi 5% ancaman. Kami baru-baru ini harus menginstal solusi sumber terbuka yang menggunakan aplikasi dari repositori PEAR (Ekstensi PHP dan Repositori Aplikasi). Upaya untuk menginstal aplikasi ini melalui pear install gagal karena tidak tersedia (sekarang ada rintisan), saya harus menginstalnya dari GitHub. Dan baru-baru ini ternyata PEAR menjadi korbannya.
Apakah kamu masih ingat, epidemi ransomware NePetya melalui modul pembaruan untuk program pelaporan pajak. Ancaman menjadi semakin canggih, dan pertanyaan logis pun muncul – “Bagaimana kita dapat melawan 5% ancaman ini?”
Definisi Perburuan Ancaman
Jadi, Perburuan Ancaman adalah proses pencarian dan deteksi ancaman tingkat lanjut yang proaktif dan berulang yang tidak dapat dideteksi oleh alat keamanan tradisional. Ancaman tingkat lanjut misalnya serangan seperti APT, serangan terhadap kerentanan 0 hari, Living off the Land, dan sebagainya.
Bisa juga kita ulangi bahwa TH adalah proses pengujian hipotesis. Ini adalah proses yang sebagian besar manual dengan elemen otomatisasi, di mana analis, dengan mengandalkan pengetahuan dan keterampilannya, menyaring sejumlah besar informasi untuk mencari tanda-tanda kompromi yang sesuai dengan hipotesis awal tentang adanya ancaman tertentu. Ciri khasnya adalah beragamnya sumber informasi.
Perlu dicatat bahwa Threat Hunting bukanlah sejenis produk perangkat lunak atau perangkat keras. Ini bukan peringatan yang bisa dilihat di beberapa solusi. Ini bukan proses pencarian IOC (Identifiers of Compromise). Dan ini bukanlah aktivitas pasif yang terjadi tanpa partisipasi analis keamanan informasi. Perburuan Ancaman adalah sebuah proses yang pertama dan terpenting.
Komponen Perburuan Ancaman
Tiga komponen utama Perburuan Ancaman: data, teknologi, manusia.
Data (apa?), termasuk Data Besar. Segala jenis arus lalu lintas, informasi tentang APT sebelumnya, analitik, data aktivitas pengguna, data jaringan, informasi dari karyawan, informasi di darknet dan masih banyak lagi.
Teknologi (bagaimana?) memproses data ini - semua cara yang memungkinkan untuk memproses data ini, termasuk Pembelajaran Mesin.
Orang yang?) – mereka yang memiliki pengalaman luas dalam menganalisis berbagai serangan, mengembangkan intuisi dan kemampuan mendeteksi serangan. Biasanya mereka adalah analis keamanan informasi yang harus memiliki kemampuan untuk menghasilkan hipotesis dan menemukan konfirmasinya. Mereka adalah penghubung utama dalam proses tersebut.
Model PARIS
Adam Bateman Model PARIS untuk proses TH yang ideal. Namanya mengacu pada landmark terkenal di Prancis. Model ini dapat dilihat dari dua arah - dari atas dan dari bawah.
Saat kami menelusuri model dari bawah ke atas, kami akan menemukan banyak bukti aktivitas jahat. Setiap bukti memiliki ukuran yang disebut keyakinan - suatu karakteristik yang mencerminkan bobot bukti tersebut. Ada “besi”, bukti langsung dari aktivitas jahat, yang dengannya kita dapat segera mencapai puncak piramida dan membuat peringatan aktual tentang infeksi yang diketahui secara pasti. Dan terdapat bukti tidak langsung, yang keseluruhannya juga dapat membawa kita ke puncak piramida. Seperti biasa, terdapat lebih banyak bukti tidak langsung daripada bukti langsung, yang berarti bukti tersebut perlu disortir dan dianalisis, penelitian tambahan harus dilakukan, dan disarankan untuk mengotomatiskannya.
Model PARIS.
Bagian atas model (1 dan 2) didasarkan pada teknologi otomasi dan berbagai analitik, dan bagian bawah (3 dan 4) didasarkan pada orang-orang dengan kualifikasi tertentu yang mengelola proses. Anda dapat mempertimbangkan model bergerak dari atas ke bawah, di mana di bagian atas warna biru kami memiliki peringatan dari alat keamanan tradisional (antivirus, EDR, firewall, tanda tangan) dengan tingkat keyakinan dan kepercayaan yang tinggi, dan di bawahnya adalah indikator ( IOC, URL, MD5 dan lain-lain), yang memiliki tingkat kepastian lebih rendah dan memerlukan studi tambahan. Dan level terendah dan paling tebal (4) adalah pembuatan hipotesis, penciptaan skenario baru untuk pengoperasian alat perlindungan tradisional. Tingkat ini tidak terbatas hanya pada sumber hipotesis tertentu. Semakin rendah levelnya, semakin banyak persyaratan yang dikenakan pada kualifikasi analis.
Sangat penting bagi analis untuk tidak sekadar menguji serangkaian hipotesis terbatas yang telah ditentukan sebelumnya, namun terus berupaya menghasilkan hipotesis baru dan pilihan untuk mengujinya.
Model Kematangan Penggunaan TH
Di dunia yang ideal, TH adalah proses yang berkelanjutan. Namun, karena tidak ada dunia yang ideal, mari kita analisa dan metode dalam hal orang, proses dan teknologi yang digunakan. Mari kita perhatikan model TH bola ideal. Ada 5 level penggunaan teknologi ini. Mari kita lihat menggunakan contoh evolusi satu tim analis.
Tingkat kematangan
Orang-orang
Процессы
Teknologi
Tingkat 0
Analis SOC
24/7
Alat musik tradisional:
Tradisional
Kumpulan peringatan
Pemantauan pasif
IDS, AV, Kotak Pasir,
Tanpa TH
Bekerja dengan peringatan
Alat analisis tanda tangan, data Threat Intelligence.
Tingkat 1
Analis SOC
TH satu kali
EDR
Eksperimental
Pengetahuan dasar forensik
Pencarian IOC
Cakupan sebagian data dari perangkat jaringan
Eksperimen dengan TH
Pengetahuan yang baik tentang jaringan dan aplikasi
Penerapan sebagian
Tingkat 2
Pekerjaan sementara
lari cepat
EDR
Berkala
Pengetahuan rata-rata tentang forensik
Minggu ke bulan
Aplikasi lengkap
TH sementara
Pengetahuan yang sangat baik tentang jaringan dan aplikasi
Reguler TH
Otomatisasi penuh penggunaan data EDR
Penggunaan sebagian kemampuan EDR tingkat lanjut
Tingkat 3
Perintah TH khusus
24/7
Kemampuan parsial untuk menguji hipotesis TH
Pencegahan
Pengetahuan luar biasa tentang forensik dan malware
TH Pencegahan
Penggunaan penuh kemampuan EDR tingkat lanjut
Kasus khusus TH
Pengetahuan luar biasa tentang sisi penyerang
Kasus khusus TH
Cakupan penuh data dari perangkat jaringan
Konfigurasi sesuai kebutuhan Anda
Tingkat 4
Perintah TH khusus
24/7
Kemampuan penuh untuk menguji hipotesis TH
Terkemuka
Pengetahuan luar biasa tentang forensik dan malware
TH Pencegahan
Tingkat 3, ditambah:
Menggunakan TH
Pengetahuan luar biasa tentang sisi penyerang
Pengujian, otomatisasi dan verifikasi hipotesis TH
integrasi sumber data yang erat;
Kemampuan penelitian
pengembangan sesuai kebutuhan dan penggunaan API yang tidak standar.
Tingkat kematangan TH berdasarkan manusia, proses dan teknologi
Level 0: tradisional, tanpa menggunakan TH. Analis reguler bekerja dengan serangkaian peringatan standar dalam mode pemantauan pasif menggunakan alat dan teknologi standar: IDS, AV, sandbox, alat analisis tanda tangan.
Level 1: eksperimental, menggunakan TH. Analis yang sama dengan pengetahuan dasar forensik dan pengetahuan yang baik tentang jaringan dan aplikasi dapat melakukan Perburuan Ancaman satu kali dengan mencari indikator kompromi. EDR ditambahkan ke alat dengan cakupan sebagian data dari perangkat jaringan. Alat-alat tersebut hanya digunakan sebagian.
Level 2: berkala, TH sementara. Analis yang sama yang telah meningkatkan pengetahuan mereka di bidang forensik, jaringan, dan bagian aplikasi diharuskan untuk secara teratur terlibat dalam Perburuan Ancaman (sprint), katakanlah, seminggu dalam sebulan. Alat tersebut menambahkan eksplorasi data secara penuh dari perangkat jaringan, otomatisasi analisis data dari EDR, dan penggunaan sebagian kemampuan EDR tingkat lanjut.
Level 3: pencegahan, kasus TH yang sering terjadi. Analis kami mengatur diri mereka menjadi tim yang berdedikasi dan mulai memiliki pengetahuan yang sangat baik tentang forensik dan malware, serta pengetahuan tentang metode dan taktik pihak penyerang. Prosesnya sudah dilakukan 24/7. Tim ini dapat menguji sebagian hipotesis TH sambil sepenuhnya memanfaatkan kemampuan canggih EDR dengan cakupan data penuh dari perangkat jaringan. Analis juga dapat mengonfigurasi alat agar sesuai dengan kebutuhan mereka.
Level 4: kelas atas, gunakan TH. Tim yang sama memperoleh kemampuan untuk meneliti, kemampuan untuk menghasilkan dan mengotomatiskan proses pengujian hipotesis TH. Kini alat tersebut telah dilengkapi dengan integrasi sumber data yang erat, pengembangan perangkat lunak untuk memenuhi kebutuhan, dan penggunaan API non-standar.
Teknik Berburu Ancaman
Teknik Dasar Berburu Ancaman
К TH berdasarkan kematangan teknologi yang digunakan adalah: pencarian dasar, analisis statistik, teknik visualisasi, agregasi sederhana, pembelajaran mesin, dan metode Bayesian.
Metode paling sederhana, pencarian dasar, digunakan untuk mempersempit area penelitian menggunakan kueri tertentu. Analisis statistik digunakan, misalnya, untuk membangun aktivitas pengguna atau jaringan pada umumnya dalam bentuk model statistik. Teknik visualisasi digunakan untuk menampilkan secara visual dan menyederhanakan analisis data dalam bentuk grafik dan bagan, sehingga lebih mudah untuk membedakan pola dalam sampel. Teknik agregasi sederhana berdasarkan bidang kunci digunakan untuk mengoptimalkan pencarian dan analisis. Semakin matang proses TH suatu organisasi, semakin relevan penggunaan algoritma pembelajaran mesin. Mereka juga banyak digunakan dalam memfilter spam, mendeteksi lalu lintas berbahaya, dan mendeteksi aktivitas penipuan. Jenis algoritme pembelajaran mesin yang lebih canggih adalah metode Bayesian, yang memungkinkan klasifikasi, pengurangan ukuran sampel, dan pemodelan topik.
Model Berlian dan Strategi TH
Sergio Caltagiron, Andrew Pendegast dan Christopher Betz dalam karya mereka "» menunjukkan komponen kunci utama dari setiap aktivitas jahat dan hubungan dasar di antara keduanya.
Model berlian untuk aktivitas jahat
Menurut model ini, terdapat 4 strategi Perburuan Ancaman, yang didasarkan pada komponen utama yang sesuai.
1. Strategi berorientasi pada korban. Kami berasumsi bahwa korban memiliki lawan dan mereka akan menyampaikan “peluang” melalui email. Kami mencari data musuh melalui pos. Cari tautan, lampiran, dll. Konfirmasi hipotesis ini kita cari untuk jangka waktu tertentu (sebulan, dua minggu), jika kita tidak menemukannya, maka hipotesis tersebut tidak berhasil.
2. Strategi berorientasi infrastruktur. Ada beberapa metode untuk menggunakan strategi ini. Tergantung pada akses dan visibilitas, beberapa lebih mudah dibandingkan yang lain. Misalnya, kami memantau server nama domain yang diketahui menghosting domain berbahaya. Atau kita melalui proses pemantauan semua registrasi nama domain baru untuk mengetahui pola yang diketahui digunakan oleh musuh.
3. Strategi yang didorong oleh kemampuan. Selain strategi yang berfokus pada korban yang digunakan oleh sebagian besar pembela jaringan, terdapat juga strategi yang berfokus pada peluang. Ini adalah yang terpopuler kedua dan berfokus pada pendeteksian kemampuan dari musuh, yaitu “malware” dan kemampuan musuh untuk menggunakan alat yang sah seperti psexec, PowerShell, certutil dan lain-lain.
4. Strategi berorientasi musuh. Pendekatan yang berpusat pada musuh berfokus pada musuh itu sendiri. Hal ini mencakup penggunaan informasi terbuka dari sumber yang tersedia untuk umum (OSINT), pengumpulan data tentang musuh, teknik dan metodenya (TTP), analisis insiden sebelumnya, data Threat Intelligence, dll.
Sumber informasi dan hipotesis dalam TH
Beberapa sumber informasi untuk Threat Hunting
Ada banyak sumber informasi. Seorang analis yang ideal harus mampu mengekstraksi informasi dari segala sesuatu yang ada di sekitarnya. Sumber umum di hampir semua infrastruktur adalah data dari alat keamanan: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Selain itu, sumber informasi yang umum adalah berbagai indikator kompromi, layanan Intelijen Ancaman, data CERT dan OSINT. Selain itu, Anda dapat menggunakan informasi dari darknet (misalnya, tiba-tiba ada perintah untuk meretas kotak surat pimpinan suatu organisasi, atau kandidat untuk posisi insinyur jaringan terungkap karena aktivitasnya), informasi yang diterima dari SDM (ulasan calon dari tempat kerja sebelumnya), informasi dari dinas keamanan ( misalnya hasil verifikasi rekanan).
Namun sebelum menggunakan semua sumber yang tersedia, diperlukan setidaknya satu hipotesis.
Untuk menguji hipotesis, hipotesis harus diajukan terlebih dahulu. Dan untuk mengemukakan banyak hipotesis yang berkualitas, perlu diterapkan pendekatan yang sistematis. Proses menghasilkan hipotesis dijelaskan lebih rinci dalam, akan sangat mudah untuk menggunakan skema ini sebagai dasar proses mengajukan hipotesis.
Sumber utama hipotesis adalah Matriks ATT&CK (Taktik, Teknik, dan Pengetahuan Umum Permusuhan). Pada dasarnya, ini adalah basis pengetahuan dan model untuk menilai perilaku penyerang yang melakukan aktivitasnya pada langkah-langkah terakhir serangan, biasanya digambarkan menggunakan konsep Kill Chain. Artinya, pada tahapan setelah penyerang menembus jaringan internal suatu perusahaan atau ke perangkat seluler. Basis pengetahuan awalnya mencakup deskripsi 121 taktik dan teknik yang digunakan dalam serangan, yang masing-masing dijelaskan secara rinci dalam format Wiki. Berbagai analisis Threat Intelligence sangat cocok sebagai sumber untuk menghasilkan hipotesis. Catatan khusus adalah hasil analisis infrastruktur dan uji penetrasi - ini adalah data paling berharga yang dapat memberi kita hipotesis yang kuat karena fakta bahwa data tersebut didasarkan pada infrastruktur tertentu dengan kekurangan spesifiknya.
Proses pengujian hipotesis
Sergei Soldatov membawa dengan penjelasan detail prosesnya menggambarkan proses pengujian hipotesis TH dalam satu sistem. Saya akan menunjukkan tahapan utama dengan penjelasan singkat.
Tahap 1: Peternakan TI
Pada tahap ini perlu dilakukan highlight benda-benda (dengan menganalisisnya bersama-sama dengan semua data ancaman) dan memberinya label berdasarkan karakteristiknya. Ini adalah file, URL, MD5, proses, utilitas, peristiwa. Saat meneruskannya melalui sistem Intelijen Ancaman, tag harus dilampirkan. Artinya, situs ini diketahui di CNC pada tahun tertentu, MD5 ini dikaitkan dengan malware ini dan itu, MD5 ini diunduh dari situs yang mendistribusikan malware.
Tahap 2: Kasus
Pada tahap kedua, kita melihat interaksi antara objek-objek tersebut dan mengidentifikasi hubungan antara semua objek tersebut. Kami menandai sistem yang melakukan sesuatu yang buruk.
Tahap 3: Analis
Pada tahap ketiga, kasus tersebut dilimpahkan ke analis berpengalaman yang memiliki pengalaman luas dalam analisis, dan dia membuat keputusan. Dia menguraikan hingga ke byte apa, di mana, bagaimana, mengapa dan mengapa kode ini berfungsi. Tubuh ini adalah malware, komputer ini telah terinfeksi. Mengungkapkan koneksi antar objek, memeriksa hasil penelusuran melalui kotak pasir.
Hasil kerja analis disebarkan lebih lanjut. Forensik Digital memeriksa gambar, Analisis Malware memeriksa “mayat” yang ditemukan, dan tim Respons Insiden dapat mengunjungi situs tersebut dan menyelidiki sesuatu yang sudah ada di sana. Hasil dari pekerjaan ini adalah hipotesis yang dikonfirmasi, serangan yang teridentifikasi, dan cara untuk melawannya.
Hasil
Perburuan Ancaman adalah teknologi yang cukup muda yang dapat secara efektif melawan ancaman yang disesuaikan, baru dan non-standar, yang memiliki prospek besar mengingat semakin banyaknya ancaman tersebut dan semakin kompleksnya infrastruktur perusahaan. Hal ini memerlukan tiga komponen - data, alat, dan analis. Manfaat Perburuan Ancaman tidak terbatas pada mencegah penerapan ancaman. Jangan lupa bahwa selama proses pencarian, kami menyelami infrastruktur kami dan titik lemahnya melalui sudut pandang seorang analis keamanan dan dapat lebih memperkuat titik-titik tersebut.
Langkah pertama yang menurut kami perlu diambil untuk memulai proses TH di organisasi Anda.
- Berhati-hatilah dalam melindungi titik akhir dan infrastruktur jaringan. Jaga visibilitas (NetFlow) dan kontrol (firewall, IDS, IPS, DLP) semua proses di jaringan Anda. Ketahui jaringan Anda dari router tepi hingga host terakhir.
- Mengeksplorasi.
- Lakukan pengujian rutin terhadap setidaknya sumber daya eksternal utama, analisis hasilnya, identifikasi target utama serangan, dan tutup kerentanannya.
- Menerapkan sistem Intelijen Ancaman sumber terbuka (misalnya, MISP, Yeti) dan menganalisis log yang terkait dengannya.
- Menerapkan platform respons insiden (IRP): R-Vision IRP, The Hive, sandbox untuk menganalisis file mencurigakan (FortiSandbox, Cuckoo).
- Otomatiskan proses rutin. Analisis log, pencatatan insiden, menginformasikan staf adalah bidang otomatisasi yang sangat besar.
- Belajar berinteraksi secara efektif dengan teknisi, pengembang, dan dukungan teknis untuk berkolaborasi dalam insiden.
- Dokumentasikan seluruh proses, poin-poin penting, hasil yang dicapai untuk kemudian dikembalikan lagi atau dibagikan data ini dengan rekan kerja;
- Bersikaplah sosial: Waspadai apa yang terjadi dengan karyawan Anda, siapa yang Anda pekerjakan, dan siapa yang Anda berikan akses ke sumber informasi organisasi.
- Ikuti terus tren di bidang ancaman baru dan metode perlindungan, tingkatkan tingkat literasi teknis Anda (termasuk dalam pengoperasian layanan dan subsistem TI), hadiri konferensi dan komunikasi dengan rekan kerja.
Siap mendiskusikan organisasi proses TH di komentar.
Atau ikut bekerja bersama kami!
Sumber dan bahan untuk dipelajari
Sumber: www.habr.com