95% upplýsingaöryggisógna eru þekktar og þú getur verndað þig gegn þeim með hefðbundnum aðferðum eins og vírusvörnum, eldveggjum, IDS, WAF. Þau 5% sem eftir eru af hótunum eru óþekkt og þau hættulegustu. Þau eru 70% af áhættunni fyrir fyrirtæki vegna þess að mjög erfitt er að greina þau og því síður vernd gegn þeim. Dæmi eru WannaCry lausnarhugbúnaðarfaraldurinn, NotPetya/ExPetr, dulritunarmenn, „netvopnið“ Stuxnet (sem lenti á kjarnorkuverum Írans) og margar (einhver annar sem man eftir Kido/Conficker?) öðrum árásum sem ekki er mjög vel varið gegn með klassískum öryggisráðstöfunum. Við viljum tala um hvernig eigi að vinna gegn þessum 5% ógnanna með því að nota Threat Hunting tækni.
Stöðug þróun netárása krefst stöðugrar uppgötvunar og mótvægisaðgerða, sem á endanum leiðir okkur til að hugsa um endalaust vígbúnaðarkapphlaup milli árásarmanna og varnarmanna. Klassísk öryggiskerfi geta ekki lengur veitt ásættanlegt öryggisstig, þar sem áhættustigið hefur ekki áhrif á lykilvísa fyrirtækisins (efnahagslega, pólitíska, orðspor) án þess að breyta þeim fyrir tiltekna innviði, en almennt ná þau yfir suma af áhætturnar. Nú þegar í ferli við innleiðingu og uppsetningu, finna nútíma öryggiskerfi sig í því hlutverki að ná sér á strik og verða að bregðast við áskorunum nýrra tíma.
Threat Hunting tækni gæti verið eitt af svörunum við áskorunum samtímans fyrir sérfræðing í upplýsingaöryggi. Hugtakið Threat Hunting (hér eftir nefnt TH) kom fram fyrir nokkrum árum. Tæknin sjálf er nokkuð áhugaverð, en hefur ekki ennþá neina almennt viðurkennda staðla og reglur. Málið er einnig flókið vegna ólíkra upplýsingagjafa og fárra upplýsingagjafa á rússnesku um þetta efni. Í þessu sambandi ákváðum við hjá LANIT-Integration að skrifa umsögn um þessa tækni.
Mikilvægi
TH tækni byggir á innviðaeftirlitsferlum.. Alert (svipað og MSSP þjónustur) er hefðbundin aðferð til að leita að áður þróuðum undirskriftum og merki um árásir og bregðast við þeim. Þessi atburðarás er framkvæmd með góðum árangri með hefðbundnum undirskriftartengdum verndarverkfærum. Veiði (MDR tegund þjónusta) er vöktunaraðferð sem svarar spurningunni „Hvaðan koma undirskriftir og reglur? Það er ferlið við að búa til fylgnireglur með því að greina falda eða áður óþekkta vísbendingar og merki um árás. Threat Hunting vísar til þessarar tegundar eftirlits.
Aðeins með því að sameina báðar tegundir vöktunar fáum við vernd sem er nærri því ákjósanleg, en það er alltaf ákveðin afgangsáhætta.
Vörn með tvenns konar eftirliti
Og hér er ástæðan fyrir því að TH (og veiðarnar í heild sinni!) verða sífellt viðeigandi:
Ógnir, úrræði, áhættur.
. Þetta felur í sér tegundir eins og ruslpóst, DDoS, vírusa, rootkits og annan klassískan spilliforrit. Þú getur verndað þig gegn þessum ógnum með sömu klassísku öryggisráðstöfunum.
Við framkvæmd hvers kyns verkefnis, og 20% vinnunnar sem eftir eru tekur 80% af tímanum. Sömuleiðis, á öllu ógnarlandslaginu, munu 5% nýrra ógna standa fyrir 70% áhættunnar fyrir fyrirtæki. Í fyrirtæki þar sem upplýsingaöryggisstjórnunarferli eru skipulögð getum við stjórnað 30% af áhættunni af innleiðingu þekktra ógna á einn eða annan hátt með því að forðast (hafna þráðlausum netkerfum í grundvallaratriðum), samþykkja (innleiða nauðsynlegar öryggisráðstafanir) eða breyta (td á herðar samþættingaraðila) þessa áhættu. Verndaðu þig frá, APT árásir, vefveiðar,, netnjósnir og innlendar aðgerðir, auk fjölda annarra árása, eru nú þegar mun erfiðari. Afleiðingar þessara 5% hótana verða mun alvarlegri () en afleiðingar ruslpósts eða vírusa, sem vírusvarnarhugbúnaður bjargar frá.
Næstum allir þurfa að takast á við 5% af hótunum. Við þurftum nýlega að setja upp opinn uppspretta lausn sem notar forrit frá PEAR (PHP Extension and Application Repository) geymslunni. Tilraun til að setja þetta forrit upp með peruuppsetningu mistókst vegna þess var ekki tiltækur (nú er stubbur á honum), ég varð að setja hann upp frá GitHub. Og nýlega kom í ljós að PEAR varð fórnarlamb.
Þú getur enn munað, faraldur NePetya lausnarhugbúnaðarins í gegnum uppfærslueiningu fyrir skattskýrsluforrit. Hótanir verða sífellt flóknari og rökrétt spurning vaknar - "Hvernig getum við brugðist við þessum 5% ógnanna?"
Skilgreining á Threat Hunting
Svo, Threat Hunting er ferli fyrirbyggjandi og endurtekinnar leit og uppgötvun háþróaðra ógna sem ekki er hægt að greina með hefðbundnum öryggisverkfærum. Háþróaðar ógnir eru til dæmis árásir eins og APT, árásir á 0-daga veikleika, Living off the Land, og svo framvegis.
Við getum líka endurorðað að TH er ferlið við að prófa tilgátur. Þetta er að mestu handvirkt ferli með sjálfvirkniþáttum, þar sem sérfræðingurinn, sem treystir á þekkingu sína og færni, sigtar í gegnum mikið magn upplýsinga í leit að merki um málamiðlun sem samsvarar upphaflega ákveðnu tilgátunni um tilvist ákveðinnar ógnar. Sérkenni þess er fjölbreytni upplýsingagjafa.
Það skal tekið fram að Threat Hunting er ekki einhvers konar hugbúnaðar- eða vélbúnaðarvara. Þetta eru ekki viðvaranir sem hægt er að sjá í einhverri lausn. Þetta er ekki IOC (Identifiers of Compromise) leitarferli. Og þetta er ekki einhvers konar óvirk starfsemi sem á sér stað án þátttöku upplýsingaöryggissérfræðinga. Ógnaveiði er fyrst og fremst ferli.
Hlutir í ógnarveiðum
Þrír meginþættir Threat Hunting: gögn, tækni, fólk.
Gögn (hvað?), þar á meðal Big Data. Alls konar umferðarflæði, upplýsingar um fyrri APT, greiningar, gögn um notendavirkni, netgögn, upplýsingar frá starfsmönnum, upplýsingar um darknet og margt fleira.
Tækni (hvernig?) vinnsla þessara gagna - allar mögulegar leiðir til að vinna úr þessum gögnum, þar með talið vélanám.
Fólk sem?) – þeir sem hafa mikla reynslu af greiningu á ýmsum árásum, þróað innsæi og getu til að greina árás. Venjulega eru þetta upplýsingaöryggissérfræðingar sem verða að hafa getu til að búa til tilgátur og finna staðfestingu á þeim. Þeir eru aðal hlekkurinn í ferlinu.
Fyrirmynd PARIS
Adam Bateman PARIS líkan fyrir hið fullkomna TH ferli. Nafnið vísar til frægu kennileita í Frakklandi. Þetta líkan er hægt að skoða í tvær áttir - að ofan og að neðan.
Þegar við vinnum okkur í gegnum líkanið frá grunni og upp, munum við hitta margar vísbendingar um illgjarn virkni. Hver sönnunargagn hefur mælikvarða sem kallast traust - eiginleiki sem endurspeglar vægi þessara sönnunargagna. Það er „járn“, beinar vísbendingar um illgjarn virkni, samkvæmt því að við getum strax náð efst í pýramídann og búið til raunverulega viðvörun um nákvæmlega þekkta sýkingu. Og það eru óbein sönnunargögn, summa þeirra getur einnig leitt okkur á topp pýramídans. Eins og alltaf eru mun fleiri óbein sönnunargögn en bein sönnunargögn, sem þýðir að það þarf að flokka þær og greina, gera frekari rannsóknir og ráðlegt er að gera þær sjálfvirkar.
Fyrirmynd PARIS.
Efri hluti líkansins (1 og 2) byggir á sjálfvirknitækni og ýmiskonar greiningu og neðri hlutinn (3 og 4) byggir á fólki með ákveðna menntun sem stjórnar ferlinu. Þú getur íhugað að líkanið færist frá toppi til botns, þar sem í efri hluta bláa litarins höfum við viðvaranir frá hefðbundnum öryggisverkfærum (vírusvörn, EDR, eldvegg, undirskriftir) með miklu öryggi og trausti, og hér að neðan eru vísbendingar ( IOC, URL, MD5 og fleiri), sem hafa minni vissu og krefjast viðbótarnáms. Og lægsta og þykkasta stigið (4) er myndun tilgáta, sköpun nýrra atburðarása fyrir rekstur hefðbundinna verndaraðferða. Þetta stig takmarkast ekki aðeins við tilgreindar heimildir tilgáta. Því lægra sem þrepið er, því meiri kröfur eru gerðar til hæfni sérfræðingsins.
Það er mjög mikilvægt að sérfræðingar prófi ekki bara endanlegt sett af fyrirfram ákveðnum tilgátum, heldur vinni stöðugt að því að búa til nýjar tilgátur og valkosti til að prófa þær.
TH Notkunarþroskalíkan
Í hugsjónum heimi er TH viðvarandi ferli. En þar sem það er enginn hugsjón heimur, skulum við greina og aðferðir hvað varðar fólk, ferla og tækni sem notuð er. Við skulum skoða líkan af hugsjón kúlulaga TH. Það eru 5 stig að nota þessa tækni. Við skulum skoða þau með því að nota dæmi um þróun eins hóps sérfræðinga.
Þroskastig
Fólk
Ferlarnir
Tækni
0 stig
SOC sérfræðingar
24/7
Hefðbundin hljóðfæri:
Hefðbundin
Sett af viðvörunum
Óvirkt eftirlit
IDS, AV, sandkassa,
Án TH
Vinna með viðvaranir
Undirskriftargreiningartæki, Threat Intelligence gögn.
1 stig
SOC sérfræðingar
Einu sinni TH
BDU
Tilraunakennt
Grunnþekking á réttarfræði
IOC leit
Að hluta til umfang gagna frá nettækjum
Tilraunir með TH
Góð þekking á netkerfum og forritum
Umsókn að hluta
2 stig
Tímabundin störf
Sprettir
BDU
Reglubundið
Meðalþekking á réttarfræði
Vika til mánuðar
Full umsókn
Tímabundið TH
Frábær þekking á netkerfum og forritum
Venjulegur TH
Full sjálfvirkni EDR gagnanotkunar
Notkun háþróaðrar EDR getu að hluta
3 stig
Sérstök TH stjórn
24/7
Hæfni að hluta til að prófa tilgátur TH
Fyrirbyggjandi
Frábær þekking á réttarfræði og spilliforritum
Fyrirbyggjandi TH
Full notkun háþróaðrar EDR getu
Sértilvik TH
Frábær þekking á sóknarhliðinni
Sértilvik TH
Full umfang gagna frá nettækjum
Stillingar til að henta þínum þörfum
4 stig
Sérstök TH stjórn
24/7
Full hæfni til að prófa TH tilgátur
Leiðandi
Frábær þekking á réttarfræði og spilliforritum
Fyrirbyggjandi TH
Stig 3, plús:
Með því að nota TH
Frábær þekking á sóknarhliðinni
Prófun, sjálfvirkni og sannprófun á tilgátum TH
þétt samþætting gagnagjafa;
Rannsóknarhæfni
þróun í samræmi við þarfir og óstöðluð notkun API.
Þroskastig eftir fólki, ferlum og tækni
Level 0: hefðbundin, án þess að nota TH. Reglulegir sérfræðingar vinna með staðlað sett af viðvörunum í óvirkri vöktunarham með því að nota stöðluð verkfæri og tækni: IDS, AV, sandkassa, undirskriftargreiningartæki.
Level 1: tilrauna, með því að nota TH. Sömu sérfræðingar með grunnþekkingu á réttarfræði og góða þekkingu á netkerfum og forritum geta stundað eitt sinn Threat Hunting með því að leita að vísbendingum um málamiðlun. EDR er bætt við verkfærin með að hluta til umfang gagna frá nettækjum. Verkfærin eru notuð að hluta.
Level 2: reglubundið, tímabundið TH. Sömu sérfræðingar og hafa þegar uppfært þekkingu sína í réttarfræði, netkerfi og umsóknarhlutanum þurfa að stunda reglulega ógnaveiðar (sprint), til dæmis viku í mánuði. Verkfærin bæta við fullri könnun á gögnum frá nettækjum, sjálfvirkni gagnagreiningar frá EDR og notkun háþróaðrar EDR getu að hluta.
Level 3: fyrirbyggjandi, tíð tilfelli af TH. Sérfræðingar okkar skipulögðu sig í sérstakt teymi og fóru að hafa framúrskarandi þekkingu á réttarfræði og spilliforritum, sem og þekkingu á aðferðum og aðferðum sóknarhliðarinnar. Ferlið er nú þegar framkvæmt 24/7. Teymið er fær um að prófa TH tilgátur að hluta á meðan að nýta fullkomlega háþróaða getu EDR með fullri umfjöllun um gögn frá nettækjum. Sérfræðingar geta einnig stillt verkfæri til að henta þörfum þeirra.
Level 4: hágæða, notaðu TH. Sama teymi öðlaðist getu til að rannsaka, getu til að búa til og gera sjálfvirkan ferlið við að prófa TH tilgátur. Nú hefur verkfærunum verið bætt við náinni samþættingu gagnagjafa, hugbúnaðarþróun til að mæta þörfum og óhefðbundinni notkun API.
Ógnaveiðitækni
Grunntækni í ógnarveiði
К TH, í röð eftir þroska tækninnar sem notuð er, eru: grunnleit, tölfræðileg greining, sjónræn tækni, einföld samansöfnun, vélanám og Bayesískar aðferðir.
Einfaldasta aðferðin, grunnleit, er notuð til að þrengja rannsóknarsvæðið með því að nota sérstakar fyrirspurnir. Tölfræðileg greining er til dæmis notuð til að búa til dæmigerða notenda- eða netvirkni í formi tölfræðilegs líkans. Sjónræn tækni er notuð til að sýna og einfalda greiningu gagna í formi línurita og grafa, sem gerir það mun auðveldara að greina mynstur í sýninu. Tæknin við einfalda samansafnun eftir lykilsviðum er notuð til að hámarka leit og greiningu. Því þroskaðara sem TH ferli stofnunar nær, því mikilvægari verður notkun vélrænna reiknirita. Þeir eru einnig mikið notaðir til að sía ruslpóst, greina skaðlega umferð og greina sviksamlega starfsemi. Fullkomnari tegund vélanáms reiknirit er Bayesian aðferðir, sem gera ráð fyrir flokkun, úrtaksstærðarminnkun og efnislíkön.
Diamond Model og TH aðferðir
Sergio Caltagiron, Andrew Pendegast og Christopher Betz í verkum sínum "» sýndu helstu lykilþætti hvers kyns illgjarnrar starfsemi og grunntengslin þar á milli.
Demantur líkan fyrir illgjarn virkni
Samkvæmt þessu líkani eru til 4 ógnarveiðiaðferðir sem byggja á samsvarandi lykilþáttum.
1. Fórnarlambsmiðuð stefna. Við gerum ráð fyrir að fórnarlambið hafi andstæðinga og þeir munu afhenda „tækifæri“ með tölvupósti. Við erum að leita að óvinagögnum í pósti. Leitaðu að tenglum, viðhengjum osfrv. Við erum að leita að staðfestingu á þessari tilgátu í ákveðinn tíma (mánuður, tvær vikur); ef við finnum hana ekki þá virkaði tilgátan ekki.
2. Innviðamiðuð stefna. Það eru nokkrar aðferðir til að nota þessa stefnu. Sumir eru auðveldari en aðrir, allt eftir aðgengi og sýnileika. Til dæmis fylgjumst við með lénaþjónum sem vitað er að hýsa skaðleg lén. Eða við förum í gegnum ferlið við að fylgjast með öllum nýjum lénsskráningum fyrir þekkt mynstur sem andstæðingur notar.
3. Getudrifin stefna. Til viðbótar við fórnarlambsmiðaða stefnu sem flestir netvarnarmenn nota, er til tækifæramiðuð stefna. Það er næstvinsælast og leggur áherslu á að greina getu frá andstæðingnum, nefnilega „malware“ og getu andstæðingsins til að nota lögmæt verkfæri eins og psexec, powershell, certutil og fleiri.
4. Óvinamiðuð stefna. Hin andstæðingsmiðlæga nálgun beinist að andstæðingnum sjálfum. Þetta felur í sér notkun opinna upplýsinga frá opinberum aðgengilegum aðilum (OSINT), söfnun gagna um óvininn, tækni hans og aðferðir (TTP), greiningu á fyrri atvikum, gögnum um ógnunarþjónustu o.s.frv.
Upplýsingaheimildir og tilgátur í TH
Sumar heimildir fyrir Threat Hunting
Það geta verið margar uppsprettur upplýsinga. Tilvalinn sérfræðingur ætti að geta dregið upplýsingar úr öllu sem er í kring. Dæmigerðar heimildir í nánast hvaða innviði sem er eru gögn frá öryggisverkfærum: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Dæmigerður upplýsingaveitur verða einnig ýmsar vísbendingar um málamiðlun, ógnarleyniþjónustur, CERT og OSINT gögn. Að auki geturðu notað upplýsingar af darknetinu (til dæmis er skyndilega skipun um að hakka inn pósthólf yfirmanns stofnunar, eða umsækjandi um stöðu netverkfræðings hefur verið afhjúpaður fyrir starfsemi sína), upplýsingar sem berast frá HR (umsagnir um umsækjanda frá fyrri vinnustað), upplýsingar frá öryggisþjónustunni (td niðurstöður sannprófunar á mótaðila).
En áður en allar tiltækar heimildir eru notaðar er nauðsynlegt að hafa að minnsta kosti eina tilgátu.
Til þess að prófa tilgátur þarf fyrst að setja þær fram. Og til að setja fram margar hágæða tilgátur er nauðsynlegt að beita kerfisbundinni nálgun. Ferlið við að búa til tilgátur er lýst nánar í, það er mjög þægilegt að taka þetta kerfi sem grunn að því ferli að setja fram tilgátur.
Helsta uppspretta tilgáta verður ATT&CK fylki (Andstæð aðferð, tækni og almenn þekking). Það er í raun þekkingargrunnur og líkan til að meta hegðun árásarmanna sem framkvæma athafnir sínar í síðustu skrefum árásar, venjulega lýst með hugtakinu Kill Chain. Það er, á stigum eftir að árásarmaður hefur komist inn í innra net fyrirtækis eða inn í farsíma. Þekkingargrunnurinn innihélt upphaflega lýsingar á 121 aðferðum og aðferðum sem notuð voru við árás, hverri þeirra er lýst í smáatriðum á Wiki sniði. Ýmsar ógnargreindargreiningar henta vel sem heimild til að búa til tilgátur. Sérstaklega athyglisvert eru niðurstöður innviðagreiningar og skarpskyggniprófa - þetta eru verðmætustu gögnin sem geta gefið okkur járnhúðaðar tilgátur vegna þess að þær eru byggðar á ákveðnum innviðum með ákveðnum göllum.
Tilgátuprófunarferli
Sergei Soldatov kom með með nákvæmri lýsingu á ferlinu sýnir það ferlið við að prófa TH tilgátur í einu kerfi. Ég mun gefa til kynna helstu stig með stuttri lýsingu.
Stig 1: TI Farm
Á þessu stigi er nauðsynlegt að draga fram hlutum (með því að greina þau ásamt öllum ógnunargögnum) og úthluta þeim merki fyrir eiginleika þeirra. Þetta eru skrá, URL, MD5, ferli, gagnsemi, atburður. Þegar þeir fara í gegnum Threat Intelligence kerfi er nauðsynlegt að festa merki. Það er að segja að þessi síða var tekin eftir í CNC á svona og svona ári, þessi MD5 tengdist svona og svo malware, þessum MD5 var hlaðið niður af síðu sem dreifði malware.
Stig 2: Mál
Á öðru stigi skoðum við samspil þessara hluta og greinum tengsl allra þessara hluta. Við fáum merkt kerfi sem gera eitthvað slæmt.
Stig 3: Sérfræðingur
Á þriðja stigi er málið flutt til reyndra greiningaraðila sem hefur víðtæka reynslu af greiningu og hann kveður upp úrskurð. Hann flokkar niður í bæti hvað, hvar, hvernig, hvers vegna og hvers vegna þessi kóði gerir. Þetta líkami var spilliforrit, þessi tölva var sýkt. Sýnir tengingar milli hluta, athugar niðurstöður þess að keyra í gegnum sandkassann.
Niðurstöður vinnu sérfræðingsins eru sendar áfram. Digital Forensics skoðar myndir, Malware Analysis skoðar „líkin“ sem finnast og atviksviðbragðsteymið getur farið á síðuna og rannsakað eitthvað sem þegar er til staðar. Niðurstaða vinnunnar verður staðfest tilgáta, auðkennd árás og leiðir til að vinna gegn henni.
Niðurstöður
Threat Hunting er nokkuð ung tækni sem getur á áhrifaríkan hátt unnið gegn sérsniðnum, nýjum og óstöðluðum ógnum, sem hefur mikla möguleika í ljósi vaxandi fjölda slíkra ógna og vaxandi flóknar innviða fyrirtækja. Það krefst þriggja þátta - gagna, verkfæra og greiningaraðila. Ávinningurinn af ógnarveiðum takmarkast ekki við að koma í veg fyrir framkvæmd ógnanna. Ekki gleyma því að meðan á leitarferlinu stendur kafum við inn í innviði okkar og veiku punkta þeirra með augum öryggissérfræðings og getum styrkt þessa punkta enn frekar.
Fyrstu skrefin sem að okkar mati þarf að taka til að hefja TH ferlið í fyrirtækinu þínu.
- Sjáðu um að vernda endapunkta og netinnviði. Sjáðu um sýnileika (NetFlow) og stjórn (eldvegg, IDS, IPS, DLP) allra ferla á netinu þínu. Þekktu netið þitt frá brúnbeini til síðasta hýsilsins.
- Kannaðu.
- Gerðu reglubundnar tilraunir á að minnsta kosti lykil ytri auðlindum, greindu niðurstöður þeirra, auðkenndu helstu skotmörk fyrir árás og lokaðu veikleikum þeirra.
- Innleiða opinn uppspretta Threat Intelligence kerfi (til dæmis MISP, Yeti) og greina logs í tengslum við það.
- Innleiða atviksviðbragðsvettvang (IRP): R-Vision IRP, The Hive, sandkassi til að greina grunsamlegar skrár (FortiSandbox, Cuckoo).
- Gerðu sjálfvirkan venjubundna ferla. Greining á annálum, skráning atvika, upplýsa starfsfólk er risastórt svið fyrir sjálfvirkni.
- Lærðu að eiga skilvirk samskipti við verkfræðinga, þróunaraðila og tæknilega aðstoð til að vinna saman að atvikum.
- Skráðu allt ferlið, lykilatriði, árangur sem náðst hefur til að snúa aftur til þeirra síðar eða deila þessum gögnum með samstarfsfólki;
- Vertu félagslegur: Vertu meðvitaður um hvað er að gerast með starfsmenn þína, hverja þú ræður og hverjum þú veitir aðgang að upplýsingaauðlindum stofnunarinnar.
- Fylgstu með þróun á sviði nýrra ógna og verndaraðferða, auktu tæknilæsi þitt (þar á meðal í rekstri upplýsingatækniþjónustu og undirkerfa), farðu á ráðstefnur og átt samskipti við samstarfsmenn.
Tilbúinn til að ræða skipulag TH ferlisins í athugasemdum.
Eða komdu að vinna með okkur!
Heimildir og efni til að rannsaka
Heimild: www.habr.com