Il 95% delle minacce alla sicurezza delle informazioni sono note e puoi proteggerti da esse utilizzando mezzi tradizionali come antivirus, firewall, IDS, WAF. Il restante 5% delle minacce sono sconosciute e le più pericolose. Costituiscono il 70% del rischio per un'azienda perché è molto difficile individuarli e ancor meno proteggersi da essi. Esempi sono l’epidemia di ransomware WannaCry, NotPetya/ExPetr, i cryptominer, la “arma informatica” Stuxnet (che ha colpito gli impianti nucleari dell’Iran) e molti altri attacchi (qualcun altro ricorda Kido/Conficker?) da cui non si difende molto bene con le classiche misure di sicurezza. Vogliamo parlare di come contrastare questo 5% delle minacce utilizzando la tecnologia Threat Hunting.
La continua evoluzione degli attacchi informatici richiede rilevamento e contromisure costanti, il che, in ultima analisi, ci porta a pensare a una corsa agli armamenti senza fine tra aggressori e difensori. I classici sistemi di sicurezza non sono più in grado di fornire un livello di sicurezza accettabile, in cui il livello di rischio non influisce sugli indicatori chiave dell'azienda (economici, politici, reputazionali) senza modificarli per una specifica infrastruttura, ma in generale coprono alcuni dei i rischi. Già nel processo di implementazione e configurazione, i moderni sistemi di sicurezza si trovano nel ruolo di recuperare terreno e devono rispondere alle sfide del nuovo tempo.
La tecnologia Threat Hunting può essere una delle risposte alle sfide del nostro tempo per uno specialista della sicurezza informatica. Il termine Threat Hunting (di seguito denominato TH) è apparso diversi anni fa. La tecnologia in sé è piuttosto interessante, ma non dispone ancora di standard e regole generalmente accettati. La questione è complicata anche dall'eterogeneità delle fonti di informazione e dal numero limitato di fonti di informazione in lingua russa su questo argomento. A questo proposito, noi di LANIT-Integration abbiamo deciso di scrivere una recensione di questa tecnologia.
attualità
La tecnologia TH si basa su processi di monitoraggio delle infrastrutture.. L'avviso (simile ai servizi MSSP) è un metodo tradizionale per cercare firme e segnali di attacchi precedentemente sviluppati e rispondere ad essi. Questo scenario viene eseguito con successo dai tradizionali strumenti di protezione basati su firma. L’hunting (servizio di tipo MDR) è un metodo di monitoraggio che risponde alla domanda “Da dove provengono le firme e le regole?” È il processo di creazione di regole di correlazione analizzando indicatori e segni di un attacco nascosti o precedentemente sconosciuti. Threat Hunting si riferisce a questo tipo di monitoraggio.
Solo combinando entrambi i tipi di monitoraggio otteniamo una protezione prossima all’ideale, ma esiste sempre un certo livello di rischio residuo.
Protezione utilizzando due tipi di monitoraggio
Ed ecco perché il TH (e la caccia nella sua interezza!) diventerà sempre più rilevante:
Minacce, rimedi, rischi.
. Questi includono tipi come spam, DDoS, virus, rootkit e altri malware classici. Puoi proteggerti da queste minacce utilizzando le stesse misure di sicurezza classiche.
Durante l'implementazione di qualsiasi progetto, e il restante 20% del lavoro richiede l'80% del tempo. Allo stesso modo, nell’intero panorama delle minacce, il 5% delle nuove minacce rappresenterà il 70% del rischio per un’azienda. In un'azienda in cui sono organizzati i processi di gestione della sicurezza delle informazioni, possiamo gestire il 30% del rischio di implementazione di minacce conosciute in un modo o nell'altro evitando (rifiuto delle reti wireless in linea di principio), accettando (implementando le misure di sicurezza necessarie) o spostando (ad esempio, sulle spalle di un integratore) questo rischio. Proteggiti da, attacchi APT, phishing,, lo spionaggio informatico e le operazioni nazionali, così come un gran numero di altri attacchi, sono già molto più difficili. Le conseguenze di questo 5% delle minacce saranno molto più gravi () rispetto alle conseguenze dello spam o dei virus, dai quali il software antivirus salva.
Quasi tutti devono affrontare il 5% delle minacce. Recentemente abbiamo dovuto installare una soluzione open source che utilizza un'applicazione dal repository PEAR (PHP Extension and Application Repository). Un tentativo di installare questa applicazione tramite Pear Install non è riuscito perché non era disponibile (ora c'è uno stub su di esso), ho dovuto installarlo da GitHub. E proprio di recente si è scoperto che PEAR è diventata una vittima.
Puoi ancora ricordare, un'epidemia del ransomware NePetya attraverso un modulo di aggiornamento per un programma di rendicontazione fiscale. Le minacce stanno diventando sempre più sofisticate e sorge la domanda logica: “Come possiamo contrastare questo 5% delle minacce?”
Definizione di caccia alla minaccia
Pertanto, il Threat Hunting è il processo di ricerca e rilevamento proattivo e iterativo di minacce avanzate che non possono essere rilevate dagli strumenti di sicurezza tradizionali. Le minacce avanzate includono, ad esempio, attacchi come APT, attacchi alle vulnerabilità 0-day, Living off the Land e così via.
Possiamo anche riformulare che TH è il processo di verifica delle ipotesi. Si tratta di un processo prevalentemente manuale con elementi di automazione, in cui l'analista, facendo affidamento sulle sue conoscenze e competenze, vaglia grandi volumi di informazioni alla ricerca di segni di compromesso che corrispondano all'ipotesi inizialmente determinata sulla presenza di una certa minaccia. La sua caratteristica distintiva è la varietà delle fonti di informazione.
Va notato che Threat Hunting non è una sorta di prodotto software o hardware. Questi non sono avvisi che possono essere visualizzati in alcune soluzioni. Questo non è un processo di ricerca IOC (Identifiers of Compromise). E questa non è una sorta di attività passiva che avviene senza la partecipazione degli analisti della sicurezza informatica. Il Threat Hunting è innanzitutto un processo.
Componenti della caccia alle minacce
Tre componenti principali del Threat Hunting: dati, tecnologia, persone.
Dati (cosa?), compresi i Big Data. Tutti i tipi di flussi di traffico, informazioni su APT precedenti, analisi, dati sull'attività degli utenti, dati di rete, informazioni dei dipendenti, informazioni sulla darknet e molto altro.
Tecnologie (come?) elaborazione di questi dati: tutti i modi possibili di elaborazione di questi dati, incluso il machine learning.
Persone che?) – coloro che hanno una vasta esperienza nell’analisi di vari attacchi, hanno sviluppato intuizione e capacità di rilevare un attacco. In genere si tratta di analisti della sicurezza informatica che devono avere la capacità di generare ipotesi e trovarne conferma. Sono l'anello principale del processo.
Modello PARIGI
Adam Batemann Modello PARIS per il processo TH ideale. Il nome allude ad un famoso punto di riferimento in Francia. Questo modello può essere visto in due direzioni: dall'alto e dal basso.
Mentre elaboriamo il modello dal basso verso l’alto, incontreremo molte prove di attività dannose. Ogni prova ha una misura chiamata fiducia, una caratteristica che riflette il peso di questa prova. Esiste il “ferro”, la prova diretta di un'attività dannosa, secondo la quale possiamo raggiungere immediatamente la cima della piramide e creare un vero e proprio alert su un'infezione precisamente conosciuta. E ci sono prove indirette, la cui somma può anche portarci al vertice della piramide. Come sempre, ci sono molte più prove indirette che prove dirette, il che significa che devono essere ordinate e analizzate, devono essere condotte ulteriori ricerche ed è consigliabile automatizzarle.
Modello PARIGI.
La parte superiore del modello (1 e 2) si basa su tecnologie di automazione e varie analisi, mentre la parte inferiore (3 e 4) si basa su persone con determinate qualifiche che gestiscono il processo. Puoi considerare il modello spostandoti dall'alto verso il basso, dove nella parte superiore del colore blu abbiamo avvisi dagli strumenti di sicurezza tradizionali (antivirus, EDR, firewall, firme) con un alto grado di confidenza e fiducia, e sotto ci sono gli indicatori ( IOC, URL, MD5 e altri), che hanno un grado di certezza inferiore e richiedono ulteriori studi. E il livello più basso e più spesso (4) è la generazione di ipotesi, la creazione di nuovi scenari per il funzionamento dei mezzi di protezione tradizionali. Questo livello non è limitato solo alle fonti di ipotesi specificate. Più basso è il livello, maggiori sono i requisiti richiesti alle qualifiche dell'analista.
È molto importante che gli analisti non si limitino a testare un insieme finito di ipotesi predeterminate, ma lavorino costantemente per generare nuove ipotesi e opzioni per testarle.
Modello di maturità dell'utilizzo TH
In un mondo ideale, la TH è un processo continuo. Ma poiché non esiste un mondo ideale, analizziamo e metodi in termini di persone, processi e tecnologie utilizzate. Consideriamo un modello di TH sferico ideale. Esistono 5 livelli di utilizzo di questa tecnologia. Consideriamoli utilizzando l'esempio dell'evoluzione di un singolo team di analisti.
Livelli di maturità
Persone
processi
Tecnologia
Livello 0
Analisti SOC
24/7
Strumenti tradizionali:
Tradizionale
Insieme di avvisi
Monitoraggio passivo
IDS, AV, sandboxing,
Senza TH
Utilizzo degli avvisi
Strumenti di analisi delle firme, dati di Threat Intelligence.
Livello 1
Analisti SOC
TH una tantum
EDR
Sperimentale
Conoscenze di base di medicina legale
Ricerca del CIO
Copertura parziale dei dati provenienti dai dispositivi di rete
Esperimenti con TH
Buona conoscenza di reti e applicazioni
Applicazione parziale
Livello 2
Occupazione temporanea
Sprint
EDR
Periodico
Conoscenza media di medicina legale
Settimana per mese
Applicazione completa
TH temporaneo
Ottima conoscenza di reti e applicazioni
TH regolare
Completa automazione dell'utilizzo dei dati EDR
Utilizzo parziale delle funzionalità EDR avanzate
Livello 3
Comando TH dedicato
24/7
Capacità parziale di verificare le ipotesi TH
preventivo
Ottima conoscenza di ambito forense e malware
TH preventivo
Pieno utilizzo delle funzionalità EDR avanzate
Casi particolari TH
Ottima conoscenza della squadra offensiva
Casi particolari TH
Copertura completa dei dati dai dispositivi di rete
Configurazione per soddisfare le vostre esigenze
Livello 4
Comando TH dedicato
24/7
Piena capacità di testare le ipotesi TH
fascia alta
Ottima conoscenza di ambito forense e malware
TH preventivo
Livello 3, più:
Usando TH
Ottima conoscenza della squadra offensiva
Testing, automazione e verifica delle ipotesi TH
stretta integrazione delle fonti di dati;
Capacità di ricerca
sviluppo in base alle esigenze e all'utilizzo non standard delle API.
Livelli di maturità TH per persone, processi e tecnologie
Livello 0: tradizionale, senza utilizzare TH. Gli analisti regolari lavorano con un set standard di avvisi in modalità di monitoraggio passivo utilizzando strumenti e tecnologie standard: IDS, AV, sandbox, strumenti di analisi delle firme.
Livello 1: sperimentale, utilizzando TH. Gli stessi analisti con conoscenze di base di medicina legale e una buona conoscenza di reti e applicazioni possono effettuare una caccia alle minacce una tantum cercando indicatori di compromissione. Agli strumenti con copertura parziale dei dati provenienti dai dispositivi di rete si aggiungono gli EDR. Gli strumenti sono parzialmente utilizzati.
Livello 2: TH periodico e temporaneo. Gli stessi analisti che hanno già aggiornato le proprie conoscenze in ambito forense, reti e parte applicativa sono tenuti a impegnarsi regolarmente nella caccia alle minacce (sprint), diciamo, una settimana al mese. Gli strumenti aggiungono l'esplorazione completa dei dati dai dispositivi di rete, l'automazione dell'analisi dei dati da EDR e l'uso parziale delle funzionalità EDR avanzate.
Livello 3: casi preventivi e frequenti di TH. I nostri analisti si sono organizzati in un team dedicato e hanno iniziato ad avere un'ottima conoscenza della medicina legale e del malware, nonché della conoscenza dei metodi e delle tattiche della parte attaccante. Il processo è già effettuato 24 ore su 7, XNUMX giorni su XNUMX. Il team è in grado di testare parzialmente le ipotesi TH sfruttando appieno le capacità avanzate dell’EDR con copertura completa dei dati provenienti dai dispositivi di rete. Gli analisti sono anche in grado di configurare gli strumenti in base alle proprie esigenze.
Livello 4: fascia alta, usa TH. Lo stesso team ha acquisito la capacità di ricerca, la capacità di generare e automatizzare il processo di verifica delle ipotesi TH. Ora gli strumenti sono stati integrati da una stretta integrazione delle fonti dati, dallo sviluppo di software per soddisfare le esigenze e dall’uso non standard delle API.
Tecniche di caccia alla minaccia
Tecniche di base per la caccia alle minacce
К I TH, in ordine di maturità della tecnologia utilizzata, sono: ricerca di base, analisi statistica, tecniche di visualizzazione, aggregazioni semplici, apprendimento automatico e metodi bayesiani.
Il metodo più semplice, la ricerca di base, viene utilizzato per restringere l’area di ricerca utilizzando query specifiche. L'analisi statistica viene utilizzata, ad esempio, per ricostruire l'attività tipica dell'utente o della rete sotto forma di modello statistico. Le tecniche di visualizzazione vengono utilizzate per visualizzare visivamente e semplificare l'analisi dei dati sotto forma di grafici e diagrammi, che rendono molto più semplice distinguere i modelli nel campione. La tecnica delle aggregazioni semplici per campi chiave viene utilizzata per ottimizzare la ricerca e l'analisi. Quanto più maturo è il processo TH di un'organizzazione, tanto più rilevante diventa l'uso di algoritmi di machine learning. Sono inoltre ampiamente utilizzati per filtrare lo spam, rilevare traffico dannoso e individuare attività fraudolente. Un tipo più avanzato di algoritmo di apprendimento automatico sono i metodi bayesiani, che consentono la classificazione, la riduzione delle dimensioni del campione e la modellazione degli argomenti.
Modello del Diamante e Strategie TH
Sergio Caltagiron, Andrew Pendegast e Christopher Betz nel loro lavoro"» ha mostrato i principali componenti chiave di qualsiasi attività dannosa e la connessione di base tra di loro.
Modello Diamond per attività dannose
Secondo questo modello, esistono 4 strategie di Threat Hunting, basate sui corrispondenti componenti chiave.
1. Strategia orientata alla vittima. Partiamo dal presupposto che la vittima abbia degli avversari e questi offriranno "opportunità" via e-mail. Stiamo cercando i dati del nemico nella posta. Cerca collegamenti, allegati, ecc. Cerchiamo la conferma di questa ipotesi per un certo periodo di tempo (un mese, due settimane); se non la troviamo, allora l'ipotesi non ha funzionato.
2. Strategia orientata alle infrastrutture. Esistono diversi metodi per utilizzare questa strategia. A seconda dell'accesso e della visibilità, alcuni sono più facili di altri. Ad esempio, monitoriamo i server dei nomi di dominio noti per ospitare domini dannosi. Oppure eseguiamo il processo di monitoraggio di tutte le nuove registrazioni di nomi di dominio per un modello noto utilizzato da un avversario.
3. Strategia basata sulle capacità. Oltre alla strategia incentrata sulla vittima utilizzata dalla maggior parte dei difensori della rete, esiste una strategia incentrata sull’opportunità. È il secondo più popolare e si concentra sul rilevamento delle capacità dell'avversario, vale a dire il "malware" e la capacità dell'avversario di utilizzare strumenti legittimi come psexec, powershell, certutil e altri.
4. Strategia orientata al nemico. L’approccio incentrato sull’avversario si concentra sull’avversario stesso. Ciò include l’uso di informazioni aperte da fonti disponibili al pubblico (OSINT), la raccolta di dati sul nemico, le sue tecniche e metodi (TTP), l’analisi di incidenti precedenti, dati di Threat Intelligence, ecc.
Fonti di informazione e ipotesi in TH
Alcune fonti di informazione per Threat Hunting
Possono esserci molte fonti di informazione. Un analista ideale dovrebbe essere in grado di estrarre informazioni da tutto ciò che lo circonda. Le fonti tipiche in quasi tutte le infrastrutture saranno i dati provenienti da strumenti di sicurezza: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Inoltre, tipiche fonti di informazione saranno vari indicatori di compromissione, servizi di Threat Intelligence, dati CERT e OSINT. Inoltre, è possibile utilizzare le informazioni dalla rete oscura (ad esempio, all'improvviso c'è un ordine di hackerare la casella di posta del capo di un'organizzazione, o un candidato per la posizione di ingegnere di rete è stato smascherato per la sua attività), le informazioni ricevute da Risorse umane (recensioni del candidato da un precedente luogo di lavoro), informazioni dal servizio di sicurezza (ad esempio, i risultati della verifica della controparte).
Ma prima di utilizzare tutte le fonti disponibili è necessario formulare almeno un’ipotesi.
Per verificare le ipotesi, è necessario prima avanzarle. E per avanzare molte ipotesi di alta qualità, è necessario applicare un approccio sistematico. Il processo di generazione delle ipotesi è descritto più dettagliatamente in, è molto conveniente prendere questo schema come base per il processo di presentazione di ipotesi.
La principale fonte di ipotesi sarà Matrice ATT&CK (Tattiche, tecniche e conoscenze comuni del contraddittorio). Si tratta, in sostanza, di una base di conoscenza e di un modello per valutare il comportamento degli aggressori che svolgono la propria attività nelle ultime fasi di un attacco, solitamente descritto utilizzando il concetto di Kill Chain. Cioè nelle fasi successive alla penetrazione dell'aggressore nella rete interna di un'azienda o in un dispositivo mobile. La base di conoscenza originariamente includeva descrizioni di 121 tattiche e tecniche utilizzate nell'attacco, ognuna delle quali è descritta in dettaglio in formato Wiki. Varie analisi di Threat Intelligence sono adatte come fonte per generare ipotesi. Di particolare rilievo sono i risultati dell'analisi dell'infrastruttura e dei test di penetrazione: questi sono i dati più preziosi che possono fornirci ipotesi incrollabili perché si basano su un'infrastruttura specifica con i suoi difetti specifici.
Processo di verifica delle ipotesi
Sergei Soldatov ha portato con una descrizione dettagliata del processo, illustra il processo di verifica delle ipotesi TH in un unico sistema. Indicherò le fasi principali con una breve descrizione.
Fase 1: Fattoria TI
In questa fase è necessario evidenziare oggetti (analizzandoli insieme a tutti i dati sulle minacce) e assegnando loro etichette in base alle loro caratteristiche. Questi sono file, URL, MD5, processo, utilità, evento. Quando li passano attraverso i sistemi di Threat Intelligence, è necessario allegare i tag. Cioè, questo sito è stato notato nel CNC in quell'anno, questo MD5 è stato associato a questo e quel malware, questo MD5 è stato scaricato da un sito che distribuiva malware.
Fase 2: Casi
Nella seconda fase, esaminiamo l'interazione tra questi oggetti e identifichiamo le relazioni tra tutti questi oggetti. Otteniamo sistemi contrassegnati che fanno qualcosa di brutto.
Fase 3: Analista
Nella terza fase, il caso viene trasferito a un analista esperto con una vasta esperienza nell'analisi e emette un verdetto. Analizza fino ai byte cosa, dove, come, perché e perché fa questo codice. Questo corpo era malware, questo computer era infetto. Rivela le connessioni tra gli oggetti, controlla i risultati dell'esecuzione attraverso la sandbox.
I risultati del lavoro dell'analista vengono trasmessi ulteriormente. La Digital Forensics esamina le immagini, l'analisi del malware esamina i "corpi" trovati e il team di risposta agli incidenti può recarsi sul sito e indagare su qualcosa già presente. Il risultato del lavoro sarà un'ipotesi confermata, un attacco identificato e le modalità per contrastarlo.
Risultati di
Il Threat Hunting è una tecnologia abbastanza giovane in grado di contrastare efficacemente minacce personalizzate, nuove e non standard, che ha grandi prospettive dato il numero crescente di tali minacce e la crescente complessità dell’infrastruttura aziendale. Richiede tre componenti: dati, strumenti e analisti. I vantaggi del Threat Hunting non si limitano a prevenire l’implementazione delle minacce. Non dimenticare che durante il processo di ricerca approfondiamo la nostra infrastruttura e i suoi punti deboli attraverso gli occhi di un analista della sicurezza e possiamo rafforzare ulteriormente questi punti.
I primi passi che, a nostro avviso, devono essere compiuti per avviare il processo di TH nella vostra organizzazione.
- Prenditi cura della protezione degli endpoint e dell'infrastruttura di rete. Occupati della visibilità (NetFlow) e del controllo (firewall, IDS, IPS, DLP) di tutti i processi sulla tua rete. Conosci la tua rete dal router periferico fino all'ultimo host.
- Esplorare.
- Condurre pentest regolari almeno su risorse esterne chiave, analizzarne i risultati, identificare i principali obiettivi di attacco e chiudere le loro vulnerabilità.
- Implementare un sistema di Threat Intelligence open source (ad esempio, MISP, Yeti) e analizzare i log insieme ad esso.
- Implementare una piattaforma di risposta agli incidenti (IRP): R-Vision IRP, The Hive, sandbox per l'analisi dei file sospetti (FortiSandbox, Cuckoo).
- Automatizzare i processi di routine. L'analisi dei registri, la registrazione degli incidenti, l'informazione del personale sono un campo enorme per l'automazione.
- Impara a interagire in modo efficace con ingegneri, sviluppatori e supporto tecnico per collaborare sugli incidenti.
- Documentare l'intero processo, i punti chiave, i risultati raggiunti per potervi ritornare successivamente o condividere questi dati con i colleghi;
- Sii social: sii consapevole di cosa sta succedendo ai tuoi dipendenti, chi assumi e a chi dai accesso alle risorse informative dell'organizzazione.
- Tieniti al passo con le tendenze nel campo delle nuove minacce e metodi di protezione, aumenta il tuo livello di alfabetizzazione tecnica (anche nel funzionamento di servizi e sottosistemi IT), partecipa a conferenze e comunica con i colleghi.
Pronto a discutere l'organizzazione del processo TH nei commenti.
Oppure vieni a lavorare con noi!
Fonti e materiali da studiare
Fonte: habr.com