🥇脅威ハンティング、または 5% の脅威から身を守る方法

情報セキュリティの脅威の 95% は既知であり、ウイルス対策、ファイアウォール、IDS、WAF などの従来の手段を使用してそれらの脅威から身を守ることができます。残りの 5% の脅威は未知であり、最も危険です。それらを検出することは非常に困難であり、ましてやそれらから保護することは非常に困難であるため、それらは企業のリスクの 70% を占めます。例「ブラック・スワン」ランサムウェアの流行である WannaCry、NotPetya/ExPetr、クリプトマイナー、「サイバー兵器」Stuxnet (イランの核施設を攻撃)、およびその他の多くの攻撃 (Kido/Conficker を覚えている人はいますか?) など、従来のセキュリティ対策では十分に防御できない攻撃です。ここでは、脅威ハンティングテクノロジーを使用して、これら 5% の脅威に対抗する方法について説明したいと思います。

サイバー攻撃が継続的に進化するには、継続的な検出と対策が必要であり、最終的には攻撃者と防御者の間で終わりのない軍拡競争が起こることを考えさせます。従来のセキュリティシステムは、特定のインフラストラクチャに合わせて修正することなく、リスクのレベルが企業の主要な指標 (経済、政治、評判) に影響を与えない、許容可能なレベルのセキュリティを提供できなくなりましたが、一般に、次のようなものの一部をカバーします。リスク。現代のセキュリティシステムはすでに実装と構成の過程にあり、追いつく役割を果たしており、新しい時代の課題に対応する必要があります。

ソース

脅威ハンティング技術は、情報セキュリティの専門家にとって現代の課題に対する答えの XNUMX つになる可能性があります。 Threat Hunting（以下、TH）という言葉は数年前に登場しました。このテクノロジー自体は非常に興味深いものですが、一般的に受け入れられている標準やルールはまだありません。また、情報源が多様であることと、このトピックに関するロシア語情報源が少ないことも問題を複雑にしています。これに関して、私たち LANIT-Integration は、このテクノロジーのレビューを書くことにしました。

脅威ハンティングの定義

したがって、脅威ハンティングは、従来のセキュリティツールでは検出できない高度な脅威をプロアクティブかつ反復的に検索および検出するプロセスです。高度な脅威には、たとえば、APT などの攻撃、ゼロデイ脆弱性に対する攻撃、Living off the Land などが含まれます。

THは仮説を検証するプロセスであると言い換えることもできます。これは、自動化の要素を含む主に手動のプロセスであり、アナリストは知識とスキルを頼りに、特定の脅威の存在について最初に決定された仮説に対応する侵害の兆候を探すために大量の情報を精査します。特徴は情報源の多さです。

Threat Hunting は、ある種のソフトウェアまたはハードウェア製品ではないことに注意してください。これらは、一部のソリューションで表示されるアラートではありません。これは IOC (Identifiers of Compromise) 検索プロセスではありません。そして、これは、情報セキュリティアナリストの参加なしに発生するある種の受動的な活動ではありません。脅威ハンティングは何よりもまずプロセスです。

脅威ハンティングの構成要素

脅威ハンティングの XNUMX つの主要な構成要素: データ、テクノロジー、人材。

データ（何？）、ビッグデータを含む。あらゆる種類のトラフィックフロー、以前の APT に関する情報、分析、ユーザーアクティビティに関するデータ、ネットワークデータ、従業員からの情報、ダークネットに関する情報など。

テクノロジー（どのように？） このデータの処理 - 機械学習を含む、このデータを処理するすべての可能な方法。

人々（誰？） – さまざまな攻撃の分析に豊富な経験を持ち、鋭い直感と攻撃を検出する能力を持っている人。通常、これらは情報セキュリティアナリストであり、仮説を生成し、その確証を見つける能力が必要です。これらはプロセスの主要なリンクです。

モデルパリ

アダム・ベイトマン説明する理想的なTHプロセスを実現するPARISモデル。その名前はフランスの有名なランドマークを暗示しています。このモデルは上からと下からの XNUMX つの方向から見ることができます。

モデルをボトムアップで調べていくと、悪意のあるアクティビティの証拠が数多く見つかります。各証拠には信頼と呼ばれる尺度があり、これはこの証拠の重みを反映する特性です。悪意のある活動の直接的な証拠である「鉄」があり、それに従って私たちはすぐにピラミッドの頂点に到達し、正確に既知の感染について実際のアラートを作成できます。そして間接的な証拠もあり、その合計によってピラミッドの頂点に到達することもできます。いつものように、間接的な証拠は直接的な証拠よりもはるかに多くあります。つまり、それらを分類して分析する必要があり、追加の調査を実施する必要があり、これを自動化することをお勧めします。

モデルはパリ。 ソース

モデルの上部 (1 と 2) は自動化テクノロジとさまざまな分析に基づいており、下部 (3 と 4) はプロセスを管理する特定の資格を持つ人々に基づいています。モデルは上から下に移動すると考えることができます。青色の上部には、高い信頼性を備えた従来のセキュリティツール (ウイルス対策、EDR、ファイアウォール、シグネチャ) からのアラートがあり、その下にインジケーターが表示されます ( IOC、URL、MD5 など)、確実性は低く、追加の調査が必要です。そして、最も低くて最も厚いレベル (4) は、仮説の生成、つまり従来の保護手段を運用するための新しいシナリオの作成です。このレベルは、指定された仮説のソースのみに限定されません。レベルが低いほど、アナリストの資格に対する要件が厳しくなります。

アナリストは、あらかじめ決められた有限の仮説を単にテストするだけではなく、新しい仮説とそれらをテストするためのオプションを生成するよう常に努力することが非常に重要です。

TH 使用成熟度モデル

理想的な世界では、TH は継続的なプロセスです。でも理想の世界なんてないから分析してみよう成熟度モデル使用される人、プロセス、テクノロジーの観点からの方法。理想的な球面 TH のモデルを考えてみましょう。このテクノロジーの使用には 5 つのレベルがあります。単一のアナリストチームの進化の例を使用して、それらを見てみましょう。

成熟度のレベル
人
Процессы
技術

レベル0
SOC アナリスト
24/7
伝統的な楽器:

伝統的な
アラートのセット
パッシブモニタリング
IDS、AV、サンドボックス、

THなし
アラートの操作

シグネチャ分析ツール、脅威インテリジェンスデータ。

レベル1
SOC アナリスト
ワンタイムTH
EDR

実験的
フォレンジックの基礎知識
IOC検索
ネットワークデバイスからのデータを部分的にカバー

THの実験
ネットワークとアプリケーションに関する十分な知識

部分適用

レベル2
一時的な職業
スプリント
EDR

定期的な
法医学に関する平均的な知識
週から月へ
完全なアプリケーション

臨時TH
ネットワークとアプリケーションに関する優れた知識
レギュラーTH
EDRデータ利用の完全自動化

高度な EDR 機能の部分的な使用

レベル3
専用THコマンド
24/7
仮説を検証する部分的な能力 TH

予防
フォレンジックとマルウェアに関する優れた知識
予防TH
高度な EDR 機能を最大限に活用

特殊なケースTH
攻撃側に関する優れた知識
特殊なケースTH
ネットワークデバイスからのデータを完全にカバー

ニーズに合わせた構成

レベル4
専用THコマンド
24/7
TH 仮説をテストする完全な機能

一流
フォレンジックとマルウェアに関する優れた知識
予防TH
レベル 3 に加えて:

THの使用
攻撃側に関する優れた知識
仮説のテスト、自動化、検証 TH
データソースの緊密な統合。

研究力

ニーズに応じた開発や API の非標準的な使用。

人材、プロセス、テクノロジー別のTH成熟度レベル

0レベル： TH を使用しない従来の。通常のアナリストは、IDS、AV、サンドボックス、シグネチャ分析ツールなどの標準ツールとテクノロジーを使用して、パッシブ監視モードで標準セットのアラートを処理します。

1レベル： TH を使用した実験的。フォレンジックの基本的な知識と、ネットワークとアプリケーションに関する十分な知識を持つ同じアナリストが、侵害の痕跡を検索することで、XNUMX 回限りの脅威ハンティングを実行できます。 EDR は、ネットワークデバイスからのデータを部分的にカバーするツールに追加されます。ツールは部分的に使用されています。

2レベル： 定期的、一時的なTH。すでにフォレンジック、ネットワーク、アプリケーション部分の知識を向上させている同じアナリストは、定期的に、たとえば月に XNUMX 週間、脅威ハンティング (スプリント) に従事する必要があります。このツールにより、ネットワークデバイスからのデータの完全な探索、EDR からのデータ分析の自動化、および高度な EDR 機能の部分的な使用が追加されます。

3レベル： 予防的で頻繁なTHの症例。当社のアナリストは専任チームを編成し、フォレンジックとマルウェアに関する優れた知識に加え、攻撃側の手法と戦術に関する知識を持ち始めました。このプロセスはすでに 24 時間年中無休で実行されています。チームは、ネットワークデバイスからのデータを完全にカバーする EDR の高度な機能を最大限に活用しながら、TH 仮説を部分的にテストすることができます。アナリストは、ニーズに合わせてツールを構成することもできます。

4レベル： ハイエンドの場合はTHを使用します。同じチームは、研究する能力、TH 仮説をテストするプロセスを生成および自動化する能力を獲得しました。現在、これらのツールは、データソースの緊密な統合、ニーズを満たすソフトウェア開発、および API の非標準的な使用によって補完されています。

脅威ハンティング技術

基本的な脅威ハンティング手法

К 技術者 TH は、使用されるテクノロジーの成熟度の順に、基本的な検索、統計分析、視覚化手法、単純な集計、機械学習、およびベイジアン手法です。

最も単純な方法である基本検索は、特定のクエリを使用して調査範囲を絞り込むために使用されます。統計分析は、たとえば、典型的なユーザーまたはネットワークのアクティビティを統計モデルの形式で構築するために使用されます。視覚化技術は、データの分析をグラフやチャートの形式で視覚的に表示および簡素化するために使用され、これによりサンプル内のパターンを識別しやすくなります。検索と分析を最適化するために、キーフィールドによる単純な集計の手法が使用されます。組織の TH プロセスが成熟するほど、機械学習アルゴリズムの使用がより重要になります。また、スパムのフィルタリング、悪意のあるトラフィックの検出、不正行為の検出にも広く使用されています。より高度なタイプの機械学習アルゴリズムはベイズ法であり、分類、サンプルサイズの削減、トピックモデリングが可能です。

ダイヤモンドモデルとTH戦略

セルジオ・カルタジロン、アンドリュー・ペンデガスト、クリストファー・ベッツの作品」侵入分析のダイヤモンドモデル» は、悪意のあるアクティビティの主な主要コンポーネントとそれらの間の基本的な関係を示しました。

悪意のあるアクティビティのダイヤモンドモデル

このモデルによると、対応する主要コンポーネントに基づいた 4 つの脅威ハンティング戦略があります。

1. 被害者志向の戦略。被害者には敵対者がいて、彼らが電子メールで「機会」を届けてくると想定します。メールで敵のデータを探しています。リンクや添付ファイルなどを検索します。この仮説の確認を一定期間 (XNUMX か月、XNUMX 週間) 探しますが、見つからなければ、仮説は機能しませんでした。

2. インフラストラクチャー指向の戦略。この戦略を使用するにはいくつかの方法があります。アクセスと視認性によっては、簡単なものとそうでないものがあります。たとえば、悪意のあるドメインをホストしていることが知られているドメインネームサーバーを監視します。または、攻撃者が使用する既知のパターンがないか、すべての新しいドメイン名登録を監視するプロセスを実行します。

3. 能力主導の戦略。ほとんどのネットワーク防御者が使用する被害者重視の戦略に加えて、機会重視の戦略もあります。これは XNUMX 番目に人気があり、敵対者の機能、つまり「マルウェア」と、psexec、powershell、certutil などの正規のツールを使用する敵対者の機能の検出に焦点を当てています。

4. 敵重視の戦略。敵対者中心のアプローチは、敵対者自身に焦点を当てます。これには、公的に入手可能な情報源からのオープン情報の使用 (OSINT)、敵、その技術と方法に関するデータの収集 (TTP)、以前のインシデントの分析、脅威インテリジェンスデータなどが含まれます。

TH の情報源と仮説

脅威ハンティングのためのいくつかの情報源

情報源はたくさんあります。理想的なアナリストは、周囲にあるすべてのものから情報を抽出できる必要があります。ほぼすべてのインフラストラクチャにおける一般的なソースは、DLP、SIEM、IDS/IPS、WAF/FW、EDR などのセキュリティツールからのデータです。また、典型的な情報源は、侵害のさまざまな指標、脅威インテリジェンスサービス、CERT、および OSINT データです。さらに、ダークネットからの情報を使用することもできます (たとえば、突然組織のトップのメールボックスをハッキングする命令があった、ネットワークエンジニアの候補者の活動が暴露されたなど)。人事（以前の勤務先からの候補者のレビュー）、セキュリティサービスからの情報（取引先の検証結果など）。

ただし、利用可能なすべての情報源を使用する前に、少なくとも XNUMX つの仮説を立てる必要があります。

ソース

仮説を検証するには、まず仮説を提示する必要があります。そして、質の高い仮説を数多く提案するには、体系的なアプローチを適用する必要があります。仮説を生成するプロセスについては、以下で詳しく説明します。 статье、このスキームを仮説を立てるプロセスの基礎として利用すると非常に便利です。

仮説の主な情報源は次のとおりです。 ATT&CKマトリックス (敵対的な戦術、テクニック、一般知識)。これは本質的に、攻撃の最終段階で活動を実行する攻撃者の行動を評価するための知識ベースおよびモデルであり、通常はキルチェーンの概念を使用して説明されます。つまり、攻撃者が企業の内部ネットワークやモバイルデバイスに侵入した後の段階です。ナレッジベースには当初、攻撃に使用される 121 の戦術とテクニックの説明が含まれており、それぞれが Wiki 形式で詳細に説明されています。さまざまな脅威インテリジェンス分析は、仮説を生成するためのソースとして適しています。特に注目すべきは、インフラストラクチャ分析と侵入テストの結果です。これは、特定の欠点を持つ特定のインフラストラクチャに基づいているという事実により、鉄壁の仮説から得られる最も貴重なデータです。

仮説検証プロセス

セルゲイ・ソルダトフが連れてきた良い図プロセスの詳細な説明とともに、単一システムで TH 仮説をテストするプロセスを示します。主要な段階を簡単な説明とともに示します。

ソース

ステージ 1: TI ファーム

この段階では強調する必要があります物（すべての脅威データと一緒にそれらを分析することによって）、それらの特性のラベルを割り当てます。これらは、ファイル、URL、MD5、プロセス、ユーティリティ、イベントです。 Threat Intelligence システムを通過させる際にはタグを付ける必要があります。つまり、このサイトは何年かに CNC で注目され、この MD5 はこれこれのマルウェアに関連付けられており、この MD5 はマルウェアを配布するサイトからダウンロードされたものです。

ステージ 2: ケース

第 XNUMX 段階では、これらのオブジェクト間の相互作用を調べ、これらすべてのオブジェクト間の関係を特定します。私たちは、何か悪いことをしているシステムをマークされます。

ステージ 3: アナリスト

第 XNUMX 段階では、事件は豊富な分析経験を持つ経験豊富な分析者に転送され、彼が評決を下します。彼は、このコードが何を、どこで、どのように、なぜ、そしてなぜ行うのかをバイトまで解析します。この体はマルウェアであり、このコンピュータは感染していました。オブジェクト間の接続を明らかにし、サンドボックスを介して実行した結果を確認します。

分析者の作業結果はさらに送信されます。デジタルフォレンジックは画像を検査し、マルウェア分析は発見された「遺体」を検査します。インシデント対応チームは現場に赴いて、すでにそこにある何かを調査できます。作業の結果、確認された仮説、特定された攻撃、およびそれに対抗する方法が得られます。

ソース

結果

スレットハンティングは、カスタマイズされた新しい非標準の脅威に効果的に対抗できる、かなり新しいテクノロジーであり、そのような脅威の数の増加と企業インフラの複雑化を考慮すると、大きな期待が寄せられています。それには、データ、ツール、アナリストという XNUMX つのコンポーネントが必要です。脅威ハンティングの利点は、脅威の実行を防ぐことに限定されません。検索プロセスでは、セキュリティアナリストの目を通してインフラストラクチャとその弱点を徹底的に調査し、これらの点をさらに強化できることを忘れないでください。

私たちの意見では、組織内で TH プロセスを開始するために実行する必要がある最初のステップです。

エンドポイントとネットワークインフラストラクチャの保護に注意してください。ネットワーク上のすべてのプロセスの可視性 (NetFlow) と制御 (ファイアウォール、IDS、IPS、DLP) に注意してください。エッジルーターから最後のホストまでのネットワークを把握します。
探検 MITER ATT＆CK.
少なくとも主要な外部リソースに対して定期的に侵入テストを実施し、その結果を分析して、主な攻撃対象を特定し、その脆弱性を解消します。
オープンソースの脅威インテリジェンスシステム (MISP、Yeti など) を実装し、それと連携してログを分析します。
インシデント対応プラットフォーム (IRP) を実装します: R-Vision IRP、The Hive、不審なファイルを分析するためのサンドボックス (FortiSandbox、Cuckoo)。
日常的なプロセスを自動化します。ログの分析、インシデントの記録、スタッフへの通知は、自動化の大きな分野です。
エンジニア、開発者、テクニカルサポートと効果的に対話してインシデントに協力する方法を学びます。
後で戻ったり、このデータを同僚と共有したりできるように、プロセス全体、キーポイント、達成された結果を文書化します。
社交的になる: 従業員に何が起こっているのか、誰を雇用するのか、誰に組織の情報リソースへのアクセスを許可するのかに注意してください。
新しい脅威や保護方法の分野の動向を常に把握し、技術リテラシーのレベルを高め（IT サービスやサブシステムの運用を含む）、会議に出席し、同僚とコミュニケーションを取りましょう。

TH プロセスの構成についてコメントで議論する準備ができています。

または、私たちと一緒に働きませんか！

勉強するための情報源と資料

出所： habr.com

脅威ハンティング、または 5% の脅威から身を守る方法

関連性

脅威ハンティングの定義

脅威ハンティングの構成要素

モデルパリ

TH 使用成熟度モデル

脅威ハンティング技術

ダイヤモンドモデルとTH戦略

TH の情報源と仮説

仮説検証プロセス

結果

コメントを追加します返信をキャンセル

脅威ハンティング、または 5% の脅威から身を守る方法

関連性

脅威ハンティングの定義

脅威ハンティングの構成要素

モデルパリ

TH 使用成熟度モデル

脅威ハンティング技術

ダイヤモンドモデルとTH戦略

TH の情報源と仮説

仮説検証プロセス

結果

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル