95% ancaman keamanan informasi dikenal, lan sampeyan bisa nglindhungi dhewe saka wong-wong mau nggunakake cara tradisional kayata antivirus, firewall, IDS, WAF. Sisa 5% ancaman ora dingerteni lan paling mbebayani. Dheweke dadi 70% saka risiko kanggo perusahaan amarga kasunyatane angel banget kanggo ndeteksi, luwih-luwih nglindhungi. Tuladha yaiku epidemi ransomware WannaCry, NotPetya / ExPetr, cryptominers, "senjata cyber" Stuxnet (sing kena fasilitas nuklir Iran) lan akeh (sapa wae sing ngelingi Kido / Conficker?) Serangan liyane sing ora banget dibela karo langkah-langkah keamanan klasik. Kita pengin ngomong babagan cara nglawan 5% ancaman iki nggunakake teknologi Threat Hunting.
Évolusi serangan cyber sing terus-terusan mbutuhake deteksi lan langkah-langkah penanggulangan sing terus-terusan, sing pungkasane ndadékaké kita mikir babagan balapan senjata tanpa wates ing antarane penyerang lan pembela. Sistem keamanan klasik ora bisa nyedhiyakake tingkat keamanan sing bisa ditampa, ing ngendi tingkat risiko ora mengaruhi indikator utama perusahaan (ekonomi, politik, reputasi) tanpa ngowahi kanggo infrastruktur tartamtu, nanging umume kalebu sawetara risiko. Wis ing proses implementasine lan konfigurasi, sistem keamanan modern nemokake dhewe ing peran nyekel lan kudu nanggapi tantangan ing wektu anyar.
Teknologi Threat Hunting bisa dadi salah sawijining jawaban kanggo tantangan jaman saiki kanggo spesialis keamanan informasi. Istilah Threat Hunting (sabanjuré diarani TH) muncul sawetara taun kepungkur. Teknologi kasebut dhewe cukup menarik, nanging durung duwe standar lan aturan sing ditampa sacara umum. Masalah kasebut uga rumit dening heterogenitas sumber informasi lan jumlah cilik sumber informasi basa Rusia babagan topik iki. Ing babagan iki, kita ing LANIT-Integration mutusake nulis review babagan teknologi iki.
Relevansi
Teknologi TH gumantung marang proses pemantauan infrastruktur.. Alerting (padha karo layanan MSSP) minangka cara tradisional kanggo nggoleki tandha-tandha lan tandha-tandha serangan sing wis dikembangake sadurunge lan nanggapi. Skenario iki kasil dileksanakake dening piranti proteksi basis teken tradisional. Hunting (layanan jinis MDR) minangka cara ngawasi sing mangsuli pitakon "Sing saka ngendi teken lan aturan?" Iku proses nggawe aturan korélasi kanthi nganalisa indikasi sing didhelikake utawa sadurunge ora dingerteni lan pratandha saka serangan. Hunting Ancaman nuduhake jinis pemantauan iki.
Mung kanthi nggabungake loro jinis ngawasi, kita entuk proteksi sing cedhak karo ideal, nanging mesthi ana tingkat risiko residual tartamtu.
Perlindhungan nggunakake rong jinis ngawasi
Lan iki sebabe TH (lan mburu kabeh!) bakal dadi relevan:
Ancaman, obat, resiko.
. Iki kalebu jinis kayata spam, DDoS, virus, rootkit lan malware klasik liyane. Sampeyan bisa nglindhungi dhewe saka ancaman kasebut kanthi nggunakake langkah keamanan klasik sing padha.
Sajrone implementasine proyek apa wae, lan sisa 20% karya njupuk 80% wektu. Kajaba iku, ing kabeh lanskap ancaman, 5% ancaman anyar bakal nyebabake 70% risiko kanggo perusahaan. Ing perusahaan ing ngendi proses manajemen keamanan informasi diatur, kita bisa ngatur 30% saka risiko implementasine ancaman sing dikenal kanthi cara siji utawa liyane kanthi ngindhari (penolakan jaringan nirkabel ing prinsip), nrima (nerapake langkah-langkah keamanan sing dibutuhake) utawa ngalih. (contone, menyang pundak integrator) resiko iki. Nglindhungi dhewe saka, serangan APT, phishing,, spionase cyber lan operasi nasional, uga akeh serangan liyane wis luwih angel. Akibat saka 5% ancaman kasebut bakal luwih serius () tinimbang akibat saka spam utawa virus, saka piranti lunak antivirus sing disimpen.
Meh kabeh wong kudu nangani 5% ancaman. Kita bubar kudu nginstal solusi open-source sing nggunakake aplikasi saka gudang PEAR (Extension PHP lan Repositori Aplikasi). Upaya kanggo nginstal aplikasi iki liwat instalasi woh pir gagal amarga ora kasedhiya (saiki ana rintisan), aku kudu nginstal saka GitHub. Lan nembe wae jebul PEAR dadi korban.
Apa sampeyan isih bisa ngelingi, epidemi ransomware NePetya liwat modul nganyari kanggo program laporan pajak. Ancaman saya tambah canggih, lan pitakonan logis muncul - "Kepiye bisa ngatasi ancaman 5% iki?"
Definisi Ancaman Hunting
Dadi, Threat Hunting minangka proses telusuran proaktif lan iteratif lan deteksi ancaman canggih sing ora bisa dideteksi dening piranti keamanan tradisional. Ancaman lanjut kalebu, contone, serangan kayata APT, serangan ing kerentanan 0 dina, Living off the Land, lan liya-liyane.
Kita uga bisa rephrase yen TH minangka proses nguji hipotesis. Iki minangka proses manual kanthi unsur otomasi, ing ngendi analis, gumantung marang kawruh lan katrampilan, nyaring informasi kanthi volume gedhe kanggo nggoleki tandha-tandha kompromi sing cocog karo hipotesis sing ditemtokake awal babagan anané ancaman tartamtu. Fitur khas yaiku macem-macem sumber informasi.
Perlu dicathet yen Hunting Ancaman dudu piranti lunak utawa produk hardware. Iki dudu tandha sing bisa dideleng ing sawetara solusi. Iki dudu proses telusuran IOC (Identifiers of Compromise). Lan iki dudu sawetara kegiatan pasif sing kedadeyan tanpa partisipasi analis keamanan informasi. Ancaman Hunting pisanan lan utomo proses.
Komponen saka Ancaman Hunting
Telung komponen utama Ancaman Hunting: data, teknologi, wong.
Data (apa?), kalebu Big Data. Kabeh jinis lalu lintas, informasi babagan APT sadurunge, analytics, data babagan kegiatan pangguna, data jaringan, informasi saka karyawan, informasi ing darknet lan liya-liyane.
Teknologi (carane?) ngolah data iki - kabeh cara kanggo ngolah data iki, kalebu Machine Learning.
Wong (sapa?) - sing duwe pengalaman ekstensif kanggo nganalisa macem-macem serangan, ngembangake intuisi lan kemampuan kanggo ndeteksi serangan. Biasane iki analis keamanan informasi sing kudu duwe kemampuan kanggo ngasilake hipotesis lan nemokake konfirmasi kanggo dheweke. Dheweke minangka tautan utama ing proses kasebut.
Model PARIS
Adam Bateman model PARIS kanggo proses TH becik. Jeneng kasebut nuduhake landmark sing misuwur ing Prancis. Model iki bisa dideleng ing rong arah - saka ndhuwur lan saka ngisor.
Nalika kita ngupayakake model saka ngisor munggah, kita bakal nemokake akeh bukti saka kegiatan angkoro. Saben bukti nduweni ukuran sing disebut kapercayan - karakteristik sing nggambarake bobot bukti kasebut. Ana "wesi", bukti langsung saka kegiatan angkoro, miturut sing kita bisa langsung tekan ndhuwur piramida lan nggawe tandha nyata bab infèksi sabenere dikenal. Lan ana bukti ora langsung, jumlah sing uga bisa mimpin kita menyang ndhuwur piramida. Kaya biasane, ana bukti ora langsung luwih akeh tinimbang bukti langsung, sing tegese kudu diurut lan dianalisis, riset tambahan kudu ditindakake, lan disaranake ngotomatisasi iki.
Model PARIS.
Sisih ndhuwur model (1 lan 2) adhedhasar teknologi otomatisasi lan macem-macem analytics, lan sisih ngisor (3 lan 4) adhedhasar wong sing nduweni kualifikasi tartamtu sing ngatur proses kasebut. Sampeyan bisa nimbang model obah saka ndhuwur menyang ngisor, ngendi ing sisih ndhuwur werna biru kita duwe tandha saka piranti keamanan tradisional (antivirus, EDR, firewall, teken) karo tingkat dhuwur saka kapercayan lan kapercayan, lan ing ngisor iki minangka indikator ( IOC, URL, MD5 lan liya-liyane), sing nduweni tingkat kepastian sing luwih murah lan mbutuhake sinau tambahan. Lan tingkat paling ngisor lan paling kandel (4) yaiku generasi hipotesis, nggawe skenario anyar kanggo operasi sarana perlindungan tradisional. Tingkat iki ora mung diwatesi kanggo sumber hipotesis sing ditemtokake. Tingkat sing luwih murah, luwih akeh syarat sing ditrapake kanggo kualifikasi analis.
Penting banget yen analis ora mung nguji hipotesis sing wis ditemtokake, nanging terus-terusan bisa ngasilake hipotesis lan opsi anyar kanggo nguji.
Model Kadewasan Panganggone TH
Ing donya becik, TH minangka proses sing terus-terusan. Nanging, amarga ora ana jagad sing cocog, ayo analisa lan cara ing syarat-syarat wong, pangolahan lan teknologi digunakake. Ayo kita nimbang model TH bunder sing becik. Ana 5 tingkat nggunakake teknologi iki. Ayo goleki kanthi nggunakake conto evolusi tim analis tunggal.
Tingkat kadewasan
wong
Pangolahan
teknologi
Tingkat 0
Analis SOC
24/7
Instrumen tradisional:
Tradisional
Setel tandha
Ngawasi pasif
IDS, AV, Sandboxing,
Tanpa TH
Nggarap tandha
Piranti analisis teken, data Ancaman Intelligence.
Tingkat 1
Analis SOC
TH siji-wektu
EDR
Eksperimen
Kawruh dhasar babagan forensik
Panelusuran IOC
Cakupan sebagian data saka piranti jaringan
Eksperimen karo TH
Kawruh sing apik babagan jaringan lan aplikasi
Aplikasi parsial
Tingkat 2
Pendhudhukan sementara
Sprint
EDR
periodik
Kawruh rata-rata babagan forensik
Minggu nganti sasi
Aplikasi lengkap
TH sementara
Kawruh banget babagan jaringan lan aplikasi
Biasa TH
Otomasi lengkap panggunaan data EDR
Panggunaan parsial saka kapabilitas EDR majeng
Tingkat 3
Dhawuh TH khusus
24/7
Kemampuan parsial kanggo nguji hipotesis TH
Nyegah
Kawruh banget babagan forensik lan malware
Nyegah TH
Panggunaan lengkap kapabilitas EDR majeng
Kasus khusus TH
Kawruh banget babagan sisih nyerang
Kasus khusus TH
Jangkoan lengkap data saka piranti jaringan
Konfigurasi sing cocog karo kabutuhan sampeyan
Tingkat 4
Dhawuh TH khusus
24/7
Kemampuan lengkap kanggo nguji hipotesis TH
mimpin
Kawruh banget babagan forensik lan malware
Nyegah TH
Level 3, plus:
Nggunakake TH
Kawruh banget babagan sisih nyerang
Pengujian, otomatisasi lan verifikasi hipotesis TH
integrasi ketat sumber data;
Kemampuan riset
pembangunan miturut kabutuhan lan nggunakake non-standar API.
Tingkat kadewasan TH dening wong, proses lan teknologi
Level 0: tradisional, tanpa nggunakake TH. Analis biasa nggarap sakumpulan tandha standar ing mode pemantauan pasif kanthi nggunakake alat lan teknologi standar: IDS, AV, kothak wedhi, alat analisis teken.
Level 1: eksperimental, nggunakake TH. Analis sing padha karo kawruh dhasar babagan forensik lan kawruh sing apik babagan jaringan lan aplikasi bisa nindakake Hunting Ancaman sepisan kanthi nggoleki indikator kompromi. EDR ditambahake menyang alat kanthi jangkoan sebagian data saka piranti jaringan. Piranti kasebut digunakake sebagian.
Level 2: périodik, sauntara TH. Analis sing padha sing wis nganyarke kawruh babagan forensik, jaringan lan bagean aplikasi kudu rutin melu Threat Hunting (sprint), ujare, seminggu saben wulan. Piranti kasebut nambahake eksplorasi data lengkap saka piranti jaringan, otomatisasi analisis data saka EDR, lan panggunaan sebagian kemampuan EDR lanjutan.
Level 3: Nyegah, asring kasus TH. Analis kita ngatur awake dhewe dadi tim sing darmabakti lan wiwit duwe kawruh sing apik babagan forensik lan malware, uga kawruh babagan cara lan taktik saka pihak sing nyerang. Proses kasebut wis ditindakake 24/7. Tim kasebut bisa nguji sebagian hipotesis TH nalika nggunakake kemampuan canggih EDR kanthi jangkoan lengkap data saka piranti jaringan. Analis uga bisa ngatur alat sing cocog karo kabutuhan.
Level 4: dhuwur-mburi, nggunakake TH. Tim sing padha entuk kemampuan kanggo riset, kemampuan kanggo ngasilake lan ngotomatisasi proses nguji hipotesis TH. Saiki alat kasebut wis ditambah karo integrasi sumber data sing cedhak, pangembangan piranti lunak kanggo nyukupi kabutuhan, lan panggunaan API sing ora standar.
Teknik Mburu Ancaman
Teknik Dasar Ancaman Hunting
К TH, miturut kedewasaan teknologi sing digunakake, yaiku: telusuran dhasar, analisis statistik, teknik visualisasi, agregasi sederhana, pembelajaran mesin, lan metode Bayesian.
Cara sing paling gampang, telusuran dhasar, digunakake kanggo mbatesi area riset nggunakake pitakon tartamtu. Analisis statistik digunakake, contone, kanggo mbangun aktivitas pangguna utawa jaringan khas ing wangun model statistik. Teknik visualisasi digunakake kanggo nampilake lan nyederhanakake analisis data kanthi visual ing wangun grafik lan grafik, sing ndadekake luwih gampang kanggo mbedakake pola ing sampel. Teknik agregasi prasaja miturut kolom kunci digunakake kanggo ngoptimalake telusuran lan analisis. Proses TH organisasi sing luwih diwasa, luwih relevan panggunaan algoritma pembelajaran mesin. Padha uga akeh digunakake ing nyaring spam, ndeteksi lalu lintas angkoro lan ndeteksi aktivitas fraudulent. Jinis algoritma machine learning sing luwih maju yaiku metode Bayesian, sing ngidini klasifikasi, nyuda ukuran sampel, lan modeling topik.
Diamond Model lan Sastranegara TH
Sergio Caltagiron, Andrew Pendegast lan Christopher Betz ing karyane "» nuduhake komponen kunci utama saka kegiatan angkoro lan sambungan dhasar ing antarane.
Model Diamond kanggo kegiatan angkoro
Miturut model iki, ana 4 strategi Ancaman Hunting, sing adhedhasar komponen kunci sing cocog.
1. Strategi berorientasi korban. Kita nganggep yen korban duwe mungsuh lan bakal ngirim "kesempatan" liwat email. We are looking for data mungsuh ing mail. Telusuri pranala, lampiran, lsp. Kita nggoleki konfirmasi hipotesis iki sajrone wektu tartamtu (sewulan, rong minggu); yen ora ditemokake, mula hipotesis kasebut ora bisa digunakake.
2. Strategi berorientasi infrastruktur. Ana sawetara cara kanggo nggunakake strategi iki. Gumantung ing akses lan visibilitas, sawetara luwih gampang tinimbang liyane. Contone, kita ngawasi server jeneng domain sing dikenal dadi tuan rumah domain angkoro. Utawa kita ngliwati proses ngawasi kabeh registrasi jeneng domain anyar kanggo pola sing dikenal sing digunakake dening mungsuh.
3. strategi Kapabilitas-mimpin. Saliyane strategi fokus korban sing digunakake dening umume pembela jaringan, ana strategi sing fokus ing kesempatan. Iki minangka sing paling populer nomer loro lan fokus kanggo ndeteksi kemampuan saka mungsuh, yaiku "malware" lan kemampuan mungsuh nggunakake alat sing sah kayata psexec, powershell, certutil lan liya-liyane.
4. strategi mungsuh-oriented. Pendekatan adversary-centric fokus ing mungsuh dhewe. Iki kalebu panggunaan informasi mbukak saka sumber sing kasedhiya kanggo umum (OSINT), koleksi data babagan mungsuh, teknik lan metode (TTP), analisis kedadeyan sadurunge, data Ancaman Intelijen, lsp.
Sumber informasi lan hipotesis ing TH
Sawetara sumber informasi kanggo Ancaman Hunting
Ana akeh sumber informasi. Analis becik kudu bisa ngekstrak informasi saka kabeh sing ana ing sekitar. Sumber khas ing meh kabeh infrastruktur yaiku data saka piranti keamanan: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Uga, sumber informasi sing khas bakal dadi macem-macem indikator kompromi, layanan Intelijen Ancaman, data CERT lan OSINT. Kajaba iku, sampeyan bisa nggunakake informasi saka darknet (contone, dumadakan ana pesenan kanggo hack kothak layang saka kepala organisasi, utawa calon kanggo posisi engineer jaringan wis kapapar aktivitas kang), informasi ditampa saka HR (review saka calon saka panggonan sadurunge karya), informasi saka layanan keamanan (contone, asil verifikasi saka counterparty).
Nanging sadurunge nggunakake kabeh sumber sing kasedhiya, sampeyan kudu duwe paling ora siji hipotesis.
Kanggo nguji hipotesis, kudu diajukake dhisik. Lan kanggo nyedhiyakake akeh hipotesis sing berkualitas tinggi, perlu nggunakake pendekatan sing sistematis. Proses ngasilake hipotesis diterangake kanthi luwih rinci ing, iku trep banget kanggo njupuk skema iki minangka basis kanggo proses sijine maju hipotesis.
Sumber utama hipotesis bakal matriks ATT&CK (Taktik Adversarial, Teknik lan Kawruh Umum). Iku, ing intine, basis kawruh lan model kanggo netepake prilaku panyerang sing nindakake aktivitas ing langkah pungkasan saka serangan, biasane diterangake nggunakake konsep Kill Chain. Yaiku, ing tahap sawise panyerang wis nembus jaringan internal perusahaan utawa menyang piranti seluler. Basis kawruh kasebut asline kalebu katrangan babagan 121 taktik lan teknik sing digunakake ing serangan, saben-saben diterangake kanthi rinci ing format Wiki. Macem-macem analytics Ancaman Intelligence cocok minangka sumber kanggo ngasilake hipotesis. Cathetan tartamtu yaiku asil analisis infrastruktur lan tes penetrasi - iki minangka data sing paling larang regane sing bisa menehi hipotesis ironclad amarga kasunyatane adhedhasar infrastruktur tartamtu kanthi kekurangan tartamtu.
Proses uji hipotesis
Sergei Soldatov nggawa kanthi katrangan rinci babagan proses kasebut, nggambarake proses nguji hipotesis TH ing sistem siji. Aku bakal nuduhake tahapan utama kanthi katrangan singkat.
Tahap 1: TI Farm
Ing tataran iki perlu kanggo nyorot obyek (kanthi nganalisa bebarengan karo kabeh data ancaman) lan menehi label kanggo karakteristike. Iki minangka file, URL, MD5, proses, sarana, acara. Nalika ngliwati sistem Ancaman Intelijen, kudu masang tag. Yaiku, situs iki ditemokake ing CNC ing taun kasebut, MD5 iki digandhengake karo malware kasebut, MD5 iki diundhuh saka situs sing nyebarake malware.
Tahap 2: Kasus
Ing tahap kapindho, kita ndeleng interaksi antarane obyek kasebut lan ngenali hubungan antarane kabeh obyek kasebut. We njaluk sistem ditandhani sing nindakake soko ala.
Tahap 3: Analyst
Ing tahap katelu, kasus kasebut ditransfer menyang analis sing berpengalaman sing duwe pengalaman ekstensif ing analisis, lan dheweke nggawe putusan. Panjenenganipun parses mudhun kanggo bita apa, ngendi, carane, kok lan kok kode iki. Badan iki malware, komputer iki kena infeksi. Nuduhake sambungan antarane obyek, mriksa asil mlaku liwat kothak wedhi.
Asil saka karya analis ditularaké luwih. Forensik Digital mriksa gambar, Analisis Malware mriksa "badan" sing ditemokake, lan tim Insiden Response bisa pindhah menyang situs kasebut lan neliti babagan sing wis ana. Asil karya kasebut bakal dadi hipotesis sing dikonfirmasi, serangan sing diidentifikasi lan cara kanggo ngatasi.
Hasil
Ancaman Hunting minangka teknologi sing cukup enom sing bisa kanthi efektif nglawan ancaman khusus, anyar lan non-standar, sing nduweni prospek gedhe amarga ancaman kasebut saya tambah akeh lan tambah kompleksitas infrastruktur perusahaan. Mbutuhake telung komponen - data, alat lan analis. Keuntungan saka Threat Hunting ora diwatesi kanggo nyegah implementasine ancaman. Aja lali yen sajrone proses telusuran, kita nyilem menyang prasarana lan titik lemah liwat mata analis keamanan lan bisa nguatake poin kasebut.
Langkah pisanan sing, miturut pendapat kita, kudu ditindakake kanggo miwiti proses TH ing organisasi sampeyan.
- Jaga nglindhungi endpoints lan infrastruktur jaringan. Jaga visibilitas (NetFlow) lan kontrol (firewall, IDS, IPS, DLP) kabeh proses ing jaringan sampeyan. Ngerti jaringan sampeyan saka router pinggiran nganti host paling pungkasan.
- Jelajahi.
- Nindakake pentest biasa paling ora sumber eksternal utama, nganalisa asile, ngenali target utama kanggo serangan lan nutup kerentanane.
- Ngleksanakake sistem Intelijen Ancaman sumber terbuka (contone, MISP, Yeti) lan nganalisa log bebarengan karo.
- Ngleksanakake platform respon insiden (IRP): R-Vision IRP, The Hive, kothak wedhi kanggo nganalisa file sing curiga (FortiSandbox, Cuckoo).
- Ngotomatisasi pangolahan rutin. Analisis log, ngrekam kedadeyan, menehi informasi marang staf minangka lapangan ageng kanggo otomatisasi.
- Sinau sesambungan kanthi efektif karo insinyur, pangembang, lan dhukungan teknis kanggo kolaborasi ing kedadeyan.
- Dokumentasi kabeh proses, poin utama, asil sing diraih supaya bisa bali maneh mengko utawa nuduhake data iki karo kolega;
- Dadi sosial: Ngerti apa sing kedadeyan karo karyawan, sapa sing sampeyan rekrut, lan sapa sing menehi akses menyang sumber informasi organisasi.
- Terusake tren ing bidang ancaman lan cara perlindungan anyar, tambahake tingkat literasi teknis (kalebu ing operasi layanan lan subsistem IT), rawuh ing konferensi lan komunikasi karo kolega.
Siap ngrembug babagan organisasi proses TH ing komentar.
Utawa teka kerja karo kita!
Sumber lan bahan kanggo sinau
Source: www.habr.com