95% van de bedreigingen voor de informatiebeveiliging zijn bekend en u kunt uzelf hiertegen beschermen met traditionele middelen zoals antivirussen, firewalls, IDS en WAF. De overige 5% van de bedreigingen zijn onbekend en het gevaarlijkst. Ze vormen 70% van het risico voor een bedrijf, omdat het erg moeilijk is om ze op te sporen, laat staan ertegen te beschermen. Voorbeelden zijn de WannaCry-ransomware-epidemie, NotPetya/ExPetr, cryptominers, het ‘cyberwapen’ Stuxnet (dat de nucleaire installaties van Iran trof) en vele (herinnert iemand anders zich Kido/Conficker?) andere aanvallen waartegen niet erg goed verdedigd kan worden met klassieke veiligheidsmaatregelen. We willen het hebben over hoe we deze 5% van de bedreigingen kunnen tegengaan met behulp van Threat Hunting-technologie.
De voortdurende evolutie van cyberaanvallen vereist constante detectie en tegenmaatregelen, wat ons uiteindelijk doet denken aan een eindeloze wapenwedloop tussen aanvallers en verdedigers. Klassieke beveiligingssystemen zijn niet langer in staat een acceptabel beveiligingsniveau te bieden, waarbij het risiconiveau geen invloed heeft op de belangrijkste indicatoren van het bedrijf (economisch, politiek, reputatie) zonder deze aan te passen voor een specifieke infrastructuur. de risico's. Al in het proces van implementatie en configuratie bevinden moderne beveiligingssystemen zich in de rol van een inhaalslag en moeten ze reageren op de uitdagingen van de nieuwe tijd.
Threat Hunting-technologie kan een van de antwoorden zijn op de uitdagingen van onze tijd voor een informatiebeveiligingsspecialist. De term Threat Hunting (hierna TH genoemd) verscheen enkele jaren geleden. De technologie zelf is best interessant, maar kent nog geen algemeen aanvaarde normen en regels. De zaak wordt ook gecompliceerd door de heterogeniteit van informatiebronnen en het kleine aantal Russischtalige informatiebronnen over dit onderwerp. In dit verband hebben wij bij LANIT-Integration besloten een recensie over deze technologie te schrijven.
actualiteit
TH-technologie is afhankelijk van infrastructuurmonitoringprocessen.. Alerting (vergelijkbaar met MSSP-services) is een traditionele methode om eerder ontwikkelde handtekeningen en tekenen van aanvallen te zoeken en hierop te reageren. Dit scenario wordt met succes uitgevoerd door traditionele, op handtekeningen gebaseerde beveiligingstools. Hunting (MDR-type service) is een monitoringmethode die antwoord geeft op de vraag “Waar komen handtekeningen en regels vandaan?” Het is het proces waarbij correlatieregels worden gecreëerd door verborgen of voorheen onbekende indicatoren en tekenen van een aanval te analyseren. Threat Hunting verwijst naar dit type monitoring.
Alleen door beide soorten monitoring te combineren, krijgen we een bescherming die bijna ideaal is, maar er is altijd een bepaald niveau van restrisico.
Beveiliging met behulp van twee soorten monitoring
En dit is de reden waarom TH (en de jacht in zijn geheel!) steeds relevanter zal worden:
Bedreigingen, oplossingen, risico's.
. Het gaat hierbij onder meer om soorten spam, DDoS, virussen, rootkits en andere klassieke malware. U kunt uzelf tegen deze bedreigingen beschermen met dezelfde klassieke beveiligingsmaatregelen.
Tijdens de uitvoering van welk project dan ook, en de resterende 20% van het werk kost 80% van de tijd. Op dezelfde manier zal in het hele dreigingslandschap 5% van de nieuwe dreigingen 70% van het risico voor een bedrijf uitmaken. In een bedrijf waar informatiebeveiligingsbeheerprocessen zijn georganiseerd, kunnen we 30% van het risico van de implementatie van bekende bedreigingen op de een of andere manier beheersen door het vermijden (weigeren van draadloze netwerken in principe), accepteren (implementeren van de noodzakelijke beveiligingsmaatregelen) of verschuiven (bijvoorbeeld op de schouders van een integrator) dit risico. Bescherm jezelf tegen, APT-aanvallen, phishing,, cyberspionage en nationale operaties, maar ook een groot aantal andere aanvallen, zijn al veel moeilijker. De gevolgen van deze 5% van de bedreigingen zullen veel ernstiger zijn () dan de gevolgen van spam of virussen, waarvan antivirussoftware bespaart.
Bijna iedereen heeft te maken met 5% van de bedreigingen. We moesten onlangs een open-sourceoplossing installeren die een applicatie uit de PEAR-repository (PHP Extension and Application Repository) gebruikt. Een poging om deze applicatie via peer-installatie te installeren mislukte omdat was niet beschikbaar (nu staat er een stub op), ik moest het vanuit GitHub installeren. En onlangs bleek dat PEAR slachtoffer werd.
Kun je het je nog herinneren?, een epidemie van de NePetya-ransomware via een updatemodule voor een belastingrapportageprogramma. Bedreigingen worden steeds geavanceerder en de logische vraag rijst: “Hoe kunnen we deze 5% van de bedreigingen tegengaan?”
Definitie van bedreigingsjacht
Threat Hunting is dus het proces van proactief en iteratief zoeken naar en detecteren van geavanceerde bedreigingen die niet door traditionele beveiligingstools kunnen worden gedetecteerd. Geavanceerde bedreigingen omvatten bijvoorbeeld aanvallen zoals APT, aanvallen op 0-day-kwetsbaarheden, Living off the Land, enzovoort.
We kunnen ook herformuleren dat TH het proces is van het testen van hypothesen. Dit is een overwegend handmatig proces met automatiseringselementen, waarbij de analist, vertrouwend op zijn kennis en vaardigheden, grote hoeveelheden informatie doorzoekt op zoek naar tekenen van compromis die overeenkomen met de aanvankelijk vastgestelde hypothese over de aanwezigheid van een bepaalde dreiging. Het onderscheidende kenmerk is de verscheidenheid aan informatiebronnen.
Opgemerkt moet worden dat Threat Hunting niet een soort software- of hardwareproduct is. Dit zijn geen waarschuwingen die in een bepaalde oplossing te zien zijn. Dit is geen IOC-zoekproces (Identifiers of Compromise). En dit is niet een soort passieve activiteit die plaatsvindt zonder de deelname van informatiebeveiligingsanalisten. Threat Hunting is in de eerste plaats een proces.
Onderdelen van bedreigingsjacht
Drie hoofdcomponenten van Threat Hunting: data, technologie, mensen.
Gegevens (wat?), inclusief Big Data. Allerlei verkeersstromen, informatie over eerdere APT’s, analytics, data over gebruikersactiviteit, netwerkdata, informatie van medewerkers, informatie op het darknet en nog veel meer.
Technologieën (hoe?) het verwerken van deze gegevens - alle mogelijke manieren om deze gegevens te verwerken, inclusief Machine Learning.
Mensen die?) – degenen die uitgebreide ervaring hebben met het analyseren van verschillende aanvallen, intuïtie hebben ontwikkeld en het vermogen hebben om een aanval te detecteren. Meestal zijn dit informatiebeveiligingsanalisten die het vermogen moeten hebben om hypothesen te genereren en daar bevestiging voor te vinden. Zij zijn de belangrijkste schakel in het proces.
Model PARIJS
Adam Bateman PARIJS-model voor het ideale TH-proces. De naam verwijst naar een beroemd monument in Frankrijk. Dit model kan in twee richtingen worden bekeken: van boven en van onderen.
Terwijl we het model van onder naar boven doornemen, zullen we veel bewijs tegenkomen van kwaadwillige activiteiten. Elk bewijsstuk heeft een maatstaf die vertrouwen wordt genoemd - een kenmerk dat het gewicht van dit bewijsmateriaal weerspiegelt. Er is ‘ijzer’, direct bewijs van kwaadwillige activiteit, waardoor we onmiddellijk de top van de piramide kunnen bereiken en een daadwerkelijke waarschuwing kunnen creëren over een nauwkeurig bekende infectie. En er is indirect bewijs, waarvan de som ons ook naar de top van de piramide kan leiden. Zoals altijd is er veel meer indirect bewijs dan direct bewijs, wat betekent dat ze moeten worden gesorteerd en geanalyseerd, dat er aanvullend onderzoek moet worden gedaan en dat het raadzaam is dit te automatiseren.
Model PARIJS.
Het bovenste deel van het model (1 en 2) is gebaseerd op automatiseringstechnologieën en verschillende analyses, en het onderste deel (3 en 4) is gebaseerd op mensen met bepaalde kwalificaties die het proces beheren. U kunt overwegen dat het model van boven naar beneden beweegt, waarbij we in het bovenste deel van de blauwe kleur waarschuwingen hebben van traditionele beveiligingshulpmiddelen (antivirus, EDR, firewall, handtekeningen) met een hoge mate van vertrouwen en vertrouwen, en hieronder staan indicatoren ( IOC, URL, MD5 en andere), die een lagere mate van zekerheid hebben en aanvullend onderzoek vereisen. En het laagste en dikste niveau (4) is het genereren van hypothesen, het creëren van nieuwe scenario's voor de werking van traditionele beschermingsmiddelen. Dit niveau is niet alleen beperkt tot de gespecificeerde bronnen van hypothesen. Hoe lager het niveau, hoe meer eisen er worden gesteld aan de kwalificaties van de analist.
Het is heel belangrijk dat analisten niet simpelweg een eindige reeks vooraf bepaalde hypothesen testen, maar voortdurend werken aan het genereren van nieuwe hypothesen en opties om deze te testen.
TH-gebruiksvolwassenheidsmodel
In een ideale wereld is TH een continu proces. Maar aangezien er geen ideale wereld bestaat, laten we het analyseren en methoden in termen van mensen, processen en gebruikte technologieën. Laten we een model van een ideale bolvormige TH bekijken. Er zijn 5 niveaus voor het gebruik van deze technologie. Laten we ze eens bekijken aan de hand van het voorbeeld van de evolutie van één enkel team van analisten.
Niveaus van volwassenheid
Mensen
processen
Technologie
0-niveau
SOC-analisten
24/7
Traditionele instrumenten:
Traditioneel
Set waarschuwingen
Passieve monitoring
IDS, AV, Sandboxen,
Zonder TH
Werken met waarschuwingen
Tools voor handtekeninganalyse, gegevens over bedreigingsinformatie.
1-niveau
SOC-analisten
Eenmalig TH
EDR
Experimenteel
Basiskennis van forensisch onderzoek
IOC-zoekopdracht
Gedeeltelijke dekking van gegevens van netwerkapparaten
Experimenten met TH
Goede kennis van netwerken en applicaties
Gedeeltelijke toepassing
2-niveau
Tijdelijke bezetting
Sprints
EDR
Periodiek
Gemiddelde kennis van forensisch onderzoek
Week tot maand
Volledige toepassing
Tijdelijke TH
Uitstekende kennis van netwerken en applicaties
Reguliere TH
Volledige automatisering van EDR-datagebruik
Gedeeltelijk gebruik van geavanceerde EDR-mogelijkheden
3-niveau
Speciaal TH-commando
24/7
Gedeeltelijk vermogen om hypothesen te testen TH
preventief
Uitstekende kennis van forensisch onderzoek en malware
Preventieve TH
Volledig gebruik van geavanceerde EDR-mogelijkheden
Speciale gevallen TH
Uitstekende kennis van de aanvallende kant
Speciale gevallen TH
Volledige dekking van gegevens van netwerkapparaten
Configuratie om aan uw behoeften te voldoen
4-niveau
Speciaal TH-commando
24/7
Volledige mogelijkheid om TH-hypothesen te testen
leidend
Uitstekende kennis van forensisch onderzoek en malware
Preventieve TH
Niveau 3, plus:
Met behulp van TH
Uitstekende kennis van de aanvallende kant
Testen, automatiseren en verifiëren van hypothesen TH
nauwe integratie van databronnen;
Onderzoeksvermogen
ontwikkeling volgens behoeften en niet-standaard gebruik van API.
TH-volwassenheidsniveaus per mensen, processen en technologieën
Niveau 0: traditioneel, zonder TH te gebruiken. Reguliere analisten werken met een standaardset waarschuwingen in passieve monitoringmodus met behulp van standaardtools en -technologieën: IDS, AV, sandbox, tools voor handtekeninganalyse.
Niveau 1: experimenteel, met behulp van TH. Dezelfde analisten met basiskennis van forensisch onderzoek en goede kennis van netwerken en applicaties kunnen eenmalige Threat Hunting uitvoeren door te zoeken naar indicatoren van compromissen. EDR's worden aan de tools toegevoegd met gedeeltelijke dekking van gegevens van netwerkapparaten. De tools worden gedeeltelijk gebruikt.
Niveau 2: periodieke, tijdelijke TH. Dezelfde analisten die hun kennis op het gebied van forensisch onderzoek, netwerken en het applicatiegedeelte al hebben opgewaardeerd, moeten regelmatig deelnemen aan Threat Hunting (sprint), bijvoorbeeld een week per maand. De tools voegen volledige verkenning van gegevens van netwerkapparaten, automatisering van gegevensanalyse van EDR en gedeeltelijk gebruik van geavanceerde EDR-mogelijkheden toe.
Niveau 3: preventieve, frequente gevallen van TH. Onze analisten organiseerden zich in een toegewijd team en begonnen een uitstekende kennis te krijgen van forensisch onderzoek en malware, evenals kennis van de methoden en tactieken van de aanvallende kant. Het proces wordt al 24/7 uitgevoerd. Het team is in staat om TH-hypothesen gedeeltelijk te testen en tegelijkertijd de geavanceerde mogelijkheden van EDR volledig te benutten met volledige dekking van gegevens van netwerkapparaten. Analisten kunnen ook tools configureren die aan hun behoeften voldoen.
Niveau 4: high-end, gebruik TH. Hetzelfde team verwierf het vermogen om onderzoek te doen, het vermogen om het proces van het testen van TH-hypothesen te genereren en te automatiseren. Nu zijn de tools aangevuld met nauwe integratie van databronnen, softwareontwikkeling om aan de behoeften te voldoen en niet-standaard gebruik van API's.
Jachttechnieken op bedreigingen
Basistechnieken voor het jagen op bedreigingen
К TH, in volgorde van volwassenheid van de gebruikte technologie, zijn: basisonderzoek, statistische analyse, visualisatietechnieken, eenvoudige aggregaties, machinaal leren en Bayesiaanse methoden.
De eenvoudigste methode, een basiszoekopdracht, wordt gebruikt om het onderzoeksgebied te verfijnen met behulp van specifieke zoekopdrachten. Statistische analyse wordt bijvoorbeeld gebruikt om typische gebruikers- of netwerkactiviteiten te construeren in de vorm van een statistisch model. Visualisatietechnieken worden gebruikt om de analyse van gegevens visueel weer te geven en te vereenvoudigen in de vorm van grafieken en diagrammen, waardoor het veel gemakkelijker wordt om patronen in het monster te onderscheiden. De techniek van eenvoudige aggregaties op basis van sleutelvelden wordt gebruikt om het zoeken en analyseren te optimaliseren. Hoe volwassener het TH-proces van een organisatie wordt, hoe relevanter het gebruik van machine learning-algoritmen wordt. Ze worden ook veel gebruikt bij het filteren van spam, het detecteren van kwaadaardig verkeer en het detecteren van frauduleuze activiteiten. Een geavanceerder type machine learning-algoritme zijn Bayesiaanse methoden, die classificatie, verkleining van de steekproefomvang en onderwerpmodellering mogelijk maken.
Diamantmodel en TH-strategieën
Sergio Caltagiron, Andrew Pendegast en Christopher Betz in hun werk "» toonde de belangrijkste componenten van elke kwaadaardige activiteit en het fundamentele verband daartussen.
Diamantmodel voor kwaadwillige activiteiten
Volgens dit model zijn er 4 Threat Hunting-strategieën, die zijn gebaseerd op de overeenkomstige sleutelcomponenten.
1. Slachtoffergerichte strategie. We gaan ervan uit dat het slachtoffer tegenstanders heeft en dat zij via e-mail ‘kansen’ zullen bezorgen. We zoeken naar vijandelijke gegevens in de post. Zoek naar links, bijlagen, enz. We zoeken voor een bepaalde periode (een maand, twee weken) naar bevestiging van deze hypothese; vinden we die niet, dan heeft de hypothese niet gewerkt.
2. Infrastructuurgerichte strategie. Er zijn verschillende methoden om deze strategie te gebruiken. Afhankelijk van de toegang en zichtbaarheid zijn sommige gemakkelijker dan andere. We monitoren bijvoorbeeld domeinnaamservers waarvan bekend is dat ze kwaadaardige domeinen hosten. Of we doorlopen het proces waarbij alle nieuwe domeinnaamregistraties worden gecontroleerd op een bekend patroon dat door een tegenstander wordt gebruikt.
3. Capaciteitsgedreven strategie. Naast de slachtoffergerichte strategie die door de meeste netwerkverdedigers wordt gebruikt, is er een opportunistische strategie. Het is de tweede meest populaire en richt zich op het detecteren van mogelijkheden van de tegenstander, namelijk “malware” en het vermogen van de tegenstander om legitieme tools zoals psexec, powershell, certutil en andere te gebruiken.
4. Vijandgerichte strategie. De tegenstandergerichte benadering richt zich op de tegenstander zelf. Dit omvat het gebruik van open informatie uit publiekelijk beschikbare bronnen (OSINT), het verzamelen van gegevens over de vijand, zijn technieken en methoden (TTP), analyse van eerdere incidenten, gegevens over bedreigingsinformatie, enz.
Informatiebronnen en hypothesen in TH
Enkele informatiebronnen voor Threat Hunting
Er kunnen veel informatiebronnen zijn. Een ideale analist zou informatie moeten kunnen halen uit alles wat er om zich heen is. Typische bronnen in vrijwel elke infrastructuur zijn gegevens uit beveiligingstools: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typische informatiebronnen zijn ook verschillende indicatoren van compromissen, Threat Intelligence-diensten, CERT- en OSINT-gegevens. Bovendien kunt u informatie van het darknet gebruiken (er is bijvoorbeeld plotseling een bevel om de mailbox van het hoofd van een organisatie te hacken, of een kandidaat voor de functie van netwerkingenieur is ontmaskerd vanwege zijn activiteit), informatie ontvangen van HR (beoordelingen van de kandidaat van een vorige werkplek), informatie van de beveiligingsdienst (bijvoorbeeld de resultaten van de verificatie van de tegenpartij).
Maar voordat u alle beschikbare bronnen gebruikt, is het noodzakelijk om ten minste één hypothese te hebben.
Om hypothesen te testen, moeten ze eerst naar voren worden gebracht. En om veel hoogwaardige hypothesen naar voren te brengen, is het noodzakelijk om een systematische aanpak toe te passen. Het proces van het genereren van hypothesen wordt in meer detail beschreven in, is het erg handig om dit schema als basis te nemen voor het proces van het naar voren brengen van hypothesen.
De belangrijkste bron van hypothesen zal zijn ATT&CK-matrix (Tegenstrijdige tactieken, technieken en algemene kennis). Het is in essentie een kennisbank en model voor het beoordelen van het gedrag van aanvallers die hun activiteiten uitvoeren in de laatste stappen van een aanval, meestal beschreven aan de hand van het concept van Kill Chain. Dat wil zeggen, in de fasen nadat een aanvaller het interne netwerk van een onderneming of een mobiel apparaat is binnengedrongen. De kennisbank bevatte oorspronkelijk beschrijvingen van 121 tactieken en technieken die bij aanvallen werden gebruikt, en elk daarvan werd in detail beschreven in Wiki-formaat. Verschillende Threat Intelligence-analyses zijn zeer geschikt als bron voor het genereren van hypothesen. Van bijzonder belang zijn de resultaten van infrastructuuranalyses en penetratietests. Dit zijn de meest waardevolle gegevens die ons ijzersterke hypothesen kunnen opleveren, omdat ze gebaseerd zijn op een specifieke infrastructuur met zijn specifieke tekortkomingen.
Proces voor het testen van hypothesen
Sergej Soldatov bracht met een gedetailleerde beschrijving van het proces illustreert het het proces van het testen van TH-hypothesen in een enkel systeem. Ik zal de belangrijkste fasen aangeven met een korte beschrijving.
Fase 1: TI-boerderij
In dit stadium is het noodzakelijk om te benadrukken voorwerpen (door ze samen met alle dreigingsgegevens te analyseren) en er labels voor hun kenmerken aan toe te kennen. Dit zijn bestand, URL, MD5, proces, hulpprogramma, gebeurtenis. Wanneer ze via bedreigingsinformatiesystemen worden doorgegeven, is het noodzakelijk om tags toe te voegen. Dat wil zeggen, deze site werd in dat en dat jaar opgemerkt in CNC, deze MD5 werd geassocieerd met die en die malware, deze MD5 werd gedownload van een site die malware verspreidde.
Fase 2: gevallen
In de tweede fase kijken we naar de interactie tussen deze objecten en identificeren we de relaties tussen al deze objecten. We krijgen gemarkeerde systemen die iets slechts doen.
Fase 3: Analist
In de derde fase wordt de zaak overgedragen aan een ervaren analist met uitgebreide ervaring in analyse, en komt hij tot een oordeel. Hij ontleedt tot in de bytes wat, waar, hoe, waarom en waarom deze code doet. Dit lichaam was malware, deze computer was geïnfecteerd. Onthult verbindingen tussen objecten, controleert de resultaten van het doorlopen van de sandbox.
De resultaten van het werk van de analist worden verder doorgegeven. Digital Forensics onderzoekt afbeeldingen, Malware Analysis onderzoekt de gevonden ‘lichamen’ en het Incident Response-team kan naar de locatie gaan en iets onderzoeken dat daar al aanwezig is. Het resultaat van het werk zal een bevestigde hypothese zijn, een geïdentificeerde aanval en manieren om deze tegen te gaan.
Resultaten van
Threat Hunting is een vrij jonge technologie die op maat gemaakte, nieuwe en niet-standaard bedreigingen effectief kan tegengaan, en heeft grote vooruitzichten gezien het groeiende aantal van dergelijke bedreigingen en de toenemende complexiteit van de bedrijfsinfrastructuur. Het vereist drie componenten: data, tools en analisten. De voordelen van Threat Hunting beperken zich niet tot het voorkomen van de implementatie van bedreigingen. Vergeet niet dat we tijdens het zoekproces door de ogen van een security analist in onze infrastructuur en haar zwakke punten duiken en deze punten verder kunnen versterken.
De eerste stappen die naar onze mening gezet moeten worden om het TH-proces in uw organisatie op gang te brengen.
- Zorg voor de bescherming van eindpunten en netwerkinfrastructuur. Zorg voor zichtbaarheid (NetFlow) en controle (firewall, IDS, IPS, DLP) van alle processen op uw netwerk. Ken uw netwerk vanaf de edge-router tot de allerlaatste host.
- Ontdekken.
- Voer regelmatig pentests uit op ten minste belangrijke externe bronnen, analyseer de resultaten ervan, identificeer de belangrijkste aanvalsdoelen en sluit hun kwetsbaarheden.
- Implementeer een open source Threat Intelligence-systeem (bijvoorbeeld MISP, Yeti) en analyseer logboeken in combinatie daarmee.
- Implementeer een incidentresponsplatform (IRP): R-Vision IRP, The Hive, sandbox voor het analyseren van verdachte bestanden (FortiSandbox, Cuckoo).
- Automatiseer routinematige processen. Analyse van logboeken, registratie van incidenten, informeren van personeel is een enorm gebied voor automatisering.
- Leer effectief communiceren met technici, ontwikkelaars en technische ondersteuning om samen te werken aan incidenten.
- Documenteer het gehele proces, de belangrijkste punten, de behaalde resultaten om er later op terug te komen of deel deze gegevens met collega’s;
- Wees sociaal: wees op de hoogte van wat er aan de hand is met uw werknemers, wie u inhuurt en wie u toegang geeft tot de informatiebronnen van de organisatie.
- Blijf op de hoogte van trends op het gebied van nieuwe dreigingen en beschermingsmethoden, verhoog uw technische kennis (ook op het gebied van de werking van IT-diensten en subsystemen), woon conferenties bij en communiceer met collega's.
Klaar om de organisatie van het TH-proces te bespreken in de commentaren.
Of kom bij ons werken!
Bronnen en materialen om te bestuderen
Bron: www.habr.com