95 % av informasjonssikkerhetstruslene er kjent, og du kan beskytte deg mot dem ved hjelp av tradisjonelle midler som antivirus, brannmurer, IDS, WAF. De resterende 5 % av truslene er ukjente og de farligste. De utgjør 70 % av risikoen for et selskap på grunn av det faktum at det er svært vanskelig å oppdage dem, langt mindre beskytte mot dem. Eksempler er WannaCry-ransomware-epidemien, NotPetya/ExPetr, kryptominere, «cybervåpenet» Stuxnet (som rammet Irans atomanlegg) og mange (noen andre husker Kido/Conficker?) andre angrep som ikke er særlig godt forsvart mot med klassiske sikkerhetstiltak. Vi ønsker å snakke om hvordan vi kan motvirke disse 5 % av truslene ved å bruke Threat Hunting-teknologi.
Den kontinuerlige utviklingen av cyberangrep krever konstant deteksjon og mottiltak, noe som til slutt får oss til å tenke på et endeløst våpenkappløp mellom angripere og forsvarere. Klassiske sikkerhetssystemer er ikke lenger i stand til å gi et akseptabelt sikkerhetsnivå, der risikonivået ikke påvirker selskapets nøkkelindikatorer (økonomiske, politiske, omdømme) uten å modifisere dem for en spesifikk infrastruktur, men generelt dekker de noen av risikoene. Allerede i prosessen med implementering og konfigurasjon finner moderne sikkerhetssystemer seg i rollen som å ta igjen og må svare på den nye tidens utfordringer.
Threat Hunting-teknologi kan være et av svarene på vår tids utfordringer for en informasjonssikkerhetsspesialist. Begrepet Trusseljakt (heretter referert til som TH) dukket opp for flere år siden. Selve teknologien er ganske interessant, men har ennå ikke noen generelt aksepterte standarder og regler. Saken kompliseres også av heterogeniteten til informasjonskildene og det lille antallet russiskspråklige informasjonskilder om dette emnet. I denne forbindelse bestemte vi oss i LANIT-Integration for å skrive en anmeldelse av denne teknologien.
aktualitet
TH-teknologien er avhengig av infrastrukturovervåkingsprosesser.. Varsling (ligner på MSSP-tjenester) er en tradisjonell metode for å søke etter tidligere utviklede signaturer og tegn på angrep og svare på dem. Dette scenariet er vellykket utført av tradisjonelle signaturbaserte beskyttelsesverktøy. Jakt (MDR-type tjeneste) er en overvåkingsmetode som svarer på spørsmålet "Hvor kommer signaturer og regler fra?" Det er prosessen med å lage korrelasjonsregler ved å analysere skjulte eller tidligere ukjente indikatorer og tegn på et angrep. Trusseljakt refererer til denne typen overvåking.
Bare ved å kombinere begge typer overvåking får vi en beskyttelse som er nær ideell, men det er alltid et visst nivå av gjenværende risiko.
Beskyttelse ved hjelp av to typer overvåking
Og her er grunnen til at TH (og jakt i sin helhet!) vil bli stadig mer relevant:
Trusler, rettsmidler, risikoer.
. Disse inkluderer typer som spam, DDoS, virus, rootkits og annen klassisk skadelig programvare. Du kan beskytte deg mot disse truslene ved å bruke de samme klassiske sikkerhetstiltakene.
Under gjennomføringen av ethvert prosjekt, og de resterende 20% av arbeidet tar 80% av tiden. På samme måte, over hele trussellandskapet, vil 5 % av nye trusler utgjøre 70 % av risikoen for et selskap. I et selskap der styringsprosesser for informasjonssikkerhet er organisert, kan vi håndtere 30 % av risikoen for implementering av kjente trusler på en eller annen måte ved å unngå (avslag på trådløse nettverk i prinsippet), akseptere (implementere nødvendige sikkerhetstiltak) eller skifte (for eksempel på skuldrene til en integrator) denne risikoen. Beskytt deg mot, APT-angrep, phishing,, nettspionasje og nasjonale operasjoner, samt et stort antall andre angrep er allerede mye vanskeligere. Konsekvensene av disse 5 % av truslene vil være mye mer alvorlig () enn konsekvensene av spam eller virus, som antivirusprogramvare lagrer fra.
Nesten alle må håndtere 5 % av truslene. Vi måtte nylig installere en åpen kildekode-løsning som bruker en applikasjon fra PEAR (PHP Extension and Application Repository) repository. Et forsøk på å installere dette programmet via pæreinstallasjon mislyktes fordi var utilgjengelig (nå er det en stubbe på den), jeg måtte installere den fra GitHub. Og nylig viste det seg at PEAR ble et offer.
Du kan fortsatt huske, en epidemi av NePetya løsepengevare gjennom en oppdateringsmodul for et skatterapporteringsprogram. Truslene blir mer og mer sofistikerte, og det logiske spørsmålet oppstår - "Hvordan kan vi motvirke disse 5% av truslene?"
Definisjon av trusseljakt
Så, Threat Hunting er prosessen med proaktivt og iterativt søk og oppdagelse av avanserte trusler som ikke kan oppdages av tradisjonelle sikkerhetsverktøy. Avanserte trusler inkluderer for eksempel angrep som APT, angrep på 0-dagers sårbarheter, Living off the Land, og så videre.
Vi kan også omformulere at TH er prosessen med å teste hypoteser. Dette er en overveiende manuell prosess med elementer av automatisering, der analytikeren, basert på sin kunnskap og ferdigheter, siler gjennom store mengder informasjon på jakt etter tegn på kompromiss som samsvarer med den opprinnelig bestemte hypotesen om tilstedeværelsen av en viss trussel. Dens karakteristiske trekk er mangfoldet av informasjonskilder.
Det skal bemerkes at Threat Hunting ikke er noen form for programvare eller maskinvare. Dette er ikke varsler som kan sees i en eller annen løsning. Dette er ikke en IOC (Identifiers of Compromise) søkeprosess. Og dette er ikke en slags passiv aktivitet som skjer uten deltakelse fra informasjonssikkerhetsanalytikere. Trusseljakt er først og fremst en prosess.
Komponenter av trusseljakt
Tre hovedkomponenter i Threat Hunting: data, teknologi, mennesker.
Data (hva?), inkludert Big Data. Alle typer trafikkstrømmer, informasjon om tidligere APT-er, analyser, data om brukeraktivitet, nettverksdata, informasjon fra ansatte, informasjon på darknet og mye mer.
Teknologier (hvordan?) behandle disse dataene - alle mulige måter å behandle disse dataene på, inkludert maskinlæring.
Folk som?) – de som har lang erfaring med å analysere ulike angrep, utviklet intuisjon og evne til å oppdage angrep. Vanligvis er dette informasjonssikkerhetsanalytikere som må ha evnen til å generere hypoteser og finne bekreftelse for dem. De er hovedleddet i prosessen.
Modell PARIS
Adam Bateman PARIS-modell for den ideelle TH-prosessen. Navnet henspiller på et kjent landemerke i Frankrike. Denne modellen kan sees i to retninger - ovenfra og nedenfra.
Når vi jobber oss gjennom modellen fra bunnen og opp, vil vi møte mange bevis på ondsinnet aktivitet. Hvert bevis har et mål som kalles tillit – en egenskap som gjenspeiler vekten av disse bevisene. Det er "jern", direkte bevis på ondsinnet aktivitet, ifølge hvilke vi umiddelbart kan nå toppen av pyramiden og opprette et faktisk varsel om en nøyaktig kjent infeksjon. Og det er indirekte bevis, summen av disse kan også føre oss til toppen av pyramiden. Som alltid er det mye mer indirekte bevis enn direkte bevis, noe som betyr at de må sorteres og analyseres, ytterligere forskning må utføres, og det er tilrådelig å automatisere dette.
Modell PARIS.
Den øvre delen av modellen (1 og 2) er basert på automatiseringsteknologier og ulike analyser, og den nedre delen (3 og 4) er basert på personer med visse kvalifikasjoner som styrer prosessen. Du kan vurdere at modellen beveger seg fra topp til bunn, hvor vi i den øvre delen av den blå fargen har varsler fra tradisjonelle sikkerhetsverktøy (antivirus, EDR, brannmur, signaturer) med høy grad av selvtillit og tillit, og nedenfor er indikatorer ( IOC, URL, MD5 og andre), som har en lavere grad av sikkerhet og krever ytterligere studier. Og det laveste og tykkeste nivået (4) er genereringen av hypoteser, opprettelsen av nye scenarier for driften av tradisjonelle beskyttelsesmidler. Dette nivået er ikke bare begrenset til de spesifiserte kildene til hypoteser. Jo lavere nivå, jo flere krav stilles det til analytikerens kvalifikasjoner.
Det er veldig viktig at analytikere ikke bare tester et begrenset sett med forhåndsbestemte hypoteser, men hele tiden jobber med å generere nye hypoteser og alternativer for å teste dem.
TH Bruksmodenhetsmodell
I en ideell verden er TH en pågående prosess. Men siden det ikke er noen ideell verden, la oss analysere og metoder når det gjelder mennesker, prosesser og teknologier som brukes. La oss vurdere en modell av en ideell sfærisk TH. Det er 5 nivåer for bruk av denne teknologien. La oss se på dem ved å bruke eksempelet på utviklingen til et enkelt team av analytikere.
Nivåer av modenhet
Folk
prosesser
Teknologi
0-nivå
SOC-analytikere
24/7
Tradisjonelle instrumenter:
Tradisjonell
Sett med varsler
Passiv overvåking
IDS, AV, Sandboxing,
Uten TH
Arbeid med varsler
Signaturanalyseverktøy, Threat Intelligence-data.
1-nivå
SOC-analytikere
Engangs TH
EDR
Eksperimentell
Grunnleggende kunnskap om rettsmedisin
IOC-søk
Delvis dekning av data fra nettverksenheter
Eksperimenter med TH
God kunnskap om nettverk og applikasjoner
Delvis søknad
2-nivå
Midlertidig okkupasjon
Sprints
EDR
Periodisk
Gjennomsnittlig kunnskap om rettsmedisin
Uke til måned
Full søknad
Midlertidig TH
God kunnskap om nettverk og applikasjoner
Vanlig TH
Full automatisering av EDR-databruk
Delvis bruk av avanserte EDR-funksjoner
3-nivå
Dedikert TH-kommando
24/7
Delvis evne til å teste hypoteser TH
Forebyggende
God kunnskap om rettsmedisin og skadevare
Forebyggende TH
Full bruk av avanserte EDR-funksjoner
Spesielle tilfeller TH
Utmerket kunnskap om angrepssiden
Spesielle tilfeller TH
Full dekning av data fra nettverksenheter
Konfigurasjon for å passe dine behov
4-nivå
Dedikert TH-kommando
24/7
Full evne til å teste TH-hypoteser
Ledende
God kunnskap om rettsmedisin og skadevare
Forebyggende TH
Nivå 3, pluss:
Bruker TH
Utmerket kunnskap om angrepssiden
Testing, automatisering og verifisering av hypoteser TH
tett integrasjon av datakilder;
Forskningsevne
utvikling etter behov og ikke-standard bruk av API.
TH modenhetsnivåer etter mennesker, prosesser og teknologier
Nivå 0: tradisjonell, uten å bruke TH. Vanlige analytikere arbeider med et standard sett med varsler i passiv overvåkingsmodus ved å bruke standardverktøy og teknologier: IDS, AV, sandkasse, signaturanalyseverktøy.
Nivå 1: eksperimentell, ved bruk av TH. De samme analytikerne med grunnleggende kunnskap om rettsmedisin og god kjennskap til nettverk og applikasjoner kan gjennomføre engangs Threat Hunting ved å søke etter indikatorer på kompromiss. EDR-er legges til verktøyene med delvis dekning av data fra nettverksenheter. Verktøyene er delvis brukt.
Nivå 2: periodisk, midlertidig TH. De samme analytikerne som allerede har oppgradert kunnskapen sin innen rettsmedisin, nettverk og applikasjonsdelen, må regelmessig engasjere seg i Threat Hunting (sprint), for eksempel en uke i måneden. Verktøyene legger til full utforskning av data fra nettverksenheter, automatisering av dataanalyse fra EDR og delvis bruk av avanserte EDR-funksjoner.
Nivå 3: forebyggende, hyppige tilfeller av TH. Våre analytikere organiserte seg i et dedikert team og begynte å ha utmerket kunnskap om etterforskning og skadelig programvare, samt kunnskap om metodene og taktikken til den angripende siden. Prosessen er allerede utført 24/7. Teamet er i stand til å delvis teste TH-hypoteser mens de fullt ut utnytter de avanserte egenskapene til EDR med full dekning av data fra nettverksenheter. Analytikere er også i stand til å konfigurere verktøy for å passe deres behov.
Nivå 4: high-end, bruk TH. Det samme teamet skaffet seg evnen til forskning, evnen til å generere og automatisere prosessen med å teste TH-hypoteser. Nå har verktøyene blitt supplert med tett integrasjon av datakilder, programvareutvikling for å møte behov, og ikke-standard bruk av APIer.
Trusseljaktteknikker
Grunnleggende trusseljaktteknikker
К TH, i rekkefølge av modenhet av teknologi som brukes, er: grunnleggende søk, statistisk analyse, visualiseringsteknikker, enkle aggregeringer, maskinlæring og Bayesianske metoder.
Den enkleste metoden, et grunnleggende søk, brukes til å begrense forskningsområdet ved å bruke spesifikke søk. Statistisk analyse brukes for eksempel til å konstruere typisk bruker- eller nettverksaktivitet i form av en statistisk modell. Visualiseringsteknikker brukes for å visuelt vise og forenkle analysen av data i form av grafer og diagrammer, som gjør det mye lettere å skjelne mønstre i prøven. Teknikken med enkle aggregeringer etter nøkkelfelt brukes for å optimalisere søk og analyse. Jo mer moden en organisasjons TH-prosess blir, jo mer relevant blir bruken av maskinlæringsalgoritmer. De er også mye brukt til å filtrere spam, oppdage ondsinnet trafikk og oppdage uredelige aktiviteter. En mer avansert type maskinlæringsalgoritme er Bayesianske metoder, som tillater klassifisering, reduksjon av prøvestørrelse og emnemodellering.
Diamantmodell og TH-strategier
Sergio Caltagiron, Andrew Pendegast og Christopher Betz i deres arbeid "» viste hovedkomponentene i enhver ondsinnet aktivitet og den grunnleggende forbindelsen mellom dem.
Diamantmodell for ondsinnet aktivitet
I henhold til denne modellen er det 4 trusseljaktstrategier, som er basert på de tilsvarende nøkkelkomponentene.
1. Offerorientert strategi. Vi antar at offeret har motstandere, og de vil levere "muligheter" via e-post. Vi leter etter fiendedata i posten. Søk etter lenker, vedlegg osv. Vi leter etter bekreftelse av denne hypotesen for en viss periode (en måned, to uker); hvis vi ikke finner den, fungerte ikke hypotesen.
2. Infrastrukturorientert strategi. Det er flere metoder for å bruke denne strategien. Avhengig av tilgang og synlighet er noen enklere enn andre. For eksempel overvåker vi domenenavnservere som er kjent for å være vert for ondsinnede domener. Eller vi går gjennom prosessen med å overvåke alle nye domenenavnregistreringer for et kjent mønster som brukes av en motstander.
3. Kompetansedrevet strategi. I tillegg til den offerfokuserte strategien som brukes av de fleste nettverksforsvarere, finnes det en mulighetsfokusert strategi. Det er den nest mest populære og fokuserer på å oppdage evner fra motstanderen, nemlig "skadelig programvare" og motstanderens evne til å bruke legitime verktøy som psexec, powershell, certutil og andre.
4. Fiendeorientert strategi. Den motstandssentriske tilnærmingen fokuserer på motstanderen selv. Dette inkluderer bruk av åpen informasjon fra offentlig tilgjengelige kilder (OSINT), innsamling av data om fienden, hans teknikker og metoder (TTP), analyse av tidligere hendelser, Threat Intelligence-data, etc.
Informasjonskilder og hypoteser i TH
Noen informasjonskilder for Threat Hunting
Det kan være mange informasjonskilder. En ideell analytiker bør kunne trekke ut informasjon fra alt som er rundt. Typiske kilder i nesten enhver infrastruktur vil være data fra sikkerhetsverktøy: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typiske informasjonskilder vil også være ulike indikatorer på kompromiss, Threat Intelligence-tjenester, CERT- og OSINT-data. I tillegg kan du bruke informasjon fra darknet (for eksempel er det plutselig en ordre om å hacke postkassen til lederen av en organisasjon, eller en kandidat til stillingen som nettverksingeniør har blitt utsatt for sin aktivitet), informasjon mottatt fra HR (anmeldelser av kandidaten fra et tidligere arbeidssted), informasjon fra sikkerhetstjenesten (for eksempel resultatene av verifisering av motparten).
Men før du bruker alle tilgjengelige kilder, er det nødvendig å ha minst én hypotese.
For å teste hypoteser må de først fremsettes. Og for å fremsette mange hypoteser av høy kvalitet, er det nødvendig å bruke en systematisk tilnærming. Prosessen med å generere hypoteser er beskrevet mer detaljert i, er det veldig praktisk å ta denne ordningen som grunnlag for prosessen med å fremsette hypoteser.
Hovedkilden til hypoteser vil være ATT&CK-matrise (motstridende taktikk, teknikker og felles kunnskap). Det er i hovedsak en kunnskapsbase og modell for å vurdere atferden til angripere som utfører sine aktiviteter i de siste trinnene av et angrep, vanligvis beskrevet ved hjelp av konseptet Kill Chain. Det vil si på stadiene etter at en angriper har penetrert det interne nettverket til en bedrift eller på en mobil enhet. Kunnskapsbasen inkluderte opprinnelig beskrivelser av 121 taktikker og teknikker brukt i angrep, som hver er beskrevet i detalj i Wiki-format. Ulike Threat Intelligence-analyser er godt egnet som kilde for å generere hypoteser. Spesielt bemerkelsesverdig er resultatene av infrastrukturanalyse og penetrasjonstester - dette er de mest verdifulle dataene som jernkledde hypoteser kan gi oss på grunn av det faktum at de er basert på en spesifikk infrastruktur med dens spesifikke mangler.
Hypotesetestingsprosess
Sergei Soldatov brakte med en detaljert beskrivelse av prosessen, illustrerer den prosessen med å teste TH-hypoteser i et enkelt system. Jeg vil indikere hovedstadiene med en kort beskrivelse.
Trinn 1: TI Farm
På dette stadiet er det nødvendig å markere gjenstander (ved å analysere dem sammen med alle trusseldata) og tildele dem etiketter for deres egenskaper. Disse er fil, URL, MD5, prosess, verktøy, hendelse. Når du sender dem gjennom Threat Intelligence-systemer, er det nødvendig å feste tagger. Det vil si at denne siden ble lagt merke til i CNC i et og annet år, denne MD5 var assosiert med slik og slik malware, denne MD5 ble lastet ned fra et nettsted som distribuerte skadelig programvare.
Trinn 2: Saker
På det andre trinnet ser vi på samspillet mellom disse objektene og identifiserer relasjonene mellom alle disse objektene. Vi får merkede systemer som gjør noe dårlig.
Trinn 3: Analytiker
På tredje trinn overføres saken til en erfaren analytiker som har lang erfaring med analyse, og han avsetter en dom. Han analyserer ned til bytene hva, hvor, hvordan, hvorfor og hvorfor denne koden gjør det. Denne kroppen var skadelig programvare, denne datamaskinen var infisert. Avslører forbindelser mellom objekter, sjekker resultatene av å kjøre gjennom sandkassen.
Resultatene av analytikerens arbeid overføres videre. Digital Forensics undersøker bilder, Malware Analysis undersøker "kroppene" som er funnet, og Incident Response-teamet kan gå til nettstedet og undersøke noe som allerede er der. Resultatet av arbeidet vil være en bekreftet hypotese, et identifisert angrep og måter å motvirke det på.
Resultater av
Threat Hunting er en ganske ung teknologi som effektivt kan motvirke tilpassede, nye og ikke-standardiserte trusler, som har store utsikter gitt det økende antallet slike trusler og den økende kompleksiteten til bedriftens infrastruktur. Det krever tre komponenter – data, verktøy og analytikere. Fordelene med Threat Hunting er ikke begrenset til å forhindre implementering av trusler. Ikke glem at vi under søkeprosessen dykker inn i infrastrukturen vår og dens svake punkter gjennom øynene til en sikkerhetsanalytiker og kan styrke disse punktene ytterligere.
De første trinnene som etter vår mening må tas for å starte TH-prosessen i din organisasjon.
- Ta vare på å beskytte endepunkter og nettverksinfrastruktur. Ta vare på synlighet (NetFlow) og kontroll (brannmur, IDS, IPS, DLP) av alle prosesser på nettverket ditt. Kjenn nettverket ditt fra edge-ruteren til den aller siste verten.
- Utforske.
- Gjennomfør regelmessige tester av minst viktige eksterne ressurser, analyser resultatene, identifiser hovedmålene for angrep og lukk deres sårbarheter.
- Implementer et åpen kildekode Threat Intelligence-system (for eksempel MISP, Yeti) og analyser logger i forbindelse med det.
- Implementer en hendelsesresponsplattform (IRP): R-Vision IRP, The Hive, sandkasse for å analysere mistenkelige filer (FortiSandbox, Cuckoo).
- Automatiser rutineprosesser. Analyse av logger, registrering av hendelser, informere personalet er et stort felt for automatisering.
- Lær å samhandle effektivt med ingeniører, utviklere og teknisk støtte for å samarbeide om hendelser.
- Dokumenter hele prosessen, nøkkelpunkter, oppnådde resultater for å komme tilbake til dem senere eller dele disse dataene med kolleger;
- Vær sosial: Vær oppmerksom på hva som skjer med dine ansatte, hvem du ansetter, og hvem du gir tilgang til organisasjonens informasjonsressurser.
- Hold deg oppdatert på trender innen nye trusler og beskyttelsesmetoder, øk nivået av teknisk kompetanse (inkludert i driften av IT-tjenester og delsystemer), delta på konferanser og kommuniser med kolleger.
Klar til å diskutere organiseringen av TH-prosessen i kommentarene.
Eller kom og jobb hos oss!
Kilder og materialer å studere
Kilde: www.habr.com