95% zagrożeń bezpieczeństwa informacji jest znanych i można się przed nimi chronić za pomocą tradycyjnych środków, takich jak programy antywirusowe, zapory ogniowe, IDS, WAF. Pozostałe 5% zagrożeń to zagrożenia nieznane i najbardziej niebezpieczne. Stanowią one 70% ryzyka dla firmy ze względu na to, że bardzo trudno je wykryć, a tym bardziej uchronić się przed nimi. Przykłady to epidemia oprogramowania ransomware WannaCry, NotPetya/ExPetr, kopacze kryptowalut, „broń cybernetyczna” Stuxnet (która uderzyła w irańskie obiekty nuklearne) i wiele (ktoś jeszcze pamięta Kido/Conficker?) innych ataków, przed którymi nie można zbyt dobrze bronić klasycznymi środkami bezpieczeństwa. Chcemy porozmawiać o tym, jak przeciwdziałać tym 5% zagrożeń przy użyciu technologii Threat Hunting.
Ciągła ewolucja cyberataków wymaga ciągłego wykrywania i środków zaradczych, co ostatecznie prowadzi nas do myślenia o niekończącym się wyścigu zbrojeń pomiędzy atakującymi i obrońcami. Klasyczne systemy bezpieczeństwa nie są już w stanie zapewnić akceptowalnego poziomu bezpieczeństwa, przy którym poziom ryzyka nie wpływa na kluczowe wskaźniki przedsiębiorstwa (ekonomiczne, polityczne, reputacyjne) bez modyfikacji ich pod kątem konkretnej infrastruktury, ale generalnie obejmują one część ryzyko. Już w procesie wdrażania i konfiguracji nowoczesne systemy bezpieczeństwa odnajdują się w roli nadrabiania zaległości i muszą odpowiadać wyzwaniom nowego czasu.
Technologia Threat Hunting może być jedną z odpowiedzi na wyzwania naszych czasów dla specjalisty ds. bezpieczeństwa informacji. Termin Threat Hunting (zwany dalej TH) pojawił się kilka lat temu. Sama technologia jest dość interesująca, ale nie ma jeszcze żadnych ogólnie przyjętych standardów i zasad. Sprawę komplikuje także niejednorodność źródeł informacji i niewielka liczba rosyjskojęzycznych źródeł informacji na ten temat. W związku z tym w LANIT-Integration postanowiliśmy napisać recenzję tej technologii.
Trafność
Technologia TH opiera się na procesach monitorowania infrastruktury.. Alertowanie (podobnie jak usługi MSSP) to tradycyjna metoda wyszukiwania opracowanych wcześniej sygnatur i oznak ataków oraz reagowania na nie. Ten scenariusz jest pomyślnie realizowany przez tradycyjne narzędzia ochrony oparte na sygnaturach. Hunting (usługa typu MDR) to metoda monitoringu, która odpowiada na pytanie „Skąd biorą się podpisy i reguły?” Jest to proces tworzenia reguł korelacji poprzez analizę ukrytych lub nieznanych wcześniej wskaźników i oznak ataku. Threat Hunting odnosi się do tego typu monitorowania.
Tylko łącząc oba rodzaje monitoringu uzyskujemy ochronę bliską ideału, jednak zawsze istnieje pewien poziom ryzyka szczątkowego.
Ochrona za pomocą dwóch rodzajów monitoringu
A oto dlaczego TH (i polowanie w ogóle!) będzie coraz bardziej istotne:
Zagrożenia, środki zaradcze, ryzyko.
. Należą do nich takie typy, jak spam, DDoS, wirusy, rootkity i inne klasyczne złośliwe oprogramowanie. Możesz chronić się przed tymi zagrożeniami, korzystając z tych samych klasycznych środków bezpieczeństwa.
Podczas realizacji dowolnego projektu, a pozostałe 20% pracy zajmuje 80% czasu. Podobnie w całym krajobrazie zagrożeń 5% nowych zagrożeń będzie stanowić 70% ryzyka dla firmy. W firmie, w której zorganizowane są procesy zarządzania bezpieczeństwem informacji, możemy w taki czy inny sposób zarządzać 30% ryzykiem realizacji znanych zagrożeń poprzez unikanie (w zasadzie odmowa udostępnienia sieci bezprzewodowych), akceptowanie (wdrażanie niezbędnych środków bezpieczeństwa) lub przesunięcie (na przykład na barki integratora) to ryzyko. Chroń się przed, ataki APT, phishing,, cyberszpiegostwo i operacje krajowe, a także duża liczba innych ataków są już znacznie trudniejsze. Konsekwencje tych 5% zagrożeń będą znacznie poważniejsze () niż skutki spamu czy wirusów, przed którymi chroni oprogramowanie antywirusowe.
Prawie każdy ma do czynienia z 5% zagrożeń. Niedawno musieliśmy zainstalować rozwiązanie typu open source, które wykorzystuje aplikację z repozytorium PEAR (PHP Extension and Application Repository). Próba zainstalowania tej aplikacji poprzez instalację gruszkową nie powiodła się, ponieważ był niedostępny (teraz jest na nim kod pośredniczący), musiałem go zainstalować z GitHuba. A niedawno okazało się, że ofiarą padła PEAR.
Czy nadal pamiętasz?, epidemia oprogramowania ransomware NePetya poprzez moduł aktualizacji programu do raportowania podatkowego. Zagrożenia stają się coraz bardziej wyrafinowane i pojawia się logiczne pytanie: „Jak możemy przeciwdziałać tym 5% zagrożeń?”
Definicja polowania na zagrożenia
Polowanie na zagrożenia to proces proaktywnego i iteracyjnego wyszukiwania oraz wykrywania zaawansowanych zagrożeń, których nie mogą wykryć tradycyjne narzędzia bezpieczeństwa. Zaawansowane zagrożenia obejmują na przykład ataki typu APT, ataki na luki typu 0-day, ataki typu Living off the Land i tak dalej.
Możemy również przeformułować, że TH to proces testowania hipotez. Jest to proces w przeważającej mierze ręczny, z elementami automatyzacji, w którym analityk, opierając się na swojej wiedzy i umiejętnościach, przesiewa duże wolumeny informacji w poszukiwaniu oznak kompromisu odpowiadających wstępnie ustalonej hipotezie o istnieniu określonego zagrożenia. Cechą wyróżniającą jest różnorodność źródeł informacji.
Należy zauważyć, że Threat Hunting nie jest jakimś oprogramowaniem ani produktem sprzętowym. Nie są to alerty, które można zobaczyć w jakimś rozwiązaniu. To nie jest proces wyszukiwania IOC (identyfikatorów kompromisu). I nie jest to jakaś bierna działalność, która odbywa się bez udziału analityków bezpieczeństwa informacji. Threat Hunting to przede wszystkim proces.
Elementy polowania na zagrożenia
Trzy główne elementy Threat Hunting: dane, technologia, ludzie.
Dane (co?), w tym Big Data. Wszelkiego rodzaju przepływy ruchu, informacje o poprzednich APT, analityka, dane o aktywności użytkowników, dane sieciowe, informacje od pracowników, informacje o darknecie i wiele więcej.
Technologie (jak?) przetwarzanie tych danych – wszystkie możliwe sposoby przetwarzania tych danych, w tym Machine Learning.
Ludzie, którzy?) – tych, którzy mają duże doświadczenie w analizie różnych ataków, rozwiniętą intuicję i umiejętność wykrycia ataku. Zazwyczaj są to analitycy bezpieczeństwa informacji, którzy muszą posiadać umiejętność generowania hipotez i znajdowania dla nich potwierdzenia. To oni są głównym ogniwem tego procesu.
Model PARYŻ
Adama Batemana Model PARIS dla idealnego procesu TH. Nazwa nawiązuje do słynnego zabytku we Francji. Model ten można oglądać w dwóch kierunkach - z góry i z dołu.
Przeglądając model od dołu do góry, natkniemy się na wiele dowodów złośliwej aktywności. Każdy dowód ma miarę zwaną pewnością siebie – cechę, która odzwierciedla wagę tego dowodu. Istnieje „żelazny”, bezpośredni dowód złośliwej działalności, według którego możemy od razu dotrzeć na szczyt piramidy i stworzyć rzeczywisty alert o dokładnie znanej infekcji. Istnieją dowody pośrednie, których suma może również doprowadzić nas na szczyt piramidy. Jak zawsze dowodów pośrednich jest znacznie więcej niż bezpośrednich, co oznacza, że należy je posortować i przeanalizować, przeprowadzić dodatkowe badania i wskazane jest zautomatyzowanie ich.
Model PARYŻ.
Górna część modelu (1 i 2) opiera się na technologiach automatyzacji i różnorodnej analityce, a dolna część (3 i 4) opiera się na osobach posiadających określone kwalifikacje, które zarządzają procesem. Można rozważyć model przesuwający się z góry na dół, gdzie w górnej części koloru niebieskiego mamy alerty z tradycyjnych narzędzi bezpieczeństwa (antywirus, EDR, firewall, sygnatury) z dużym stopniem pewności i zaufania, a poniżej znajdują się wskaźniki ( IOC, URL, MD5 i inne), które mają niższy stopień pewności i wymagają dodatkowych badań. Natomiast najniższy i najgrubszy poziom (4) to generowanie hipotez, tworzenie nowych scenariuszy działania tradycyjnych środków ochrony. Poziom ten nie ogranicza się jedynie do określonych źródeł hipotez. Im niższy poziom, tym większe wymagania stawiane kwalifikacjom analityka.
Bardzo ważne jest, aby analitycy nie testowali po prostu skończonego zestawu z góry ustalonych hipotez, ale stale pracowali nad wygenerowaniem nowych hipotez i opcji ich testowania.
Model dojrzałości użytkowania TH
W idealnym świecie TH jest procesem ciągłym. Ale ponieważ nie ma idealnego świata, przeanalizujmy i metody w zakresie stosowanych ludzi, procesów i technologii. Rozważmy model idealnego sferycznego TH. Istnieje 5 poziomów wykorzystania tej technologii. Przyjrzyjmy się im na przykładzie ewolucji pojedynczego zespołu analityków.
Poziomy dojrzałości
ludzie
Procesy
Technologia
Poziom 0
Analitycy SOC
24/7
Tradycyjne instrumenty:
Tradycyjny
Zestaw alertów
Monitorowanie pasywne
IDS, AV, piaskownica,
Bez TH
Praca z alertami
Narzędzia do analizy sygnatur, dane Threat Intelligence.
Poziom 1
Analitycy SOC
Jednorazowe TH
EDR
Eksperymentalny
Podstawowa wiedza z zakresu medycyny sądowej
Wyszukiwanie MKOl
Częściowe pokrycie danych z urządzeń sieciowych
Eksperymenty z TH
Dobra znajomość sieci i aplikacji
Częściowe zastosowanie
Poziom 2
Zajęcie tymczasowe
Sprinty
EDR
Okresowy
Przeciętna wiedza z zakresu medycyny sądowej
Tydzień po miesiącu
Pełna aplikacja
Tymczasowe TH
Doskonała znajomość sieci i aplikacji
Regularne TH
Pełna automatyzacja wykorzystania danych EDR
Częściowe wykorzystanie zaawansowanych możliwości EDR
Poziom 3
Dedykowane polecenie TH
24/7
Częściowa możliwość testowania hipotez TH
Zapobiegawczy
Doskonała znajomość medycyny sądowej i złośliwego oprogramowania
Zapobiegawcze TH
Pełne wykorzystanie zaawansowanych możliwości EDR
Przypadki specjalne TH
Doskonała znajomość strony atakującej
Przypadki specjalne TH
Pełne pokrycie danych z urządzeń sieciowych
Konfiguracja dostosowana do Twoich potrzeb
Poziom 4
Dedykowane polecenie TH
24/7
Pełna możliwość testowania hipotez TH
Prowadzący
Doskonała znajomość medycyny sądowej i złośliwego oprogramowania
Zapobiegawcze TH
Poziom 3 oraz:
Korzystanie z TH
Doskonała znajomość strony atakującej
Testowanie, automatyzacja i weryfikacja hipotez TH
ścisła integracja źródeł danych;
Zdolność badawcza
rozwój zgodnie z potrzebami i niestandardowym wykorzystaniem API.
Poziomy dojrzałości TH według ludzi, procesów i technologii
Poziom 0: tradycyjny, bez użycia TH. Stali analitycy pracują ze standardowym zestawem alertów w trybie pasywnego monitorowania, korzystając ze standardowych narzędzi i technologii: IDS, AV, sandbox, narzędzia do analizy sygnatur.
Poziom 1: eksperymentalnie, używając TH. Ci sami analitycy posiadający podstawową wiedzę z zakresu kryminalistyki oraz dobrą znajomość sieci i aplikacji mogą przeprowadzić jednorazowe Threat Hunting w poszukiwaniu wskaźników kompromisu. Do narzędzi dodawane są EDRy z częściowym pokryciem danych z urządzeń sieciowych. Narzędzia są częściowo używane.
Poziom 2: okresowe, tymczasowe TH. Ci sami analitycy, którzy już pogłębili swoją wiedzę z zakresu kryminalistyki, sieci i części aplikacyjnej, muszą regularnie angażować się w Threat Hunting (sprint), powiedzmy raz w tygodniu. Narzędzia dodają pełną eksplorację danych z urządzeń sieciowych, automatyzację analizy danych z EDR i częściowe wykorzystanie zaawansowanych możliwości EDR.
Poziom 3: zapobiegawcze, częste przypadki TH. Nasi analitycy zorganizowali się w dedykowany zespół i zaczęli posiadać doskonałą wiedzę z zakresu kryminalistyki i złośliwego oprogramowania, a także wiedzę na temat metod i taktyki strony atakującej. Proces jest już realizowany 24 godziny na dobę, 7 dni w tygodniu. Zespół jest w stanie częściowo przetestować hipotezy TH, w pełni wykorzystując zaawansowane możliwości EDR z pełnym pokryciem danych z urządzeń sieciowych. Analitycy mają także możliwość skonfigurowania narzędzi pod swoje potrzeby.
Poziom 4: high-end, użyj TH. Ten sam zespół nabył umiejętność prowadzenia badań, możliwość generowania i automatyzacji procesu testowania hipotez TH. Obecnie narzędzia zostały uzupełnione o ścisłą integrację źródeł danych, rozwój oprogramowania na potrzeby oraz niestandardowe wykorzystanie API.
Techniki polowania na zagrożenia
Podstawowe techniki polowania na zagrożenia
К TH, w zależności od dojrzałości stosowanej technologii, to: wyszukiwanie podstawowe, analiza statystyczna, techniki wizualizacji, proste agregacje, uczenie maszynowe i metody Bayesa.
Najprostsza metoda, czyli wyszukiwanie podstawowe, służy do zawężenia obszaru badań za pomocą konkretnych zapytań. Analiza statystyczna służy na przykład do konstruowania typowej aktywności użytkownika lub sieci w postaci modelu statystycznego. Techniki wizualizacji służą do wizualnego przedstawienia i uproszczenia analizy danych w postaci wykresów i wykresów, co znacznie ułatwia dostrzeżenie prawidłowości w próbce. Technika prostych agregacji według kluczowych pól służy do optymalizacji wyszukiwania i analizy. Im bardziej dojrzały jest proces TH w organizacji, tym trafniejsze staje się wykorzystanie algorytmów uczenia maszynowego. Są również szeroko stosowane w filtrowaniu spamu, wykrywaniu złośliwego ruchu i wykrywaniu oszukańczych działań. Bardziej zaawansowanym typem algorytmu uczenia maszynowego są metody bayesowskie, które pozwalają na klasyfikację, redukcję wielkości próby i modelowanie tematyczne.
Model diamentu i strategie TH
Sergio Caltagiron, Andrew Pendegast i Christopher Betz w swojej pracy”» pokazał główne kluczowe elementy każdej szkodliwej aktywności i podstawowe powiązania między nimi.
Diamentowy model szkodliwej aktywności
Według tego modelu istnieją 4 strategie Threat Hunting, które opierają się na odpowiednich kluczowych komponentach.
1. Strategia zorientowana na ofiarę. Zakładamy, że ofiara ma przeciwników i oni dostarczą „możliwości” za pośrednictwem poczty elektronicznej. Szukamy danych wroga w poczcie. Wyszukaj linki, załączniki itp. Potwierdzenia tej hipotezy szukamy przez pewien okres czasu (miesiąc, dwa tygodnie), jeśli go nie znajdziemy, to hipoteza nie zadziałała.
2. Strategia zorientowana na infrastrukturę. Istnieje kilka metod stosowania tej strategii. W zależności od dostępu i widoczności niektóre są łatwiejsze niż inne. Na przykład monitorujemy serwery nazw domen, o których wiadomo, że hostują złośliwe domeny. Lub przechodzimy przez proces monitorowania wszystkich nowych rejestracji nazw domen pod kątem znanego wzorca stosowanego przez przeciwnika.
3. Strategia oparta na możliwościach. Oprócz strategii skoncentrowanej na ofierze, stosowanej przez większość obrońców sieci, istnieje strategia skoncentrowana na możliwościach. Jest to drugi pod względem popularności i koncentruje się na wykrywaniu możliwości przeciwnika, a mianowicie „malware” i jego zdolności do korzystania z legalnych narzędzi, takich jak psexec, powershell, certutil i inne.
4. Strategia zorientowana na wroga. Podejście skoncentrowane na przeciwniku koncentruje się na samym przeciwniku. Obejmuje to wykorzystanie jawnej informacji z publicznie dostępnych źródeł (OSINT), gromadzenie danych o wrogu, jego technikach i metodach (TTP), analizę poprzednich incydentów, dane Threat Intelligence itp.
Źródła informacji i hipotezy w TH
Niektóre źródła informacji na temat Threat Hunting
Źródeł informacji może być wiele. Idealny analityk powinien potrafić wydobywać informacje ze wszystkiego, co go otacza. Typowymi źródłami w niemal każdej infrastrukturze będą dane z narzędzi bezpieczeństwa: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typowymi źródłami informacji będą także różne wskaźniki naruszenia, usługi Threat Intelligence, dane CERT i OSINT. Dodatkowo możesz wykorzystać informacje z darknetu (np. nagle pojawia się rozkaz włamania się do skrzynki pocztowej szefa organizacji lub kandydat na stanowisko inżyniera sieci został zdemaskowany za swoją działalnością), informacje otrzymane od HR (opinie kandydata z poprzedniego miejsca pracy), informacje od ochrony (np. wyniki weryfikacji kontrahenta).
Zanim jednak skorzystamy ze wszystkich dostępnych źródeł, konieczne jest posiadanie przynajmniej jednej hipotezy.
Aby przetestować hipotezy, należy je najpierw postawić. Aby postawić wiele hipotez wysokiej jakości, konieczne jest zastosowanie podejścia systematycznego. Proces generowania hipotez szerzej opisano w, bardzo wygodnie jest przyjąć ten schemat jako podstawę w procesie stawiania hipotez.
Głównym źródłem hipotez będzie Macierz ATT&CK (Taktyka kontradyktoryjna, techniki i wiedza powszechna). Jest to w istocie baza wiedzy i model oceny zachowania atakujących, którzy realizują swoje działania w ostatnich etapach ataku, zwykle opisywanego przy użyciu koncepcji Kill Chain. Oznacza to, że na etapach po przedostaniu się atakującego do wewnętrznej sieci przedsiębiorstwa lub na urządzenie mobilne. Baza wiedzy pierwotnie zawierała opisy 121 taktyk i technik stosowanych w ataku, z których każda jest szczegółowo opisana w formacie Wiki. Różne analizy Threat Intelligence doskonale nadają się jako źródło do generowania hipotez. Na szczególną uwagę zasługują wyniki analiz infrastruktury oraz testów penetracyjnych – to najcenniejsze dane, które mogą stawiać pewne hipotezy ze względu na to, że opierają się one na konkretnej infrastrukturze z jej specyficznymi mankamentami.
Proces testowania hipotez
Przyprowadził Siergiej Sołdatow wraz ze szczegółowym opisem procesu ilustruje proces testowania hipotez TH w jednym systemie. Wskażę główne etapy wraz z krótkim opisem.
Etap 1: Farma TI
Na tym etapie należy podkreślić przedmioty (analizując je łącznie ze wszystkimi danymi o zagrożeniach) i przypisując im etykiety ze względu na ich charakterystykę. Są to plik, adres URL, MD5, proces, narzędzie, zdarzenie. Podczas przepuszczania ich przez systemy Threat Intelligence konieczne jest dołączenie tagów. Oznacza to, że ta witryna została zauważona w CNC w takim a takim roku, to MD5 zostało powiązane z takim a takim złośliwym oprogramowaniem, to MD5 zostało pobrane ze strony, która rozpowszechniała złośliwe oprogramowanie.
Etap 2: Sprawy
W drugim etapie przyglądamy się interakcjom między tymi obiektami i identyfikujemy relacje między wszystkimi tymi obiektami. Dostajemy oznaczone systemy, które robią coś złego.
Etap 3: Analityk
W trzecim etapie sprawa zostaje przekazana doświadczonemu analitykowi posiadającemu duże doświadczenie w analizach i to on wydaje werdykt. Analizuje co, gdzie, jak, dlaczego i dlaczego ten kod robi. To ciało było złośliwym oprogramowaniem, ten komputer został zainfekowany. Odkrywa powiązania pomiędzy obiektami, sprawdza efekty przejścia przez piaskownicę.
Wyniki pracy analityka przekazywane są dalej. Digital Forensics bada obrazy, Malware Analysis bada znalezione „ciała”, a zespół reagowania na incydenty może udać się na miejsce i zbadać coś, co już tam jest. Efektem pracy będzie potwierdzona hipoteza, zidentyfikowany atak i sposoby jego przeciwdziałania.
Wyniki
Threat Hunting to dość młoda technologia, która potrafi skutecznie przeciwdziałać niestandardowym, nowym i niestandardowym zagrożeniom, co ma ogromne perspektywy, biorąc pod uwagę rosnącą liczbę tego typu zagrożeń i rosnącą złożoność infrastruktury korporacyjnej. Wymaga trzech komponentów – danych, narzędzi i analityków. Korzyści z Threat Hunting nie ograniczają się do zapobiegania realizacji zagrożeń. Nie zapominaj, że podczas procesu wyszukiwania przyglądamy się naszej infrastrukturze i jej słabym punktom oczami analityka bezpieczeństwa i możemy jeszcze bardziej wzmocnić te punkty.
Pierwsze kroki, które naszym zdaniem należy podjąć, aby rozpocząć proces TH w Twojej organizacji.
- Zadbaj o ochronę punktów końcowych i infrastruktury sieciowej. Zadbaj o widoczność (NetFlow) i kontrolę (firewall, IDS, IPS, DLP) wszystkich procesów w Twojej sieci. Poznaj swoją sieć od routera brzegowego do ostatniego hosta.
- Badać.
- Przeprowadzaj regularne pentesty przynajmniej kluczowych zasobów zewnętrznych, analizuj ich wyniki, identyfikuj główne cele ataku i eliminuj ich podatności.
- Wdróż system Threat Intelligence typu open source (na przykład MISP, Yeti) i analizuj w powiązaniu z nim logi.
- Wdrożyj platformę reagowania na incydenty (IRP): R-Vision IRP, The Hive, sandbox do analizy podejrzanych plików (FortiSandbox, Cuckoo).
- Automatyzuj rutynowe procesy. Analiza logów, rejestracja zdarzeń, informowanie personelu to ogromne pole do automatyzacji.
- Naucz się skutecznie współdziałać z inżynierami, programistami i pomocą techniczną, aby współpracować przy incydentach.
- Dokumentuj cały proces, kluczowe punkty, osiągnięte wyniki, aby móc do nich później wrócić lub podzielić się tymi danymi ze współpracownikami;
- Bądź towarzyski: bądź świadomy tego, co dzieje się z Twoimi pracownikami, kogo zatrudniasz i komu dajesz dostęp do zasobów informacyjnych organizacji.
- Bądź na bieżąco z trendami w zakresie nowych zagrożeń i metod ochrony, podnoś swój poziom wiedzy technicznej (m.in. w zakresie obsługi usług i podsystemów IT), uczęszczaj na konferencje i komunikuj się ze współpracownikami.
Gotowi do omówienia organizacji procesu TH w komentarzach.
Lub przyjdź pracować z nami!
Źródła i materiały do studiowania
Źródło: www.habr.com