95% das ameaças à segurança da informação são conhecidas e você pode se proteger delas usando meios tradicionais, como antivírus, firewalls, IDS, WAF. Os restantes 5% das ameaças são desconhecidos e os mais perigosos. Constituem 70% do risco para uma empresa devido ao facto de ser muito difícil detectá-los e muito menos protegê-los. Exemplos são a epidemia de ransomware WannaCry, NotPetya/ExPetr, criptomineradores, a “arma cibernética” Stuxnet (que atingiu as instalações nucleares do Irão) e muitos (alguém mais se lembra do Kido/Conficker?) outros ataques que não são muito bem defendidos com medidas de segurança clássicas. Queremos falar sobre como combater esses 5% de ameaças usando a tecnologia Threat Hunting.
A evolução contínua dos ataques cibernéticos exige detecções e contramedidas constantes, o que acaba por nos levar a pensar numa corrida armamentista sem fim entre atacantes e defensores. Os sistemas de segurança clássicos já não são capazes de fornecer um nível de segurança aceitável, no qual o nível de risco não afeta os principais indicadores da empresa (econômicos, políticos, reputação) sem modificá-los para uma infraestrutura específica, mas em geral cobrem alguns dos os riscos. Já em processo de implementação e configuração, os sistemas de segurança modernos encontram-se no papel de recuperar o atraso e devem responder aos desafios dos novos tempos.
A tecnologia Threat Hunting pode ser uma das respostas aos desafios do nosso tempo para um especialista em segurança da informação. O termo Threat Hunting (doravante denominado TH) surgiu há vários anos. A tecnologia em si é bastante interessante, mas ainda não possui padrões e regras geralmente aceitos. A questão também é complicada pela heterogeneidade das fontes de informação e pelo pequeno número de fontes de informação em língua russa sobre este tema. A este respeito, nós da LANIT-Integration decidimos escrever uma revisão desta tecnologia.
Relevância
A tecnologia TH depende de processos de monitoramento de infraestrutura.. O alerta (semelhante aos serviços MSSP) é um método tradicional de busca de assinaturas e sinais de ataques previamente desenvolvidos e de resposta a eles. Este cenário é executado com sucesso por ferramentas tradicionais de proteção baseadas em assinaturas. Hunting (serviço do tipo MDR) é um método de monitoramento que responde à pergunta “De onde vêm as assinaturas e regras?” É o processo de criação de regras de correlação por meio da análise de indicadores e sinais de ataque ocultos ou previamente desconhecidos. Threat Hunting refere-se a esse tipo de monitoramento.
Só combinando os dois tipos de monitorização conseguimos uma proteção próxima do ideal, mas existe sempre um certo nível de risco residual.
Proteção usando dois tipos de monitoramento
E é por isso que o TH (e a caça na sua totalidade!) se tornará cada vez mais relevante:
Ameaças, soluções, riscos.
. Isso inclui tipos como spam, DDoS, vírus, rootkits e outros malwares clássicos. Você pode se proteger dessas ameaças usando as mesmas medidas clássicas de segurança.
Durante a implementação de qualquer projeto, e os 20% restantes do trabalho ocupam 80% do tempo. Da mesma forma, em todo o cenário de ameaças, 5% das novas ameaças representarão 70% do risco para uma empresa. Numa empresa onde os processos de gestão da segurança da informação estão organizados, podemos gerir 30% do risco de implementação de ameaças conhecidas de uma forma ou de outra, evitando (recusa de redes sem fios em princípio), aceitando (implementando as medidas de segurança necessárias) ou mudando (por exemplo, sobre os ombros de um integrador) esse risco. Proteja-se de, ataques APT, phishing,, a espionagem cibernética e as operações nacionais, bem como um grande número de outros ataques já são muito mais difíceis. As consequências destes 5% de ameaças serão muito mais graves () do que as consequências de spam ou vírus, dos quais o software antivírus salva.
Quase todo mundo tem que lidar com 5% das ameaças. Recentemente tivemos que instalar uma solução de código aberto que usa um aplicativo do repositório PEAR (PHP Extension and Application Repository). Uma tentativa de instalar este aplicativo via pear install falhou porque não estava disponível (agora há um esboço sobre ele), tive que instalá-lo no GitHub. E recentemente descobriu-se que PEAR se tornou uma vítima.
Você ainda pode se lembrar, uma epidemia do ransomware NePetya por meio de um módulo de atualização para um programa de relatórios fiscais. As ameaças estão a tornar-se cada vez mais sofisticadas e surge a questão lógica: “Como podemos combater estes 5% de ameaças?”
Definição de caça a ameaças
Portanto, Threat Hunting é o processo de busca e detecção proativa e iterativa de ameaças avançadas que não podem ser detectadas pelas ferramentas de segurança tradicionais. As ameaças avançadas incluem, por exemplo, ataques como APT, ataques a vulnerabilidades de dia 0, Living off the Land e assim por diante.
Também podemos reformular que TH é o processo de testar hipóteses. Trata-se de um processo predominantemente manual com elementos de automação, no qual o analista, contando com seus conhecimentos e habilidades, peneira grandes volumes de informações em busca de indícios de compromisso que correspondam à hipótese inicialmente determinada sobre a presença de determinada ameaça. Sua característica distintiva é a variedade de fontes de informação.
Deve-se observar que o Threat Hunting não é algum tipo de produto de software ou hardware. Estes não são alertas que podem ser vistos em alguma solução. Este não é um processo de busca de IOC (Identificadores de Compromisso). E esta não é uma atividade passiva que ocorre sem a participação de analistas de segurança da informação. A caça a ameaças é antes de tudo um processo.
Componentes da caça a ameaças
Três componentes principais do Threat Hunting: dados, tecnologia e pessoas.
Dados (o quê?), incluindo Big Data. Todos os tipos de fluxos de tráfego, informações sobre APTs anteriores, análises, dados sobre a atividade do usuário, dados de rede, informações de funcionários, informações sobre a darknet e muito mais.
Tecnologias (como?) processamento desses dados - todas as formas possíveis de processamento desses dados, incluindo aprendizado de máquina.
Pessoas que?) – aqueles que possuem vasta experiência na análise de diversos ataques, desenvolveram intuição e capacidade de detectar um ataque. Normalmente são analistas de segurança da informação que devem ter a capacidade de gerar hipóteses e encontrar confirmação para elas. Eles são o principal elo do processo.
Modelo PARIS
Adam Bateman Modelo PARIS para o processo TH ideal. O nome alude a um marco famoso na França. Este modelo pode ser visto em duas direções - de cima e de baixo.
À medida que avançamos no modelo de baixo para cima, encontraremos muitas evidências de atividades maliciosas. Cada evidência possui uma medida chamada confiança – uma característica que reflete o peso dessa evidência. Existe “ferro”, evidência direta de atividade maliciosa, segundo a qual podemos chegar imediatamente ao topo da pirâmide e criar um alerta real sobre uma infecção precisamente conhecida. E há evidências indiretas, cuja soma também pode nos levar ao topo da pirâmide. Como sempre, há muito mais evidências indiretas do que diretas, o que significa que elas precisam ser classificadas e analisadas, pesquisas adicionais devem ser realizadas e é aconselhável automatizar isso.
Modelo PARIS.
A parte superior do modelo (1 e 2) é baseada em tecnologias de automação e diversas análises, e a parte inferior (3 e 4) é baseada em pessoas com determinadas qualificações que gerenciam o processo. Você pode considerar o modelo movendo-se de cima para baixo, onde na parte superior da cor azul temos alertas de ferramentas de segurança tradicionais (antivírus, EDR, firewall, assinaturas) com alto grau de segurança e confiança, e abaixo estão indicadores ( IOC, URL, MD5 e outros), que apresentam menor grau de certeza e requerem estudo adicional. E o nível mais baixo e mais espesso (4) é a geração de hipóteses, a criação de novos cenários para o funcionamento dos meios tradicionais de proteção. Este nível não se limita apenas às fontes especificadas de hipóteses. Quanto mais baixo o nível, mais exigências são impostas às qualificações do analista.
É muito importante que os analistas não testem simplesmente um conjunto finito de hipóteses predeterminadas, mas trabalhem constantemente para gerar novas hipóteses e opções para testá-las.
Modelo de maturidade de uso de TH
Num mundo ideal, a TH é um processo contínuo. Mas, como não existe um mundo ideal, vamos analisar e métodos em termos de pessoas, processos e tecnologias utilizadas. Consideremos um modelo de TH esférico ideal. Existem 5 níveis de uso desta tecnologia. Vejamos eles usando o exemplo da evolução de uma única equipe de analistas.
Níveis de maturidade
Pessoas
Процессы
Tecnologia
Nível 0
Analistas SOC
24/7
Instrumentos tradicionais:
Tradicional
Conjunto de alertas
Monitoramento passivo
IDS, AV, sandbox,
Sem TH
Trabalhando com alertas
Ferramentas de análise de assinatura, dados de Threat Intelligence.
Nível 1
Analistas SOC
TH único
EDR
Experimental
Conhecimento básico de ciência forense
Pesquisa do COI
Cobertura parcial de dados de dispositivos de rede
Experimentos com TH
Bons conhecimentos de redes e aplicações
Aplicação parcial
Nível 2
Ocupação temporária
Corrida
EDR
periódico
Conhecimento médio de ciência forense
Semana a mês
Aplicação completa
TH temporário
Excelente conhecimento de redes e aplicações
TH normal
Automação total do uso de dados EDR
Uso parcial de recursos avançados de EDR
Nível 3
Comando TH dedicado
24/7
Capacidade parcial de testar hipóteses TH
Proativo
Excelente conhecimento de análise forense e malware
TH preventivo
Uso total de recursos avançados de EDR
Casos especiais TH
Excelente conhecimento do lado atacante
Casos especiais TH
Cobertura total de dados de dispositivos de rede
Configuração para atender às suas necessidades
Nível 4
Comando TH dedicado
24/7
Capacidade total de testar hipóteses de TH
Líder
Excelente conhecimento de análise forense e malware
TH preventivo
Nível 3, mais:
Usando TH
Excelente conhecimento do lado atacante
Teste, automação e verificação de hipóteses TH
forte integração de fontes de dados;
Capacidade de pesquisa
desenvolvimento de acordo com as necessidades e uso não padronizado de API.
Níveis de maturidade de TH por pessoas, processos e tecnologias
Nível 0: tradicional, sem usar TH. Analistas regulares trabalham com um conjunto padrão de alertas no modo de monitoramento passivo usando ferramentas e tecnologias padrão: IDS, AV, sandbox, ferramentas de análise de assinatura.
Nível 1: experimental, usando TH. Os mesmos analistas com conhecimento básico de análise forense e bom conhecimento de redes e aplicações podem realizar uma caça a ameaças única, buscando indicadores de comprometimento. EDRs são adicionados às ferramentas com cobertura parcial de dados de dispositivos de rede. As ferramentas são parcialmente utilizadas.
Nível 2: TH periódico e temporário. Os mesmos analistas que já atualizaram seus conhecimentos em análise forense, redes e parte de aplicação são obrigados a participar regularmente de Threat Hunting (sprint), digamos, uma semana por mês. As ferramentas adicionam exploração completa de dados de dispositivos de rede, automação da análise de dados de EDR e uso parcial de recursos avançados de EDR.
Nível 3: casos preventivos e frequentes de TH. Nossos analistas se organizaram em uma equipe dedicada e passaram a ter excelentes conhecimentos de análise forense e malware, bem como conhecimento dos métodos e táticas do lado atacante. O processo já é realizado 24 horas por dia, 7 dias por semana. A equipe é capaz de testar parcialmente as hipóteses de TH enquanto aproveita totalmente os recursos avançados de EDR com cobertura total de dados de dispositivos de rede. Os analistas também podem configurar ferramentas para atender às suas necessidades.
Nível 4: sofisticado, use TH. A mesma equipe adquiriu a capacidade de pesquisar, a capacidade de gerar e automatizar o processo de teste de hipóteses de TH. Agora as ferramentas foram complementadas por uma estreita integração de fontes de dados, desenvolvimento de software para atender às necessidades e uso não padronizado de APIs.
Técnicas de caça a ameaças
Técnicas básicas de caça a ameaças
К Os TH, por ordem de maturidade da tecnologia utilizada, são: busca básica, análise estatística, técnicas de visualização, agregações simples, aprendizado de máquina e métodos bayesianos.
O método mais simples, uma pesquisa básica, é usado para restringir a área de pesquisa por meio de consultas específicas. A análise estatística é usada, por exemplo, para construir atividades típicas de usuários ou redes na forma de um modelo estatístico. Técnicas de visualização são usadas para exibir visualmente e simplificar a análise de dados na forma de gráficos e tabelas, o que torna muito mais fácil discernir padrões na amostra. A técnica de agregações simples por campos-chave é usada para otimizar a pesquisa e a análise. Quanto mais maduro o processo de TH de uma organização atinge, mais relevante se torna o uso de algoritmos de aprendizado de máquina. Eles também são amplamente utilizados na filtragem de spam, detecção de tráfego malicioso e detecção de atividades fraudulentas. Um tipo mais avançado de algoritmo de aprendizado de máquina são os métodos Bayesianos, que permitem classificação, redução do tamanho da amostra e modelagem de tópicos.
Modelo Diamante e Estratégias TH
Sergio Caltagiron, Andrew Pendegast e Christopher Betz em seu trabalho "» mostrou os principais componentes de qualquer atividade maliciosa e a conexão básica entre eles.
Modelo diamante para atividades maliciosas
De acordo com este modelo, existem 4 estratégias de Threat Hunting, que se baseiam nos componentes-chave correspondentes.
1. Estratégia orientada para a vítima. Presumimos que a vítima tem oponentes e eles entregarão “oportunidades” por e-mail. Estamos procurando dados do inimigo pelo correio. Pesquise links, anexos, etc. Procuramos a confirmação desta hipótese durante um determinado período de tempo (um mês, duas semanas), se não encontrarmos é porque a hipótese não funcionou.
2. Estratégia orientada para infra-estruturas. Existem vários métodos para usar esta estratégia. Dependendo do acesso e da visibilidade, alguns são mais fáceis que outros. Por exemplo, monitoramos servidores de nomes de domínio conhecidos por hospedar domínios maliciosos. Ou passamos pelo processo de monitorar todos os novos registros de nomes de domínio em busca de um padrão conhecido usado por um adversário.
3. Estratégia orientada para as capacidades. Além da estratégia focada nas vítimas utilizada pela maioria dos defensores da rede, existe uma estratégia focada nas oportunidades. É o segundo mais popular e centra-se na detecção de capacidades do adversário, nomeadamente “malware” e a capacidade do adversário utilizar ferramentas legítimas como psexec, powershell, certutil e outras.
4. Estratégia orientada para o inimigo. A abordagem centrada no adversário concentra-se no próprio adversário. Isto inclui o uso de informações abertas de fontes publicamente disponíveis (OSINT), coleta de dados sobre o inimigo, suas técnicas e métodos (TTP), análise de incidentes anteriores, dados de Inteligência de Ameaças, etc.
Fontes de informação e hipóteses em TH
Algumas fontes de informação para Threat Hunting
Pode haver muitas fontes de informação. Um analista ideal deveria ser capaz de extrair informações de tudo o que está ao seu redor. As fontes típicas em quase todas as infraestruturas serão dados de ferramentas de segurança: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Além disso, as fontes típicas de informação serão vários indicadores de comprometimento, serviços de Inteligência de Ameaças, dados CERT e OSINT. Além disso, você pode usar informações da darknet (por exemplo, de repente, há uma ordem para hackear a caixa de correio do chefe de uma organização, ou um candidato ao cargo de engenheiro de rede foi exposto por suas atividades), informações recebidas de RH (avaliações do candidato de um local de trabalho anterior), informações do serviço de segurança (por exemplo, os resultados da verificação da contraparte).
Mas antes de utilizar todas as fontes disponíveis, é necessário ter pelo menos uma hipótese.
Para testar hipóteses, elas devem primeiro ser apresentadas. E para apresentar muitas hipóteses de qualidade, é necessário aplicar uma abordagem sistemática. O processo de geração de hipóteses é descrito com mais detalhes em, é muito conveniente tomar este esquema como base para o processo de apresentação de hipóteses.
A principal fonte de hipóteses será Matriz ATT&CK (Táticas Adversárias, Técnicas e Conhecimento Comum). É, em essência, uma base de conhecimento e modelo para avaliar o comportamento dos atacantes que realizam suas atividades nas últimas etapas de um ataque, geralmente descritas utilizando o conceito de Kill Chain. Ou seja, nos estágios posteriores à penetração de um invasor na rede interna de uma empresa ou em um dispositivo móvel. A base de conhecimento incluía originalmente descrições de 121 táticas e técnicas usadas no ataque, cada uma delas descrita detalhadamente no formato Wiki. Várias análises de Threat Intelligence são adequadas como fonte para gerar hipóteses. Dignos de nota são os resultados da análise de infraestrutura e dos testes de penetração - estes são os dados mais valiosos que podem nos dar hipóteses sólidas devido ao facto de se basearem numa infraestrutura específica com as suas deficiências específicas.
Processo de teste de hipóteses
Sergei Soldatov trouxe com uma descrição detalhada do processo, ilustra o processo de teste de hipóteses de TH em um único sistema. Indicarei as principais etapas com uma breve descrição.
Etapa 1: Fazenda TI
Nesta fase é necessário destacar objetos (analisando-os juntamente com todos os dados de ameaças) e atribuindo-lhes rótulos de acordo com suas características. São arquivos, URL, MD5, processo, utilitário, evento. Ao passá-los pelos sistemas de Threat Intelligence, é necessário anexar tags. Ou seja, esse site foi notado no CNC em tal e tal ano, esse MD5 foi associado a tal e tal malware, esse MD5 foi baixado de um site que distribuía malware.
Etapa 2: Casos
Na segunda etapa, observamos a interação entre esses objetos e identificamos as relações entre todos esses objetos. Temos sistemas marcados que fazem algo ruim.
Etapa 3: Analista
Na terceira etapa, o caso é transferido para um analista experiente e com vasta experiência em análise, que dá o veredicto. Ele analisa em bytes o que, onde, como, por que e por que esse código faz. Este corpo era um malware, este computador estava infectado. Revela conexões entre objetos, verifica os resultados da execução na sandbox.
Os resultados do trabalho do analista são transmitidos posteriormente. A Análise Forense Digital examina as imagens, a Análise de Malware examina os “corpos” encontrados e a equipe de Resposta a Incidentes pode ir ao local e investigar algo que já esteja lá. O resultado do trabalho será uma hipótese confirmada, um ataque identificado e formas de combatê-lo.
Resultados de
Threat Hunting é uma tecnologia bastante jovem que pode combater eficazmente ameaças personalizadas, novas e não padronizadas, o que tem grandes perspectivas, dado o número crescente de tais ameaças e a crescente complexidade da infra-estrutura corporativa. Requer três componentes – dados, ferramentas e analistas. Os benefícios do Threat Hunting não se limitam a prevenir a implementação de ameaças. Não se esqueça que durante o processo de busca mergulhamos em nossa infraestrutura e seus pontos fracos através do olhar de um analista de segurança e podemos fortalecer ainda mais esses pontos.
Os primeiros passos que, em nossa opinião, precisam ser dados para iniciar o processo de TH na sua organização.
- Cuide da proteção dos endpoints e da infraestrutura de rede. Cuide da visibilidade (NetFlow) e do controle (firewall, IDS, IPS, DLP) de todos os processos da sua rede. Conheça sua rede desde o roteador de borda até o último host.
- Explorar.
- Realize pentests regulares de pelo menos os principais recursos externos, analise seus resultados, identifique os principais alvos de ataque e elimine suas vulnerabilidades.
- Implemente um sistema de inteligência de ameaças de código aberto (por exemplo, MISP, Yeti) e analise os logs em conjunto com ele.
- Implementar uma plataforma de resposta a incidentes (IRP): R-Vision IRP, The Hive, sandbox para análise de arquivos suspeitos (FortiSandbox, Cuckoo).
- Automatize processos de rotina. Análise de logs, registro de incidentes, informação ao pessoal é um enorme campo de automação.
- Aprenda a interagir de forma eficaz com engenheiros, desenvolvedores e suporte técnico para colaborar em incidentes.
- Documentar todo o processo, pontos-chave, resultados alcançados para posteriormente voltar a eles ou partilhar esses dados com colegas;
- Seja social: esteja ciente do que está acontecendo com seus funcionários, quem você contrata e a quem você dá acesso aos recursos de informação da organização.
- Mantenha-se a par das tendências no domínio das novas ameaças e métodos de proteção, aumente o seu nível de literacia técnica (incluindo no funcionamento de serviços e subsistemas de TI), participe em conferências e comunique-se com colegas.
Pronto para discutir a organização do processo de TH nos comentários.
Ou venha trabalhar conosco!
Fontes e materiais para estudar
Fonte: habr.com