95% dintre amenințările la securitatea informațiilor sunt cunoscute și vă puteți proteja de ele folosind mijloace tradiționale precum antivirusuri, firewall-uri, IDS, WAF. Restul de 5% dintre amenințări sunt necunoscute și cele mai periculoase. Ele constituie 70% din riscul pentru o companie din cauza faptului că este foarte greu să le detectezi, cu atât mai puțin să protejeze împotriva lor. Exemple sunt epidemia de ransomware WannaCry, NotPetya/ExPetr, criptominerii, „arma cibernetică” Stuxnet (care a lovit instalațiile nucleare ale Iranului) și multe (și mai amintește cineva de Kido/Conficker?) alte atacuri care nu sunt foarte bine apărate cu măsurile de securitate clasice. Vrem să vorbim despre cum să contracarăm aceste 5% dintre amenințări folosind tehnologia Threat Hunting.
Evoluția continuă a atacurilor cibernetice necesită detecție și contramăsuri constante, ceea ce ne duce în cele din urmă să ne gândim la o cursă nesfârșită a înarmărilor între atacatori și apărători. Sistemele clasice de securitate nu mai sunt capabile să ofere un nivel acceptabil de securitate la care nivelul de risc să nu afecteze indicatorii cheie ai companiei (economici, politici, de reputație) fără a-i modifica pentru o anumită infrastructură, dar în general acopera o parte din riscuri. Deja în proces de implementare și configurare, sistemele moderne de securitate se găsesc în rolul de a recupera din urmă și trebuie să răspundă provocărilor noului timp.
Tehnologia Threat Hunting poate fi unul dintre răspunsurile la provocările timpului nostru pentru un specialist în securitatea informațiilor. Termenul Threat Hunting (denumit în continuare TH) a apărut în urmă cu câțiva ani. Tehnologia în sine este destul de interesantă, dar nu are încă standarde și reguli general acceptate. Problema este complicată și de eterogenitatea surselor de informații și de numărul mic de surse de informații în limba rusă pe această temă. În acest sens, noi cei de la LANIT-Integration am decis să scriem o recenzie a acestei tehnologii.
actualitate
Tehnologia TH se bazează pe procesele de monitorizare a infrastructurii.. Alertarea (similară cu serviciile MSSP) este o metodă tradițională de căutare a semnăturilor și semnelor de atac dezvoltate anterior și de a răspunde la acestea. Acest scenariu este realizat cu succes de instrumentele tradiționale de protecție bazate pe semnături. Vânătoarea (serviciu de tip MDR) este o metodă de monitorizare care răspunde la întrebarea „De unde vin semnăturile și regulile?” Este procesul de creare a regulilor de corelare prin analizarea indicatorilor ascunși sau necunoscuți anterior și a semnelor unui atac. Threat Hunting se referă la acest tip de monitorizare.
Doar combinând ambele tipuri de monitorizare obținem o protecție aproape de ideală, dar există întotdeauna un anumit nivel de risc rezidual.
Protecție folosind două tipuri de monitorizare
Și iată de ce TH (și vânătoarea în întregime!) va deveni din ce în ce mai relevantă:
Amenințări, remedii, riscuri.
. Acestea includ tipuri precum spam, DDoS, viruși, rootkit-uri și alte programe malware clasice. Vă puteți proteja de aceste amenințări folosind aceleași măsuri de securitate clasice.
În timpul implementării oricărui proiect, iar restul de 20% din muncă durează 80% din timp. De asemenea, în întregul peisaj amenințărilor, 5% dintre noile amenințări vor reprezenta 70% din riscul pentru o companie. Într-o companie în care sunt organizate procese de management al securității informațiilor, putem gestiona 30% din riscul implementării amenințărilor cunoscute într-un fel sau altul prin evitarea (refuzul rețelelor wireless în principiu), acceptând (punerea în aplicare a măsurilor de securitate necesare) sau deplasarea (de exemplu, pe umerii unui integrator) acest risc. Protejați-vă de, atacuri APT, phishing,, spionajul cibernetic și operațiunile naționale, precum și un număr mare de alte atacuri sunt deja mult mai dificile. Consecințele acestor 5% dintre amenințări vor fi mult mai grave () decât consecințele spam-ului sau virușilor, de la care salvează software-ul antivirus.
Aproape toată lumea trebuie să facă față cu 5% dintre amenințări. Recent a trebuit să instalăm o soluție open-source care folosește o aplicație din depozitul PEAR (PHP Extension and Application Repository). O încercare de a instala această aplicație prin pear install a eșuat deoarece nu era disponibil (acum există un stub pe el), a trebuit să îl instalez din GitHub. Și recent s-a dovedit că PEAR a devenit o victimă.
Îți mai aduci aminte, o epidemie a ransomware-ului NePetya printr-un modul de actualizare pentru un program de raportare fiscală. Amenințările devin din ce în ce mai sofisticate și apare întrebarea logică - „Cum putem contracara aceste 5% dintre amenințări?”
Definiția Threat Hunting
Deci, Threat Hunting este procesul de căutare proactivă și iterativă și de detectare a amenințărilor avansate care nu pot fi detectate de instrumentele tradiționale de securitate. Amenințările avansate includ, de exemplu, atacuri precum APT, atacuri asupra vulnerabilităților de tip 0-day, Living off the Land și așa mai departe.
De asemenea, putem reformula că TH este procesul de testare a ipotezelor. Acesta este un proces preponderent manual cu elemente de automatizare, în care analistul, bazându-se pe cunoștințele și aptitudinile sale, cercetează volume mari de informații în căutarea semnelor de compromis care să corespundă ipotezei determinate inițial despre prezența unei anumite amenințări. Caracteristica sa distinctivă este varietatea surselor de informații.
Trebuie remarcat faptul că Threat Hunting nu este un fel de produs software sau hardware. Acestea nu sunt alerte care pot fi văzute într-o soluție. Acesta nu este un proces de căutare IOC (Identificatori de compromis). Și acesta nu este un fel de activitate pasivă care are loc fără participarea analiștilor de securitate a informațiilor. Threat Hunting este în primul rând un proces.
Componentele vânătorii de amenințări
Trei componente principale ale Threat Hunting: date, tehnologie, oameni.
Date (ce?), inclusiv Big Data. Tot felul de fluxuri de trafic, informații despre APT-urile anterioare, analize, date despre activitatea utilizatorilor, date din rețea, informații de la angajați, informații despre darknet și multe altele.
Tehnologii (cum?) prelucrarea acestor date - toate modalitățile posibile de prelucrare a acestor date, inclusiv Machine Learning.
Oamenii care?) – cei care au o vastă experiență în analiza diferitelor atacuri, au dezvoltat intuiția și capacitatea de a detecta un atac. De obicei, aceștia sunt analiști de securitate a informațiilor care trebuie să aibă capacitatea de a genera ipoteze și de a găsi confirmarea pentru acestea. Ele sunt veriga principală în proces.
Model PARIS
Adam Bateman Model PARIS pentru procesul TH ideal. Numele face aluzie la un reper faimos din Franța. Acest model poate fi vizualizat în două direcții - de sus și de jos.
Pe măsură ce ne străduim prin model de jos în sus, vom întâlni o mulțime de dovezi de activitate rău intenționată. Fiecare dovadă are o măsură numită încredere - o caracteristică care reflectă ponderea acestor dovezi. Există „fier”, dovezi directe ale activității rău intenționate, conform cărora putem ajunge imediat în vârful piramidei și putem crea o alertă reală despre o infecție cunoscută cu precizie. Și există dovezi indirecte, a căror sumă ne poate conduce și în vârful piramidei. Ca întotdeauna, există mult mai multe dovezi indirecte decât dovezi directe, ceea ce înseamnă că acestea trebuie sortate și analizate, trebuie efectuate cercetări suplimentare și este recomandabil să automatizăm acest lucru.
Model PARIS.
Partea superioară a modelului (1 și 2) se bazează pe tehnologii de automatizare și diverse analize, iar partea inferioară (3 și 4) se bazează pe persoane cu anumite calificări care gestionează procesul. Puteți considera că modelul se mișcă de sus în jos, unde în partea de sus a culorii albastre avem alerte de la instrumentele tradiționale de securitate (antivirus, EDR, firewall, semnături) cu un grad ridicat de încredere și încredere, iar mai jos sunt indicatorii ( IOC, URL, MD5 și altele), care au un grad mai scăzut de certitudine și necesită studii suplimentare. Iar nivelul cel mai de jos și cel mai gros (4) este generarea de ipoteze, crearea de noi scenarii pentru funcționarea mijloacelor tradiționale de protecție. Acest nivel nu se limitează doar la sursele specificate de ipoteze. Cu cât nivelul este mai scăzut, cu atât mai multe cerințe sunt impuse calificărilor analistului.
Este foarte important ca analiștii să nu testeze pur și simplu un set finit de ipoteze predeterminate, ci să lucreze constant pentru a genera noi ipoteze și opțiuni pentru testarea lor.
Modelul de maturitate a utilizării TH
Într-o lume ideală, TH este un proces continuu. Dar, din moment ce nu există o lume ideală, să analizăm și metode în ceea ce privește oamenii, procesele și tehnologiile utilizate. Să considerăm un model al unui TH sferic ideal. Există 5 niveluri de utilizare a acestei tehnologii. Să le privim folosind exemplul evoluției unei singure echipe de analiști.
Niveluri de maturitate
Oameni
Procesele
Tehnologie
Nivel 0
Analiștii SOC
24/7
Instrumente traditionale:
Tradițional
Set de alerte
Monitorizare pasiva
IDS, AV, Sandboxing,
Fara TH
Lucrul cu alerte
Instrumente de analiză a semnăturilor, date Threat Intelligence.
Nivel 1
Analiștii SOC
O singură dată TH
EDR
Experimental
Cunoștințe de bază de criminalistică
Căutare IOC
Acoperire parțială a datelor de la dispozitivele de rețea
Experimente cu TH
Cunoștințe bune de rețele și aplicații
Aplicare parțială
Nivel 2
Ocupație temporară
Sprinturi
EDR
Periodic
Cunoștințe medii de criminalistică
Săptămână în lună
Aplicație completă
TH temporară
Cunoștințe excelente de rețele și aplicații
TH obișnuit
Automatizarea completă a utilizării datelor EDR
Utilizarea parțială a capabilităților EDR avansate
Nivel 3
Comanda TH dedicată
24/7
Capacitate parțială de a testa ipotezele TH
Preventiv
Cunoștințe excelente de criminalistică și malware
TH preventivă
Utilizarea completă a capabilităților EDR avansate
Cazuri speciale TH
Cunoștințe excelente ale părții de atac
Cazuri speciale TH
Acoperire completă a datelor de la dispozitivele din rețea
Configurație potrivită nevoilor dvs
Nivel 4
Comanda TH dedicată
24/7
Capacitate deplină de a testa ipotezele TH
Conducere
Cunoștințe excelente de criminalistică și malware
TH preventivă
Nivelul 3, plus:
Folosind TH
Cunoștințe excelente ale părții de atac
Testarea, automatizarea și verificarea ipotezelor TH
integrarea strânsă a surselor de date;
Capacitate de cercetare
dezvoltarea în funcție de nevoi și utilizarea non-standard a API.
Nivelurile de maturitate ale TH în funcție de oameni, procese și tehnologii
Nivelul 0: traditional, fara a folosi TH. Analiștii obișnuiți lucrează cu un set standard de alerte în modul de monitorizare pasivă folosind instrumente și tehnologii standard: IDS, AV, sandbox, instrumente de analiză a semnăturilor.
Nivelul 1: experimental, folosind TH. Aceiași analiști cu cunoștințe de bază în criminalistică și bune cunoștințe despre rețele și aplicații pot efectua Threat Hunting o singură dată prin căutarea unor indicatori de compromis. EDR-urile sunt adăugate instrumentelor cu acoperire parțială a datelor de la dispozitivele de rețea. Instrumentele sunt parțial utilizate.
Nivelul 2: periodic, temporar TH. Aceiași analiști care și-au îmbunătățit deja cunoștințele în criminalistică, rețele și partea de aplicație trebuie să se angajeze în mod regulat în Threat Hunting (sprint), să zicem, o săptămână pe lună. Instrumentele adaugă explorarea completă a datelor de pe dispozitivele de rețea, automatizarea analizei datelor din EDR și utilizarea parțială a capabilităților EDR avansate.
Nivelul 3: preventive, cazuri frecvente de TH. Analiștii noștri s-au organizat într-o echipă dedicată și au început să aibă cunoștințe excelente de criminalistică și malware, precum și cunoștințe despre metodele și tacticile părții atacatoare. Procesul este deja efectuat 24/7. Echipa este capabilă să testeze parțial ipotezele TH, valorificând în același timp pe deplin capacitățile avansate ale EDR cu acoperire completă a datelor de la dispozitivele de rețea. De asemenea, analiştii pot configura instrumente pentru a se potrivi nevoilor lor.
Nivelul 4: high-end, folosiți TH. Aceeași echipă a dobândit capacitatea de cercetare, capacitatea de a genera și automatiza procesul de testare a ipotezelor TH. Acum, instrumentele au fost completate de integrarea strânsă a surselor de date, dezvoltarea de software pentru a satisface nevoile și utilizarea non-standard a API-urilor.
Tehnici de vânătoare a amenințărilor
Tehnici de bază de vânătoare a amenințărilor
К TH, în ordinea maturității tehnologiei utilizate, sunt: căutarea de bază, analiza statistică, tehnicile de vizualizare, agregările simple, învățarea automată și metodele bayesiene.
Cea mai simplă metodă, o căutare de bază, este folosită pentru a restrânge aria de cercetare folosind interogări specifice. Analiza statistică este utilizată, de exemplu, pentru a construi o activitate tipică a utilizatorului sau a rețelei sub forma unui model statistic. Tehnicile de vizualizare sunt utilizate pentru afișarea vizuală și simplificarea analizei datelor sub formă de grafice și diagrame, care fac mult mai ușor să discerneți modelele din eșantion. Tehnica agregărilor simple pe câmpuri cheie este utilizată pentru a optimiza căutarea și analiza. Cu cât procesul TH al unei organizații ajunge mai matur, cu atât mai relevantă devine utilizarea algoritmilor de învățare automată. De asemenea, sunt utilizate pe scară largă în filtrarea spam-ului, detectarea traficului rău intenționat și detectarea activităților frauduloase. Un tip mai avansat de algoritm de învățare automată este metodele bayesiene, care permit clasificarea, reducerea dimensiunii eșantionului și modelarea subiectelor.
Modelul diamantului și strategiile TH
Sergio Caltagiron, Andrew Pendegast și Christopher Betz în munca lor "» a arătat principalele componente cheie ale oricărei activități rău intenționate și conexiunea de bază dintre ele.
Model diamant pentru activitate rău intenționată
Conform acestui model, există 4 strategii de Threat Hunting, care se bazează pe componentele cheie corespunzătoare.
1. Strategia orientată către victimă. Presupunem că victima are adversari și ei vor oferi „oportunități” prin e-mail. Căutăm datele inamicului prin poștă. Căutați linkuri, atașamente etc. Căutăm confirmarea acestei ipoteze pentru o anumită perioadă de timp (o lună, două săptămâni); dacă nu o găsim, atunci ipoteza nu a funcționat.
2. Strategie orientată spre infrastructură. Există mai multe metode de utilizare a acestei strategii. În funcție de acces și vizibilitate, unele sunt mai ușor decât altele. De exemplu, monitorizăm serverele de nume de domenii despre care se știe că găzduiesc domenii rău intenționate. Sau trecem prin procesul de monitorizare a tuturor înregistrărilor de nume de domeniu noi pentru un model cunoscut folosit de un adversar.
3. Strategie bazată pe capacitate. Pe lângă strategia axată pe victimă folosită de majoritatea apărătorilor rețelei, există o strategie axată pe oportunitate. Este al doilea cel mai popular și se concentrează pe detectarea capacităților de la adversar, și anume „malware” și capacitatea adversarului de a folosi instrumente legitime precum psexec, powershell, certutil și altele.
4. Strategie orientată spre inamic. Abordarea centrată pe adversar se concentrează pe adversarul însuși. Aceasta include utilizarea informațiilor deschise din surse disponibile public (OSINT), colectarea de date despre inamic, tehnicile și metodele acestuia (TTP), analiza incidentelor anterioare, datele Threat Intelligence etc.
Surse de informare și ipoteze în TH
Câteva surse de informații pentru Threat Hunting
Pot exista multe surse de informare. Un analist ideal ar trebui să fie capabil să extragă informații din tot ceea ce este în jur. Sursele tipice în aproape orice infrastructură vor fi datele din instrumentele de securitate: DLP, SIEM, IDS/IPS, WAF/FW, EDR. De asemenea, sursele tipice de informații vor fi diverși indicatori de compromis, serviciile Threat Intelligence, datele CERT și OSINT. În plus, puteți utiliza informații din darknet (de exemplu, dintr-o dată apare un ordin de a pirata căsuța poștală a șefului unei organizații sau un candidat pentru funcția de inginer de rețea a fost expus pentru activitatea sa), informații primite de la HR (evaluări ale candidatului de la un loc de muncă anterior), informații de la serviciul de securitate (de exemplu, rezultatele verificării contrapărții).
Dar înainte de a folosi toate sursele disponibile, este necesar să existe cel puțin o ipoteză.
Pentru a testa ipotezele, acestea trebuie mai întâi prezentate. Și pentru a înainta multe ipoteze de înaltă calitate, este necesar să se aplice o abordare sistematică. Procesul de generare a ipotezelor este descris mai detaliat în, este foarte convenabil să luăm această schemă ca bază pentru procesul de prezentare a ipotezelor.
Principala sursă de ipoteze va fi matricea ATT&CK (Tactici adverse, tehnici și cunoștințe comune). Este, în esență, o bază de cunoștințe și un model pentru evaluarea comportamentului atacatorilor care își desfășoară activitățile în ultimii pași ai unui atac, descris de obicei folosind conceptul de Kill Chain. Adică, în etapele după ce un atacator a pătruns în rețeaua internă a unei întreprinderi sau pe un dispozitiv mobil. Baza de cunoștințe includea inițial descrieri ale a 121 de tactici și tehnici utilizate în atac, fiecare dintre acestea fiind descrisă în detaliu în format Wiki. Diverse analize Threat Intelligence sunt potrivite ca sursă pentru generarea de ipoteze. De remarcat în mod deosebit sunt rezultatele analizei infrastructurii și ale testelor de penetrare - acestea sunt cele mai valoroase date care ne pot oferi ipoteze ferme datorită faptului că se bazează pe o infrastructură specifică cu deficiențele ei specifice.
Procesul de testare a ipotezelor
Serghei Soldatov a adus cu o descriere detaliată a procesului, ilustrează procesul de testare a ipotezelor TH într-un singur sistem. Voi indica etapele principale printr-o scurtă descriere.
Etapa 1: Ferma TI
În această etapă este necesar să se evidențieze obiecte (prin analizarea acestora împreună cu toate datele despre amenințări) și atribuirea lor de etichete pentru caracteristicile lor. Acestea sunt fișier, URL, MD5, proces, utilitar, eveniment. Când le treceți prin sistemele Threat Intelligence, este necesar să atașați etichete. Adică, acest site a fost observat în CNC într-un anume an, acest MD5 a fost asociat cu un astfel de malware, acest MD5 a fost descărcat de pe un site care distribuia malware.
Etapa 2: Cazuri
În a doua etapă, ne uităm la interacțiunea dintre aceste obiecte și identificăm relațiile dintre toate aceste obiecte. Primim sisteme marcate care fac ceva rău.
Etapa 3: Analist
În a treia etapă, cazul este transferat unui analist cu experiență, care are o vastă experiență în analiză, iar acesta emite un verdict. El analizează până la octeți ce, unde, cum, de ce și de ce face acest cod. Acest corp era malware, acest computer a fost infectat. Dezvăluie conexiunile dintre obiecte, verifică rezultatele alergării prin sandbox.
Rezultatele muncii analistului sunt transmise mai departe. Digital Forensics examinează imagini, Malware Analysis examinează „corpurile” găsite, iar echipa de răspuns la incident poate merge la site și investiga ceva deja acolo. Rezultatul lucrării va fi o ipoteză confirmată, un atac identificat și modalități de a-l contracara.
Rezultatele
Threat Hunting este o tehnologie destul de tânără care poate contracara eficient amenințările personalizate, noi și non-standard, care are perspective mari, având în vedere numărul tot mai mare de astfel de amenințări și complexitatea tot mai mare a infrastructurii corporative. Necesită trei componente - date, instrumente și analiști. Beneficiile Threat Hunting nu se limitează la prevenirea implementării amenințărilor. Nu uitați că în timpul procesului de căutare ne scufundăm în infrastructura noastră și punctele sale slabe prin ochii unui analist de securitate și putem consolida și mai mult aceste puncte.
Primii pași care, în opinia noastră, trebuie făcuți pentru a începe procesul TH în organizația dumneavoastră.
- Aveți grijă să protejați punctele finale și infrastructura de rețea. Aveți grijă de vizibilitate (NetFlow) și de control (firewall, IDS, IPS, DLP) al tuturor proceselor din rețeaua dvs. Cunoașteți-vă rețeaua de la routerul edge până la ultima gazdă.
- Explora.
- Efectuați teste periodice pe cel puțin resurse externe cheie, analizați rezultatele acesteia, identificați principalele ținte pentru atac și închideți vulnerabilitățile acestora.
- Implementați un sistem open source Threat Intelligence (de exemplu, MISP, Yeti) și analizați jurnalele împreună cu acesta.
- Implementați o platformă de răspuns la incident (IRP): R-Vision IRP, The Hive, sandbox pentru analiza fișierelor suspecte (FortiSandbox, Cuckoo).
- Automatizați procesele de rutină. Analiza jurnalelor, înregistrarea incidentelor, informarea personalului este un domeniu imens pentru automatizare.
- Învață să interacționezi eficient cu inginerii, dezvoltatorii și suportul tehnic pentru a colabora la incidente.
- Documentați întregul proces, punctele cheie, rezultatele obținute pentru a reveni la acestea ulterior sau a împărtăși aceste date cu colegii;
- Fii social: fii conștient de ce se întâmplă cu angajații tăi, pe cine angajezi și cui dai acces la resursele de informații ale organizației.
- Fiți la curent cu tendințele în domeniul noilor amenințări și metode de protecție, creșteți-vă nivelul de cunoaștere tehnică (inclusiv în operarea serviciilor și subsistemelor IT), participați la conferințe și comunicați cu colegii.
Gata să discutăm despre organizarea procesului TH în comentarii.
Sau vino să lucrezi cu noi!
Surse și materiale de studiat
Sursa: www.habr.com