95 % hrozieb informačnej bezpečnosti je známych a môžete sa pred nimi chrániť pomocou tradičných prostriedkov, ako sú antivírusy, firewally, IDS, WAF. Zvyšných 5 % hrozieb je neznámych a najnebezpečnejších. Predstavujú 70 % rizika pre spoločnosť, pretože je veľmi ťažké ich odhaliť a ešte menej pred nimi chrániť. Príklady sú epidémia ransomvéru WannaCry, NotPetya/ExPetr, kryptomíny, „kybernetická zbraň“ Stuxnet (ktorá zasiahla iránske jadrové zariadenia) a mnoho (niekto si ešte pamätá Kido/Conficker?) ďalšie útoky, proti ktorým nie je možné veľmi dobre brániť klasickými bezpečnostnými opatreniami. Chceme hovoriť o tom, ako čeliť týmto 5 % hrozieb pomocou technológie Threat Hunting.
Neustály vývoj kybernetických útokov si vyžaduje neustálu detekciu a protiopatrenia, čo nás nakoniec vedie k premýšľaniu o nekonečných pretekoch v zbrojení medzi útočníkmi a obrancami. Klasické bezpečnostné systémy už nie sú schopné poskytnúť prijateľnú úroveň bezpečnosti, pri ktorej miera rizika neovplyvňuje kľúčové ukazovatele spoločnosti (ekonomické, politické, dobré meno) bez ich úpravy pre konkrétnu infraštruktúru, ale vo všeobecnosti pokrývajú niektoré riziká. Moderné bezpečnostné systémy sa už v procese implementácie a konfigurácie ocitajú v úlohe dobiehania a musia reagovať na výzvy novej doby.
Technológia Threat Hunting môže byť pre špecialistu informačnej bezpečnosti jednou z odpovedí na výzvy našej doby. Pojem Threat Hunting (ďalej len TH) sa objavil už pred niekoľkými rokmi. Samotná technológia je celkom zaujímavá, ale zatiaľ nemá žiadne všeobecne uznávané normy a pravidlá. Záležitosť komplikuje aj heterogenita informačných zdrojov a malý počet ruskojazyčných zdrojov informácií o tejto téme. V tejto súvislosti sme sa v LANIT-Integration rozhodli napísať recenziu tejto technológie.
aktuálnosť
Technológia TH sa spolieha na procesy monitorovania infraštruktúry.. Alerting (podobne ako služby MSSP) je tradičná metóda vyhľadávania predtým vyvinutých podpisov a znakov útokov a reagovania na ne. Tento scenár úspešne vykonávajú tradičné nástroje ochrany založené na podpisoch. Lov (služba typu MDR) je metóda monitorovania, ktorá odpovedá na otázku „Odkiaľ pochádzajú podpisy a pravidlá? Je to proces vytvárania korelačných pravidiel analýzou skrytých alebo predtým neznámych indikátorov a znakov útoku. Threat Hunting sa týka tohto typu monitorovania.
Len kombináciou oboch typov monitorovania získame ochranu, ktorá sa blíži ideálu, no vždy existuje určitá úroveň zvyškového rizika.
Ochrana pomocou dvoch typov monitorovania
A tu je dôvod, prečo bude TH (a poľovníctvo ako celok!) čoraz relevantnejšie:
Hrozby, nápravy, riziká.
. Patria sem typy ako spam, DDoS, vírusy, rootkity a ďalší klasický malvér. Pred týmito hrozbami sa môžete chrániť pomocou rovnakých klasických bezpečnostných opatrení.
Počas realizácie akéhokoľvek projektua zvyšných 20 % práce zaberá 80 % času. Podobne v rámci celého prostredia hrozieb bude 5 % nových hrozieb predstavovať 70 % rizika pre spoločnosť. V spoločnosti, kde sú organizované procesy riadenia informačnej bezpečnosti, dokážeme zvládnuť 30 % rizika implementácie známych hrozieb tak či onak tak, že sa vyhneme (v zásade odmietnutie bezdrôtových sietí), akceptujeme (implementujeme potrebné bezpečnostné opatrenia) alebo presunieme (napríklad na plecia integrátora) toto riziko. Chráňte sa pred, APT útoky, phishing,, kybernetická špionáž a národné operácie, ako aj veľké množstvo iných útokov sú už oveľa náročnejšie. Dôsledky týchto 5 % hrozieb budú oveľa závažnejšie () než následky spamu alebo vírusov, pred ktorými šetrí antivírusový softvér.
Takmer každý musí čeliť 5 % hrozieb. Nedávno sme museli nainštalovať open-source riešenie, ktoré využíva aplikáciu z úložiska PEAR (PHP Extension and Application Repository). Pokus o inštaláciu tejto aplikácie prostredníctvom inštalácie hrušky zlyhal, pretože bol nedostupný (teraz je na ňom stub), musel som ho nainštalovať z GitHubu. A len nedávno sa ukázalo, že obeťou sa stala HRUŠKA.
Stále si môžete pamätať, epidémiu ransomvéru NePetya prostredníctvom aktualizačného modulu pre program daňového vykazovania. Hrozby sú čoraz sofistikovanejšie a vyvstáva logická otázka – „Ako môžeme čeliť týmto 5 % hrozieb?“
Definícia Threat Hunting
Hľadanie hrozieb je teda proces proaktívneho a opakovaného vyhľadávania a detekcie pokročilých hrozieb, ktoré nie je možné odhaliť pomocou tradičných bezpečnostných nástrojov. Medzi pokročilé hrozby patria napríklad útoky ako APT, útoky na 0-day zraniteľnosti, Living off the Land a pod.
Môžeme tiež preformulovať, že TH je proces testovania hypotéz. Ide o prevažne manuálny proces s prvkami automatizácie, pri ktorom analytik, spoliehajúc sa na svoje znalosti a zručnosti, preosieva veľké objemy informácií pri hľadaní známok kompromisu, ktoré zodpovedajú pôvodne stanovenej hypotéze o prítomnosti určitej hrozby. Jeho charakteristickou črtou je rôznorodosť informačných zdrojov.
Treba poznamenať, že Threat Hunting nie je nejaký softvérový alebo hardvérový produkt. Nie sú to upozornenia, ktoré možno vidieť v nejakom riešení. Toto nie je proces vyhľadávania IOC (Identifiers of Compromise). A nejde o nejaký druh pasívnej činnosti, ku ktorej dochádza bez účasti analytikov informačnej bezpečnosti. Hľadanie hrozieb je v prvom rade proces.
Komponenty lovu hrozieb
Tri hlavné zložky Threat Hunting: dáta, technológia, ľudia.
Údaje (čo?)vrátane veľkých dát. Všetky druhy dopravných tokov, informácie o predchádzajúcich APT, analýzy, údaje o aktivite používateľov, sieťové údaje, informácie od zamestnancov, informácie o darknete a mnoho ďalšieho.
Technológie (ako?) spracúvanie týchto údajov – všetky možné spôsoby spracúvania týchto údajov, vrátane strojového učenia.
Ľudia ktorí?) – tí, ktorí majú bohaté skúsenosti s analýzou rôznych útokov, rozvinutú intuíciu a schopnosť odhaliť útok. Typicky sú to analytici informačnej bezpečnosti, ktorí musia mať schopnosť generovať hypotézy a nájsť pre ne potvrdenie. Sú hlavným článkom v procese.
Model PARIS
Adam Bateman PARIS model pre ideálny TH proces. Názov odkazuje na slávny orientačný bod vo Francúzsku. Tento model je možné vidieť v dvoch smeroch – zhora a zdola.
Keď sa prepracujeme modelom zdola nahor, stretneme sa s množstvom dôkazov o škodlivej činnosti. Každý dôkaz má mieru nazývanú dôvera – charakteristiku, ktorá odráža váhu tohto dôkazu. Existuje „železo“, priamy dôkaz o zlomyseľnej činnosti, podľa ktorého sa môžeme okamžite dostať na vrchol pyramídy a vytvoriť aktuálne upozornenie na presne známu infekciu. A existujú nepriame dôkazy, ktorých súčet nás môže doviesť aj na vrchol pyramídy. Ako vždy, existuje oveľa viac nepriamych dôkazov ako priamych dôkazov, čo znamená, že ich treba triediť a analyzovať, je potrebné vykonať ďalší výskum a je vhodné ho automatizovať.
Model PARIS.
Horná časť modelu (1 a 2) je založená na automatizačných technológiách a rôznych analytikách a spodná časť (3 a 4) je založená na ľuďoch s určitou kvalifikáciou, ktorí riadia proces. Môžete zvážiť pohyb modelu zhora nadol, kde v hornej časti modrej farby máme upozornenia od tradičných bezpečnostných nástrojov (antivírus, EDR, firewall, podpisy) s vysokou mierou istoty a dôvery a nižšie sú indikátory ( IOC, URL, MD5 a iné), ktoré majú nižšiu mieru istoty a vyžadujú si ďalšie štúdium. A najnižšou a najhrubšou úrovňou (4) je generovanie hypotéz, vytváranie nových scenárov fungovania tradičných prostriedkov ochrany. Táto úroveň sa neobmedzuje len na špecifikované zdroje hypotéz. Čím nižšia je úroveň, tým viac požiadaviek sa kladie na kvalifikáciu analytika.
Je veľmi dôležité, aby analytici jednoducho netestovali konečný súbor vopred určených hypotéz, ale neustále pracovali na vytváraní nových hypotéz a možností ich testovania.
Model zrelosti používania TH
V ideálnom svete je TH neustály proces. Ale keďže ideálny svet neexistuje, poďme analyzovať a metódy z hľadiska ľudí, procesov a použitých technológií. Uvažujme model ideálneho sférického TH. Existuje 5 úrovní použitia tejto technológie. Pozrime sa na ne na príklade vývoja jedného tímu analytikov.
Úrovne zrelosti
Ľudia
procesy
Technológia
Úroveň 0
Analytici SOC
24/7
Tradičné nástroje:
Tradičné
Sada upozornení
Pasívne monitorovanie
IDS, AV, karanténa,
Bez TH
Práca s upozorneniami
Nástroje na analýzu podpisov, údaje Threat Intelligence.
Úroveň 1
Analytici SOC
Jednorazovo TH
EDR
Experimentálne
Základné znalosti z kriminalistiky
vyhľadávanie MOV
Čiastočné pokrytie dát zo sieťových zariadení
Experimenty s TH
Dobrá znalosť sietí a aplikácií
Čiastočná aplikácia
Úroveň 2
Dočasné zamestnanie
Šprinty
EDR
Pravidelné
Priemerná znalosť kriminalistiky
Z týždňa na mesiac
Plná aplikácia
Dočasná TH
Výborná znalosť sietí a aplikácií
Pravidelné TH
Plná automatizácia využívania dát EDR
Čiastočné využitie pokročilých možností EDR
Úroveň 3
Vyhradený príkaz TH
24/7
Čiastočná schopnosť testovať hypotézy TH
Preventívne
Výborná znalosť forenznej problematiky a malvéru
Preventívna TH
Plné využitie pokročilých možností EDR
Špeciálne prípady TH
Výborná znalosť útočnej strany
Špeciálne prípady TH
Plné pokrytie dát zo sieťových zariadení
Konfigurácia podľa vašich potrieb
Úroveň 4
Vyhradený príkaz TH
24/7
Plná schopnosť testovať hypotézy TH
Vedenie
Výborná znalosť forenznej problematiky a malvéru
Preventívna TH
Úroveň 3 a navyše:
Pomocou TH
Výborná znalosť útočnej strany
Testovanie, automatizácia a overovanie hypotéz TH
tesná integrácia zdrojov údajov;
Výskumná schopnosť
vývoj podľa potrieb a neštandardné využitie API.
Úrovne zrelosti TH podľa ľudí, procesov a technológií
Úroveň 0: tradičné, bez použitia TH. Bežní analytici pracujú so štandardnou sadou výstrah v režime pasívneho monitorovania pomocou štandardných nástrojov a technológií: IDS, AV, sandbox, nástroje na analýzu signatúr.
Úroveň 1: experimentálne, s použitím TH. Tí istí analytici so základnými znalosťami forenznej problematiky a dobrými znalosťami sietí a aplikácií môžu vykonávať jednorazový lov hrozieb hľadaním indikátorov kompromisu. K nástrojom s čiastočným pokrytím dát zo sieťových zariadení pribúdajú EDR. Nástroje sú čiastočne používané.
Úroveň 2: periodické, dočasné TH. Tí istí analytici, ktorí si už zdokonalili svoje znalosti v oblasti forenznej, sieťovej a aplikačnej časti, sú povinní pravidelne sa zapájať do Threat Hunting (sprint), povedzme, týždeň v mesiaci. Nástroje pridávajú úplné skúmanie údajov zo sieťových zariadení, automatizáciu analýzy údajov z EDR a čiastočné využitie pokročilých možností EDR.
Úroveň 3: preventívne, časté prípady TH. Naši analytici sa zorganizovali do špecializovaného tímu a začali mať vynikajúce znalosti o forenznom a malvéri, ako aj o metódach a taktike útočiacej strany. Proces už prebieha 24/7. Tím je schopný čiastočne otestovať hypotézy TH pri plnom využití pokročilých možností EDR s plným pokrytím dát zo sieťových zariadení. Analytici sú tiež schopní nakonfigurovať nástroje tak, aby vyhovovali ich potrebám.
Úroveň 4: high-end, použite TH. Ten istý tím získal schopnosť výskumu, schopnosť generovať a automatizovať proces testovania TH hypotéz. Teraz boli nástroje doplnené o úzku integráciu dátových zdrojov, vývoj softvéru podľa potrieb a neštandardné používanie API.
Techniky lovu hrozieb
Základné techniky lovu hrozieb
К TH, v poradí podľa vyspelosti použitej technológie, sú: základné vyhľadávanie, štatistická analýza, vizualizačné techniky, jednoduché agregácie, strojové učenie a Bayesovské metódy.
Najjednoduchšia metóda, základné vyhľadávanie, sa používa na zúženie oblasti výskumu pomocou konkrétnych dopytov. Štatistická analýza sa používa napríklad na vytvorenie typickej aktivity používateľa alebo siete vo forme štatistického modelu. Vizualizačné techniky sa používajú na vizuálne zobrazenie a zjednodušenie analýzy údajov vo forme grafov a tabuliek, ktoré výrazne uľahčujú rozpoznanie vzorov vo vzorke. Na optimalizáciu vyhľadávania a analýzy sa používa technika jednoduchých agregácií podľa kľúčových polí. Čím zrelší je proces TH organizácie, tým relevantnejšie sa stáva použitie algoritmov strojového učenia. Široko sa využívajú aj pri filtrovaní spamu, odhaľovaní škodlivej prevádzky a odhaľovaní podvodných aktivít. Pokročilejším typom algoritmu strojového učenia sú Bayesovské metódy, ktoré umožňujú klasifikáciu, zmenšenie veľkosti vzorky a modelovanie tém.
Diamantový model a stratégie TH
Sergio Caltagiron, Andrew Pendegast a Christopher Betz vo svojej práci "» ukázal hlavné kľúčové zložky akejkoľvek zákernej činnosti a základné prepojenie medzi nimi.
Diamantový model pre zákernú činnosť
Podľa tohto modelu existujú 4 stratégie lovu hrozieb, ktoré sú založené na zodpovedajúcich kľúčových komponentoch.
1. Stratégia orientovaná na obete. Predpokladáme, že obeť má odporcov a tí doručia „príležitosti“ prostredníctvom e-mailu. Hľadáme údaje o nepriateľoch v pošte. Vyhľadajte odkazy, prílohy atď. Potvrdenie tejto hypotézy hľadáme na určitý čas (mesiac, dva týždne), ak nenájdeme, tak hypotéza nefungovala.
2. Stratégia orientovaná na infraštruktúru. Existuje niekoľko spôsobov použitia tejto stratégie. V závislosti od prístupu a viditeľnosti sú niektoré jednoduchšie ako iné. Napríklad monitorujeme servery doménových mien, o ktorých je známe, že sú hostiteľmi škodlivých domén. Alebo prejdeme procesom monitorovania všetkých nových registrácií doménových mien na známy vzor používaný protivníkom.
3. Stratégia riadená schopnosťami. Okrem stratégie zameranej na obete, ktorú používa väčšina obrancov siete, existuje stratégia zameraná na príležitosti. Je druhým najpopulárnejším a zameriava sa na odhaľovanie schopností od protivníka, konkrétne „malvéru“ a schopnosti protivníka používať legitímne nástroje ako psexec, powershell, certutil a iné.
4. Stratégia orientovaná na nepriateľa. Protivník-centrický prístup sa zameriava na samotného protivníka. To zahŕňa využívanie otvorených informácií z verejne dostupných zdrojov (OSINT), zber údajov o nepriateľovi, jeho technikách a metódach (TTP), analýzu predchádzajúcich incidentov, údaje Threat Intelligence atď.
Zdroje informácií a hypotéz v TH
Niektoré zdroje informácií pre Threat Hunting
Zdrojov informácií môže byť veľa. Ideálny analytik by mal byť schopný extrahovať informácie zo všetkého, čo je okolo. Typickými zdrojmi v takmer každej infraštruktúre budú dáta z bezpečnostných nástrojov: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typickými zdrojmi informácií budú aj rôzne indikátory kompromisu, služby Threat Intelligence, údaje CERT a OSINT. Dodatočne môžete využiť informácie z darknetu (napríklad zrazu príde príkaz na hacknutie schránky šéfa organizácie alebo bol pre svoju činnosť odhalený kandidát na pozíciu sieťového inžiniera), informácie získané od HR (recenzie kandidáta z predchádzajúceho pracoviska), informácie od bezpečnostnej služby (napríklad výsledky overovania protistrany).
Pred použitím všetkých dostupných zdrojov je ale potrebné mať aspoň jednu hypotézu.
Aby bolo možné otestovať hypotézy, musia sa najprv predložiť. A aby bolo možné predložiť veľa kvalitných hypotéz, je potrebné uplatniť systematický prístup. Proces generovania hypotéz je podrobnejšie opísaný v, je veľmi vhodné brať túto schému ako základ pre proces predkladania hypotéz.
Hlavným zdrojom hypotéz bude Matica ATT&CK (Odporová taktika, techniky a bežné znalosti). Ide v podstate o vedomostnú bázu a model na hodnotenie správania útočníkov, ktorí vykonávajú svoje aktivity v posledných krokoch útoku, zvyčajne popísaný pomocou konceptu Kill Chain. Teda vo fázach po tom, čo útočník prenikol do vnútornej siete podniku alebo do mobilného zariadenia. Znalostná základňa pôvodne obsahovala popisy 121 taktík a techník používaných pri útoku, pričom každá z nich je podrobne popísaná vo formáte Wiki. Rôzne analýzy Threat Intelligence sú vhodné ako zdroj na generovanie hypotéz. Za zmienku stoja najmä výsledky analýzy infraštruktúry a penetračných testov – to sú najcennejšie údaje, ktoré nám môžu poskytnúť pevné hypotézy, pretože sú založené na špecifickej infraštruktúre s jej špecifickými nedostatkami.
Proces testovania hypotéz
Priviedol Sergej Soldatov s podrobným popisom procesu ilustruje proces testovania TH hypotéz v jedinom systéme. Stručným popisom uvediem hlavné etapy.
Fáza 1: Farma TI
V tejto fáze je potrebné zdôrazniť predmety (ich analýzou spolu so všetkými údajmi o hrozbách) a priradením štítkov pre ich charakteristiky. Sú to súbor, URL, MD5, proces, pomôcka, udalosť. Pri ich prechode cez systémy Threat Intelligence je potrebné pripojiť štítky. To znamená, že táto stránka bola zaznamenaná v CNC v tom a takom roku, tento MD5 bol spojený s takým a takým malvérom, tento MD5 bol stiahnutý zo stránky, ktorá distribuovala malvér.
2. fáza: Prípady
V druhej fáze sa pozrieme na interakciu medzi týmito objektmi a identifikujeme vzťahy medzi všetkými týmito objektmi. Dostávame označené systémy, ktoré robia niečo zlé.
Fáza 3: Analytik
V tretej fáze je prípad odovzdaný skúsenému analytikovi, ktorý má rozsiahle skúsenosti s analýzou, a ten vynesie verdikt. Na bajty analyzuje, čo, kde, ako, prečo a prečo tento kód robí. Toto telo bol malvér, tento počítač bol infikovaný. Odhaľuje spojenia medzi objektmi, kontroluje výsledky behu cez karanténu.
Výsledky práce analytika sa prenášajú ďalej. Digitálna forenzná analýza skúma obrázky, analýza škodlivého softvéru skúma nájdené „telá“ a tím reakcie na incidenty môže ísť na stránku a preskúmať niečo, čo tam už je. Výsledkom práce bude potvrdená hypotéza, identifikovaný útok a spôsoby, ako mu čeliť.
Výsledky
Threat Hunting je pomerne mladá technológia, ktorá dokáže efektívne čeliť prispôsobeným, novým a neštandardným hrozbám, čo má veľké vyhliadky vzhľadom na rastúci počet takýchto hrozieb a narastajúcu komplexnosť podnikovej infraštruktúry. Vyžaduje si to tri zložky – dáta, nástroje a analytikov. Výhody Threat Hunting sa neobmedzujú len na predchádzanie implementácii hrozieb. Nezabudnite, že počas procesu hľadania sa ponárame do našej infraštruktúry a jej slabých miest očami bezpečnostného analytika a môžeme tieto miesta ďalej posilniť.
Prvé kroky, ktoré je podľa nášho názoru potrebné urobiť na začatie procesu TH vo vašej organizácii.
- Postarajte sa o ochranu koncových bodov a sieťovej infraštruktúry. Postarajte sa o viditeľnosť (NetFlow) a kontrolu (firewall, IDS, IPS, DLP) všetkých procesov vo vašej sieti. Spoznajte svoju sieť od okrajového smerovača až po úplne posledného hostiteľa.
- Preskúmať.
- Vykonávajte pravidelné kontroly aspoň kľúčových externých zdrojov, analyzujte ich výsledky, identifikujte hlavné ciele útoku a odstráňte ich zraniteľné miesta.
- Implementujte open source systém Threat Intelligence (napríklad MISP, Yeti) a analyzujte protokoly v spojení s ním.
- Implementujte platformu reakcie na incidenty (IRP): R-Vision IRP, The Hive, sandbox na analýzu podozrivých súborov (FortiSandbox, Cuckoo).
- Automatizujte rutinné procesy. Analýza protokolov, zaznamenávanie incidentov, informovanie personálu je obrovské pole pre automatizáciu.
- Naučte sa efektívne komunikovať s inžiniermi, vývojármi a technickou podporou pri spolupráci na incidentoch.
- Dokumentujte celý proces, kľúčové body, dosiahnuté výsledky, aby ste sa k nim neskôr vrátili alebo zdieľali tieto údaje s kolegami;
- Buďte spoločenskí: Buďte si vedomí toho, čo sa deje s vašimi zamestnancami, koho najímate a komu dávate prístup k informačným zdrojom organizácie.
- Držte krok s trendmi v oblasti nových hrozieb a spôsobov ochrany, zvyšujte svoju úroveň technickej gramotnosti (aj v prevádzke IT služieb a subsystémov), navštevujte konferencie a komunikujte s kolegami.
Pripravený diskutovať o organizácii procesu TH v komentároch.
Alebo poďte s nami pracovať!
Zdroje a materiály na štúdium
Zdroj: hab.com