95 % groženj informacijski varnosti je znanih in pred njimi se lahko zaščitite s tradicionalnimi sredstvi, kot so protivirusni programi, požarni zidovi, IDS, WAF. Preostalih 5% groženj je neznanih in najbolj nevarnih. Predstavljajo 70 % tveganja za podjetje, saj jih je zelo težko odkriti, še manj pa se pred njimi zaščititi. Primeri so epidemija izsiljevalske programske opreme WannaCry, NotPetya/ExPetr, kriptominarji, »kibernetsko orožje« Stuxnet (ki je prizadelo iranske jedrske objekte) in številni (se še kdo spomni Kido/Confickerja?) drugi napadi, pred katerimi s klasičnimi varnostnimi ukrepi ni dobro zaščiteno. Želimo govoriti o tem, kako se zoperstaviti tem 5 % grožnjam s tehnologijo lova na grožnje.
Nenehen razvoj kibernetskih napadov zahteva nenehno odkrivanje in protiukrepe, kar nas na koncu pripelje do misli o neskončni oboroževalni tekmi med napadalci in branilci. Klasični varnostni sistemi ne zmorejo več zagotavljati sprejemljive ravni varnosti, pri kateri stopnja tveganja ne vpliva na ključne kazalnike podjetja (ekonomske, politične, ugled), ne da bi jih priredili za določeno infrastrukturo, v splošnem pa pokrivajo nekaj tveganja. Sodobni varnostni sistemi se že v procesu implementacije in konfiguracije znajdejo v vlogi dohitevanja in morajo odgovoriti na izzive novega časa.
Tehnologija lova na grožnje je lahko eden od odgovorov na izzive našega časa za strokovnjaka za informacijsko varnost. Izraz Threat Hunting (v nadaljevanju TH) se je pojavil pred nekaj leti. Sama tehnologija je precej zanimiva, vendar še nima splošno sprejetih standardov in pravil. Zadeva je zapletena tudi zaradi heterogenosti informacijskih virov in majhnega števila rusko govorečih virov informacij o tej temi. V zvezi s tem smo se v LANIT-Integration odločili napisati recenzijo te tehnologije.
Ustreznost
Tehnologija TH temelji na procesih spremljanja infrastrukture.. Opozorilo (podobno storitvam MSSP) je tradicionalna metoda iskanja predhodno razvitih podpisov in znakov napadov ter odzivanja nanje. Ta scenarij uspešno izvedejo tradicionalna zaščitna orodja, ki temeljijo na podpisu. Hunting (storitev vrste MDR) je metoda spremljanja, ki odgovarja na vprašanje "Od kod prihajajo podpisi in pravila?" Je proces ustvarjanja korelacijskih pravil z analizo skritih ali prej neznanih indikatorjev in znakov napada. Lov na grožnje se nanaša na to vrsto spremljanja.
Le s kombinacijo obeh vrst nadzora dobimo zaščito, ki je blizu idealne, vendar vedno obstaja določena stopnja preostalega tveganja.
Zaščita z dvema vrstama nadzora
In tukaj je razlog, zakaj bo TH (in lov v celoti!) postajal vse bolj aktualen:
Grožnje, sredstva, tveganja.
. Sem spadajo vrste, kot so vsiljena pošta, DDoS, virusi, rootkiti in druga klasična zlonamerna programska oprema. Pred temi grožnjami se lahko zaščitite z istimi klasičnimi varnostnimi ukrepi.
Med izvajanjem katerega koli projekta, preostalih 20% dela pa traja 80% časa. Podobno bo v celotnem okolju groženj 5 % novih groženj predstavljalo 70 % tveganja za podjetje. V podjetju, kjer imamo organizirane procese upravljanja informacijske varnosti, lahko tako ali drugače obvladujemo 30 % tveganja implementacije znanih groženj z izogibanjem (načelno zavračanje brezžičnih omrežij), sprejemanjem (izvajanje potrebnih varnostnih ukrepov) ali prestavljanjem. (na primer na pleča integratorja) to tveganje. Zaščitite se pred, APT napadi, lažno predstavljanje,, kibernetsko vohunjenje in nacionalne operacije ter veliko število drugih napadov so že veliko težje. Posledice teh 5% groženj bodo veliko resnejše () kot posledice neželene pošte ali virusov, pred katerimi rešuje protivirusna programska oprema.
Skoraj vsak se mora soočiti s 5 % groženj. Nedavno smo morali namestiti odprtokodno rešitev, ki uporablja aplikacijo iz repozitorija PEAR (PHP Extension and Application Repository). Poskus namestitve te aplikacije prek namestitve hruške ni uspel, ker ni bil na voljo (zdaj je na njem škrbina), sem ga moral namestiti iz GitHuba. In prav pred kratkim se je izkazalo, da je HRUŠKA postala žrtev.
Še vedno se lahko spomnite, epidemijo izsiljevalske programske opreme NePetya prek modula za posodobitev programa za davčno poročanje. Grožnje postajajo vse bolj sofisticirane in postavlja se logično vprašanje - "Kako se lahko zoperstavimo tem 5% grožnjam?"
Opredelitev lova na grožnje
Lov na grožnje je torej proces proaktivnega in ponavljajočega se iskanja ter odkrivanja naprednih groženj, ki jih tradicionalna varnostna orodja ne morejo zaznati. Napredne grožnje vključujejo na primer napade, kot je APT, napade na 0-dnevne ranljivosti, Living off the Land itd.
Lahko tudi preoblikujemo, da je TH proces testiranja hipotez. Gre za pretežno ročni proces z elementi avtomatizacije, pri katerem analitik na podlagi svojega znanja in veščin prebira velike količine informacij v iskanju znakov kompromisa, ki ustrezajo prvotno postavljeni hipotezi o prisotnosti določene grožnje. Njegova značilnost je raznolikost virov informacij.
Opozoriti je treba, da Lov na grožnje ni nekakšen izdelek programske ali strojne opreme. To niso opozorila, ki jih je mogoče videti v neki rešitvi. To ni postopek iskanja IOC (Identifikatorji ogroženosti). In to ni nekakšna pasivna dejavnost, ki se zgodi brez sodelovanja analitikov informacijske varnosti. Lov na grožnje je predvsem proces.
Komponente lova na grožnje
Tri glavne komponente lova na grožnje: podatki, tehnologija, ljudje.
Podatki (kaj?), vključno z velikimi podatki. Vse vrste prometnih tokov, informacije o prejšnjih APT-jih, analitika, podatki o aktivnosti uporabnikov, podatki o omrežju, informacije zaposlenih, informacije na temnem omrežju in še mnogo več.
Tehnologije (kako?) obdelava teh podatkov – vsi možni načini obdelave teh podatkov, vključno s strojnim učenjem.
Ljudje ki?) – tisti, ki imajo bogate izkušnje z analizo različnih napadov, razvito intuicijo in sposobnost zaznavanja napada. Običajno so to analitiki informacijske varnosti, ki morajo imeti sposobnost generiranja hipotez in iskanja potrditve zanje. So glavni člen v procesu.
Model PARIS
Adam Bateman Model PARIS za idealen proces TH. Ime namiguje na znamenito znamenitost v Franciji. Ta model je mogoče gledati v dveh smereh - od zgoraj in od spodaj.
Ko se prebijamo skozi model od spodaj navzgor, bomo naleteli na veliko dokazov o zlonamerni dejavnosti. Vsak kos dokaza ima merilo, imenovano zaupanje – značilnost, ki odraža težo tega dokaza. Obstaja »železo«, neposredni dokaz zlonamerne dejavnosti, po katerem lahko takoj dosežemo vrh piramide in ustvarimo dejansko opozorilo o točno znani okužbi. In obstajajo posredni dokazi, katerih seštevek nas lahko pripelje tudi na vrh piramide. Kot vedno je posrednih dokazov veliko več kot neposrednih, kar pomeni, da jih je treba razvrščati in analizirati, opraviti dodatne raziskave in priporočljivo je to avtomatizirati.
Model PARIS.
Zgornji del modela (1 in 2) temelji na tehnologijah avtomatizacije in različnih analitikih, spodnji del (3 in 4) pa na ljudeh z določenimi kvalifikacijami, ki vodijo proces. Razmislite o modelu, ki se premika od zgoraj navzdol, kjer imamo v zgornjem delu modre barve opozorila tradicionalnih varnostnih orodij (protivirusni program, EDR, požarni zid, podpisi) z visoko stopnjo zaupanja in zaupanja, spodaj pa so indikatorji ( IOC, URL, MD5 in drugi), ki imajo nižjo stopnjo gotovosti in zahtevajo dodatno študijo. In najnižja in najdebelejša raven (4) je generiranje hipotez, ustvarjanje novih scenarijev delovanja tradicionalnih načinov zaščite. Ta raven ni omejena samo na določene vire hipotez. Nižja kot je stopnja, več zahtev je za analitikove kvalifikacije.
Zelo pomembno je, da analitiki ne samo testirajo končnega nabora vnaprej določenih hipotez, temveč nenehno ustvarjajo nove hipoteze in možnosti za njihovo testiranje.
Model zrelosti uporabe TH
V idealnem svetu je TH stalen proces. Ker pa idealnega sveta ni, analizirajmo in metode v smislu ljudi, procesov in uporabljenih tehnologij. Oglejmo si model idealnega sferičnega TH. Obstaja 5 stopenj uporabe te tehnologije. Poglejmo jih na primeru evolucije ene same ekipe analitikov.
Stopnje zrelosti
Ljudje
Procesi
Tehnologija
Raven 0
Analitiki SOC
24/7
Tradicionalni instrumenti:
Tradicionalni
Niz opozoril
Pasivno spremljanje
IDS, AV, peskovnik,
Brez TH
Delo z opozorili
Orodja za analizo podpisov, podatki o obveščanju o grožnjah.
Raven 1
Analitiki SOC
Enkratni TH
EDR
Eksperimentalno
Osnovno znanje forenzike
Iskanje IOC
Delna pokritost podatkov iz omrežnih naprav
Poskusi s TH
Dobro poznavanje omrežij in aplikacij
Delna uporaba
Raven 2
Začasna zaposlitev
Sprinti
EDR
Periodično
Povprečno poznavanje forenzike
Iz tedna v mesec
Celotna aplikacija
Začasni TH
Odlično poznavanje omrežij in aplikacij
Redni TH
Popolna avtomatizacija uporabe podatkov EDR
Delna uporaba naprednih zmogljivosti EDR
Raven 3
Namenski ukaz TH
24/7
Delna sposobnost preverjanja hipotez TH
Preventivno
Odlično poznavanje forenzike in zlonamerne programske opreme
Preventivni TH
Polna uporaba naprednih zmogljivosti EDR
Posebni primeri TH
Odlično poznavanje napadalske strani
Posebni primeri TH
Popolna pokritost podatkov iz omrežnih naprav
Konfiguracija, ki ustreza vašim potrebam
Raven 4
Namenski ukaz TH
24/7
Popolna sposobnost testiranja hipotez TH
Vodenje
Odlično poznavanje forenzike in zlonamerne programske opreme
Preventivni TH
3. stopnja, plus:
Uporaba TH
Odlično poznavanje napadalske strani
Testiranje, avtomatizacija in preverjanje hipotez TH
tesna integracija podatkovnih virov;
Raziskovalna sposobnost
razvoj po potrebah in nestandardna uporaba API-ja.
Stopnje zrelosti TH glede na ljudi, procese in tehnologije
0. stopnja: tradicionalno, brez uporabe TH. Redni analitiki delajo s standardnim naborom opozoril v načinu pasivnega spremljanja z uporabo standardnih orodij in tehnologij: IDS, AV, peskovnik, orodja za analizo podpisov.
1. stopnja: eksperimentalno, z uporabo TH. Isti analitiki z osnovnim znanjem forenzike in dobrim poznavanjem omrežij in aplikacij lahko izvedejo enkraten Threat Hunting z iskanjem indikatorjev ogroženosti. EDR-ji so dodani orodjem z delnim pokrivanjem podatkov iz omrežnih naprav. Orodja so delno rabljena.
2. stopnja: periodična, začasna TH. Isti analitiki, ki so že nadgradili svoje znanje na področju forenzike, omrežij in aplikativnega dela, se morajo redno ukvarjati s Threat Huntingom (sprint), recimo teden dni v mesecu. Orodja dodajajo popolno raziskovanje podatkov iz omrežnih naprav, avtomatizacijo analize podatkov iz EDR in delno uporabo naprednih zmogljivosti EDR.
3. stopnja: preventivno, pogosti primeri TH. Naši analitiki so se organizirali v namensko ekipo in začeli odlično poznati forenziko in zlonamerno programsko opremo, pa tudi metode in taktike napadajoče strani. Postopek že poteka 24/7. Ekipa lahko delno preizkusi hipoteze TH, hkrati pa v celoti izkoristi napredne zmogljivosti EDR s popolno pokritostjo podatkov iz omrežnih naprav. Analitiki lahko tudi konfigurirajo orodja, ki ustrezajo njihovim potrebam.
4. stopnja: high-end, uporabite TH. Ista ekipa je pridobila sposobnost raziskovanja, sposobnost generiranja in avtomatizacije procesa testiranja TH hipotez. Zdaj so orodja dopolnjena s tesno integracijo podatkovnih virov, razvojem programske opreme za izpolnjevanje potreb in nestandardno uporabo API-jev.
Tehnike lova na grožnje
Osnovne tehnike lova na grožnje
К TH, po vrstnem redu zrelosti uporabljene tehnologije, so: osnovno iskanje, statistična analiza, vizualizacijske tehnike, preprosta združevanja, strojno učenje in Bayesove metode.
Najenostavnejša metoda, osnovno iskanje, se uporablja za zožitev področja raziskovanja s posebnimi poizvedbami. Statistična analiza se uporablja na primer za sestavo tipične dejavnosti uporabnika ali omrežja v obliki statističnega modela. Tehnike vizualizacije se uporabljajo za vizualni prikaz in poenostavitev analize podatkov v obliki grafov in grafikonov, s katerimi je veliko lažje razbrati vzorce v vzorcu. Za optimizacijo iskanja in analize se uporablja tehnika enostavnega združevanja po ključnih poljih. Bolj ko je proces TH v organizaciji zrel, bolj relevantna postane uporaba algoritmov strojnega učenja. Pogosto se uporabljajo tudi pri filtriranju neželene pošte, odkrivanju zlonamernega prometa in odkrivanju goljufivih dejavnosti. Naprednejši tip algoritma strojnega učenja so Bayesove metode, ki omogočajo razvrščanje, zmanjšanje velikosti vzorca in modeliranje teme.
Diamantni model in strategije TH
Sergio Caltagiron, Andrew Pendegast in Christopher Betz v svojem delu "» je pokazal glavne ključne komponente vsake zlonamerne dejavnosti in osnovno povezavo med njimi.
Diamantni model za zlonamerno dejavnost
V skladu s tem modelom obstajajo 4 strategije lova na grožnje, ki temeljijo na ustreznih ključnih komponentah.
1. Strategija, usmerjena v žrtve. Predvidevamo, da ima žrtev nasprotnike in da bodo "priložnosti" ponudili po e-pošti. Po pošti iščemo podatke o sovražniku. Poiščite povezave, priloge itd. Potrditev te hipoteze iščemo določen čas (mesec, dva tedna), če je ne najdemo, potem hipoteza ni delovala.
2. Infrastrukturno usmerjena strategija. Obstaja več načinov za uporabo te strategije. Glede na dostop in vidnost so nekateri lažji od drugih. Na primer, spremljamo strežnike domenskih imen, za katere je znano, da gostijo zlonamerne domene. Ali pa gremo skozi postopek spremljanja vseh novih registracij domenskih imen za znani vzorec, ki ga uporablja nasprotnik.
3. Strategija, ki temelji na zmogljivostih. Poleg strategije, osredotočene na žrtve, ki jo uporablja večina zaščitnikov omrežja, obstaja strategija, osredotočena na priložnosti. Je drugi najbolj priljubljen in se osredotoča na zaznavanje zmožnosti nasprotnika, in sicer »zlonamerne programske opreme« in zmožnosti nasprotnika, da uporablja zakonita orodja, kot so psexec, powershell, certutil in druga.
4. Proti sovražniku usmerjena strategija. Pristop, osredotočen na nasprotnika, se osredotoča na nasprotnika samega. To vključuje uporabo odprtih informacij iz javno dostopnih virov (OSINT), zbiranje podatkov o sovražniku, njegovih tehnikah in metodah (TTP), analizo prejšnjih incidentov, podatke Threat Intelligence itd.
Viri informacij in hipoteze v TH
Nekateri viri informacij za lov na grožnje
Virov informacij je lahko veliko. Idealen analitik bi moral biti sposoben pridobiti informacije iz vsega, kar je okoli. Tipični viri v skoraj vsaki infrastrukturi bodo podatki iz varnostnih orodij: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Prav tako bodo tipični viri informacij različni indikatorji ogroženosti, storitve Threat Intelligence, podatki CERT in OSINT. Poleg tega lahko uporabite informacije iz temnega omrežja (na primer, nenadoma pride ukaz za vdor v nabiralnik vodje organizacije ali pa je bil kandidat za položaj omrežnega inženirja razkrit zaradi svoje dejavnosti), informacije, prejete od HR (ocene kandidata iz prejšnjega delovnega mesta), informacije varnostne službe (na primer rezultati preverjanja nasprotne stranke).
Toda preden uporabimo vse razpoložljive vire, je treba imeti vsaj eno hipotezo.
Da bi preverili hipoteze, jih je treba najprej postaviti. In da bi postavili veliko kakovostnih hipotez, je treba uporabiti sistematičen pristop. Postopek generiranja hipotez je podrobneje opisan v, je zelo priročno vzeti to shemo kot osnovo za postopek postavljanja hipotez.
Glavni vir hipotez bo matriko ATT&CK (Nasprotne taktike, tehnike in splošno znanje). To je v bistvu baza znanja in model za ocenjevanje vedenja napadalcev, ki izvajajo svoje dejavnosti v zadnjih korakih napada, običajno opisanih s konceptom verige ubijanja. To je v fazah po tem, ko je napadalec prodrl v notranje omrežje podjetja ali v mobilno napravo. Baza znanja je prvotno vključevala opise 121 taktik in tehnik, uporabljenih v napadu, od katerih je vsaka podrobno opisana v formatu Wiki. Različne analitike obveščanja o grožnjah so zelo primerne kot vir za ustvarjanje hipotez. Posebej velja izpostaviti rezultate infrastrukturnih analiz in penetracijskih testov – to so najdragocenejši podatki, ki nam lahko dajo železne hipoteze, saj temeljijo na specifični infrastrukturi z njenimi specifičnimi pomanjkljivostmi.
Postopek testiranja hipotez
Prinesel je Sergej Soldatov s podrobnim opisom procesa ponazarja proces testiranja hipotez TH v enem samem sistemu. Navedel bom glavne faze s kratkim opisom.
1. stopnja: kmetija TI
Na tej stopnji je treba poudariti predmetov (tako, da jih analiziramo skupaj z vsemi podatki o grožnjah) in jim dodelimo oznake za njihove značilnosti. To so datoteka, URL, MD5, proces, pripomoček, dogodek. Ko jih prenašate skozi sisteme obveščanja o grožnjah, je treba pripeti oznake. To pomeni, da je bilo to mesto opaženo v CNC v tem in tem letu, ta MD5 je bil povezan s to in to zlonamerno programsko opremo, ta MD5 je bil prenesen s strani, ki je distribuirala zlonamerno programsko opremo.
2. stopnja: Primeri
Na drugi stopnji pogledamo interakcijo med temi objekti in ugotovimo odnose med vsemi temi objekti. Dobivamo označene sisteme, ki delajo nekaj slabega.
3. stopnja: analitik
Na tretji stopnji se primer prenese na izkušenega analitika, ki ima bogate izkušnje z analizo, in ta izda sodbo. Razčleni do bajtov, kaj, kje, kako, zakaj in zakaj ta koda počne. To telo je zlonamerna programska oprema, ta računalnik je bil okužen. Razkriva povezave med predmeti, preverja rezultate teka skozi peskovnik.
Rezultate dela analitika posredujemo naprej. Digitalna forenzika pregleda slike, analiza zlonamerne programske opreme preuči najdena »telesa«, ekipa za odzivanje na incidente pa lahko obišče spletno mesto in razišče nekaj, kar je že tam. Rezultat dela bo potrjena hipoteza, identificiran napad in načini za boj proti njemu.
Rezultati
Threat Hunting je dokaj mlada tehnologija, ki se lahko učinkovito zoperstavi prilagojenim, novim in nestandardnim grožnjam, kar ima veliko perspektivo glede na naraščajoče število tovrstnih groženj in vse večjo kompleksnost korporativne infrastrukture. Zahteva tri komponente - podatke, orodja in analitike. Prednosti lova na grožnje niso omejene na preprečevanje izvajanja groženj. Ne pozabite, da se med postopkom iskanja potopimo v našo infrastrukturo in njene šibke točke skozi oči varnostnega analitika in lahko te točke dodatno okrepimo.
Prvi koraki, ki jih je po našem mnenju treba storiti za začetek procesa TH v vaši organizaciji.
- Poskrbite za zaščito končnih točk in omrežne infrastrukture. Poskrbite za vidnost (NetFlow) in nadzor (požarni zid, IDS, IPS, DLP) vseh procesov v vašem omrežju. Spoznajte svoje omrežje od robnega usmerjevalnika do zadnjega gostitelja.
- Raziščite.
- Redno izvajajte pentest vsaj ključnih zunanjih virov, analizirajte njegove rezultate, identificirajte glavne tarče za napad in zaprite njihove ranljivosti.
- Implementirajte odprtokodni sistem Threat Intelligence (na primer MISP, Yeti) in analizirajte dnevnike v povezavi z njim.
- Implementirajte platformo za odziv na incidente (IRP): R-Vision IRP, The Hive, peskovnik za analizo sumljivih datotek (FortiSandbox, Cuckoo).
- Avtomatizirajte rutinske procese. Analiza dnevnikov, beleženje incidentov, obveščanje osebja je ogromno polje za avtomatizacijo.
- Naučite se učinkovite interakcije z inženirji, razvijalci in tehnično podporo za sodelovanje pri incidentih.
- Dokumentirajte celoten proces, ključne točke, dosežene rezultate, da se lahko kasneje vrnete k njim ali delite te podatke s sodelavci;
- Bodite družabni: zavedajte se, kaj se dogaja z vašimi zaposlenimi, koga najamete in komu omogočite dostop do informacijskih virov organizacije.
- Bodite na tekočem s trendi na področju novih groženj in načinov zaščite, dvigujte raven tehnične pismenosti (tudi pri delovanju IT storitev in podsistemov), udeležujte se konferenc in komunicirajte s sodelavci.
Pripravljen razpravljati o organizaciji postopka TH v komentarjih.
Ali pa pridite delat z nami!
Viri in materiali za študij
Vir: www.habr.com