95 % av informationssäkerhetshoten är kända och du kan skydda dig mot dem med traditionella metoder som antivirus, brandväggar, IDS, WAF. De återstående 5 % av hoten är okända och de farligaste. De utgör 70 % av risken för ett företag på grund av att det är mycket svårt att upptäcka dem, än mindre skydda mot dem. Exempel är WannaCry ransomware-epidemin, NotPetya/ExPetr, kryptominerare, "cybervapnet" Stuxnet (som drabbade Irans kärnkraftsanläggningar) och många (någon annan minns Kido/Conficker?) andra attacker som inte är särskilt väl försvarade mot med klassiska säkerhetsåtgärder. Vi vill prata om hur man kan motverka dessa 5 % av hoten med hjälp av Threat Hunting-teknik.
Den kontinuerliga utvecklingen av cyberattacker kräver ständig upptäckt och motåtgärder, vilket i slutändan får oss att tänka på en oändlig kapprustning mellan angripare och försvarare. Klassiska säkerhetssystem kan inte längre tillhandahålla en acceptabel säkerhetsnivå där risknivån inte påverkar företagets nyckelindikatorer (ekonomiska, politiska, rykte) utan att modifiera dem för en specifik infrastruktur, men i allmänhet täcker de en del av de risker. Redan i processen för implementering och konfiguration befinner sig moderna säkerhetssystem i rollen att komma ikapp och måste svara på den nya tidens utmaningar.
Threat Hunting-teknik kan vara ett av svaren på vår tids utmaningar för en informationssäkerhetsspecialist. Begreppet Hotjakt (nedan kallat TH) dök upp för flera år sedan. Tekniken i sig är ganska intressant, men har ännu inte några allmänt accepterade standarder och regler. Saken kompliceras också av heterogeniteten i informationskällor och det lilla antalet ryskspråkiga informationskällor om detta ämne. I detta avseende beslutade vi på LANIT-Integration att skriva en recension av denna teknik.
aktualitet
TH-tekniken är beroende av processer för övervakning av infrastruktur.. Varning (liknande MSSP-tjänster) är en traditionell metod för att söka efter tidigare utvecklade signaturer och tecken på attacker och svara på dem. Detta scenario utförs framgångsrikt av traditionella signaturbaserade skyddsverktyg. Jakt (tjänst av MDR-typ) är en övervakningsmetod som svarar på frågan "Var kommer signaturer och regler ifrån?" Det är processen att skapa korrelationsregler genom att analysera dolda eller tidigare okända indikatorer och tecken på en attack. Hotjakt avser denna typ av övervakning.
Endast genom att kombinera båda typerna av övervakning får vi ett skydd som är nära idealiskt, men det finns alltid en viss kvarstående risk.
Skydd med två typer av övervakning
Och här är anledningen till att TH (och jakt i sin helhet!) kommer att bli allt mer relevant:
Hot, botemedel, risker.
. Dessa inkluderar typer som spam, DDoS, virus, rootkits och annan klassisk skadlig programvara. Du kan skydda dig mot dessa hot med samma klassiska säkerhetsåtgärder.
Under genomförandet av något projekt, och de återstående 20% av arbetet tar 80% av tiden. På samma sätt, över hela hotbilden, kommer 5 % av nya hot att stå för 70 % av risken för ett företag. I ett företag där informationssäkerhetshanteringsprocesser är organiserade kan vi hantera 30 % av risken för implementering av kända hot på ett eller annat sätt genom att undvika (vägra trådlösa nätverk i princip), acceptera (implementera nödvändiga säkerhetsåtgärder) eller skifta (till exempel på axlarna av en integratör) denna risk. Skydda dig från, APT-attacker, nätfiske,, cyberspionage och nationella operationer, samt ett stort antal andra attacker är redan mycket svårare. Konsekvenserna av dessa 5 % av hoten kommer att bli mycket allvarligare () än konsekvenserna av spam eller virus, som antivirusprogram sparar från.
Nästan alla måste hantera 5 % av hoten. Vi var nyligen tvungna att installera en öppen källkodslösning som använder en applikation från PEAR-förvaret (PHP Extension and Application Repository). Ett försök att installera det här programmet via päroninstallation misslyckades pga var inte tillgänglig (nu finns det en stubb på den), jag var tvungen att installera den från GitHub. Och alldeles nyligen visade det sig att PEAR blev ett offer.
Kan du fortfarande minnas, en epidemi av NePetya ransomware genom en uppdateringsmodul för ett skatterapporteringsprogram. Hoten blir mer och mer sofistikerade, och den logiska frågan uppstår - "Hur kan vi motverka dessa 5% av hoten?"
Definition av hotjakt
Så, Threat Hunting är processen för proaktiv och iterativ sökning och upptäckt av avancerade hot som inte kan upptäckas av traditionella säkerhetsverktyg. Avancerade hot inkluderar till exempel attacker som APT, attacker på 0-dagars sårbarheter, Living off the Land, och så vidare.
Vi kan också omformulera att TH är processen att testa hypoteser. Detta är en övervägande manuell process med inslag av automatisering, där analytikern, med sin kunskap och sina färdigheter, sållar igenom stora mängder information på jakt efter tecken på kompromiss som motsvarar den initialt bestämda hypotesen om förekomsten av ett visst hot. Dess särdrag är mängden informationskällor.
Det bör noteras att Threat Hunting inte är någon form av mjukvara eller hårdvaruprodukt. Dessa är inte varningar som kan ses i någon lösning. Detta är inte en IOC (Identifiers of Compromise) sökprocess. Och detta är inte någon form av passiv aktivitet som sker utan deltagande av informationssäkerhetsanalytiker. Hotjakt är först och främst en process.
Komponenter i hotjakt
Tre huvudkomponenter i Threat Hunting: data, teknik, människor.
Data (vad?), inklusive Big Data. Alla typer av trafikflöden, information om tidigare APT, analyser, data om användaraktivitet, nätverksdata, information från anställda, information på darknet och mycket mer.
Teknik (hur?) bearbetning av dessa data – alla möjliga sätt att bearbeta dessa data, inklusive maskininlärning.
Människor som?) – de som har lång erfarenhet av att analysera olika attacker, utvecklad intuition och förmåga att upptäcka en attack. Vanligtvis är dessa informationssäkerhetsanalytiker som måste ha förmågan att generera hypoteser och hitta bekräftelse för dem. De är huvudlänken i processen.
Modell PARIS
Adam Bateman PARIS-modell för den ideala TH-processen. Namnet anspelar på ett känt landmärke i Frankrike. Denna modell kan ses i två riktningar - uppifrån och underifrån.
När vi arbetar oss igenom modellen nerifrån och upp kommer vi att stöta på många bevis på skadlig aktivitet. Varje bevis har ett mått som kallas förtroende - en egenskap som återspeglar vikten av dessa bevis. Det finns "järn", direkta bevis på skadlig aktivitet, enligt vilket vi omedelbart kan nå toppen av pyramiden och skapa en faktisk varning om en exakt känd infektion. Och det finns indirekta bevis, vars summa också kan leda oss till toppen av pyramiden. Som alltid finns det mycket mer indirekt evidens än direkt evidens, vilket gör att de behöver sorteras och analyseras, ytterligare forskning måste göras, och det är lämpligt att automatisera detta.
Modell PARIS.
Den övre delen av modellen (1 och 2) bygger på automationsteknologier och olika analyser och den nedre delen (3 och 4) är baserad på personer med vissa kvalifikationer som leder processen. Du kan överväga att modellen rör sig från topp till botten, där vi i den övre delen av den blå färgen har varningar från traditionella säkerhetsverktyg (antivirus, EDR, brandvägg, signaturer) med en hög grad av förtroende och förtroende, och nedan finns indikatorer ( IOC, URL, MD5 och andra), som har en lägre grad av säkerhet och kräver ytterligare studier. Och den lägsta och tjockaste nivån (4) är genereringen av hypoteser, skapandet av nya scenarier för driften av traditionella skyddsmedel. Denna nivå är inte begränsad till endast de specificerade hypoteskällorna. Ju lägre nivå desto fler krav ställs på analytikerns meriter.
Det är mycket viktigt att analytiker inte bara testar en ändlig uppsättning förutbestämda hypoteser, utan ständigt arbetar för att generera nya hypoteser och alternativ för att testa dem.
TH Användningsmognadsmodell
I en ideal värld är TH en pågående process. Men eftersom det inte finns någon ideal värld, låt oss analysera och metoder i termer av människor, processer och tekniker som används. Låt oss betrakta en modell av en ideal sfärisk TH. Det finns 5 nivåer för att använda denna teknik. Låt oss titta på dem med hjälp av exemplet på utvecklingen av ett enda team av analytiker.
Mognadsnivåer
Människor
Processerna
Teknik
0-nivå
SOC-analytiker
24/7
Traditionella instrument:
Traditionell
Uppsättning av varningar
Passiv övervakning
IDS, AV, Sandboxing,
Utan TH
Arbeta med varningar
Signaturanalysverktyg, Threat Intelligence-data.
1-nivå
SOC-analytiker
Engångs TH
EDR
Experimentell
Grundläggande kunskaper i kriminalteknik
IOC-sökning
Partiell täckning av data från nätverksenheter
Experiment med TH
God kunskap om nätverk och applikationer
Delvis tillämpning
2-nivå
Tillfällig ockupation
Sprintar
EDR
Periodisk
Genomsnittlig kunskap om kriminalteknik
Vecka till månad
Fullständig ansökan
Tillfällig TH
Utmärkt kunskap om nätverk och applikationer
Vanlig TH
Full automatisering av EDR-dataanvändning
Delvis användning av avancerade EDR-funktioner
3-nivå
Dedikerat TH-kommando
24/7
Partiell förmåga att testa hypoteser TH
Förebyggande
Utmärkt kunskap om kriminalteknik och skadlig programvara
Förebyggande TH
Full användning av avancerade EDR-funktioner
Specialfall TH
Utmärkt kunskap om anfallssidan
Specialfall TH
Full täckning av data från nätverksenheter
Konfiguration för att passa dina behov
4-nivå
Dedikerat TH-kommando
24/7
Full förmåga att testa TH-hypoteser
Ledande
Utmärkt kunskap om kriminalteknik och skadlig programvara
Förebyggande TH
Nivå 3, plus:
Använder TH
Utmärkt kunskap om anfallssidan
Testning, automatisering och verifiering av hypoteser TH
tät integration av datakällor;
Forskningsförmåga
utveckling efter behov och icke-standardiserad användning av API.
TH mognadsnivåer av människor, processer och teknologier
Nivå 0: traditionella, utan att använda TH. Regelbundna analytiker arbetar med en standarduppsättning av varningar i passivt övervakningsläge med hjälp av standardverktyg och -tekniker: IDS, AV, sandlåda, signaturanalysverktyg.
Nivå 1: experimentell med TH. Samma analytiker med grundläggande kunskaper om kriminalteknik och goda kunskaper om nätverk och applikationer kan utföra engångshotsjakt genom att söka efter indikatorer på kompromiss. EDR:er läggs till i verktygen med partiell täckning av data från nätverksenheter. Verktygen används delvis.
Nivå 2: periodisk, tillfällig TH. Samma analytiker som redan har uppgraderat sina kunskaper inom kriminalteknik, nätverk och applikationsdelen måste regelbundet ägna sig åt hotjakt (sprint), säg en vecka i månaden. Verktygen lägger till fullständig utforskning av data från nätverksenheter, automatisering av dataanalys från EDR och delvis användning av avancerade EDR-funktioner.
Nivå 3: förebyggande, frekventa fall av TH. Våra analytiker organiserade sig i ett dedikerat team och började ha utmärkta kunskaper om kriminalteknik och skadlig kod, samt kunskap om den attackerande sidans metoder och taktik. Processen genomförs redan 24/7. Teamet kan delvis testa TH-hypoteser samtidigt som de fullt ut utnyttjar de avancerade funktionerna hos EDR med full täckning av data från nätverksenheter. Analytiker kan också konfigurera verktyg för att passa deras behov.
Nivå 4: high-end, använd TH. Samma team skaffade sig förmågan att forska, förmågan att generera och automatisera processen att testa TH-hypoteser. Nu har verktygen kompletterats med nära integration av datakällor, mjukvaruutveckling för att möta behov och icke-standardiserad användning av API:er.
Hot Jakttekniker
Grundläggande hotjakttekniker
К TH, i ordning efter mognad av teknologi som används, är: grundläggande sökning, statistisk analys, visualiseringstekniker, enkla aggregationer, maskininlärning och Bayesianska metoder.
Den enklaste metoden, en grundläggande sökning, används för att begränsa forskningsområdet med hjälp av specifika frågor. Statistisk analys används till exempel för att konstruera typisk användar- eller nätverksaktivitet i form av en statistisk modell. Visualiseringstekniker används för att visuellt visa och förenkla analysen av data i form av grafer och diagram, vilket gör det mycket lättare att urskilja mönster i provet. Tekniken med enkla aggregationer efter nyckelfält används för att optimera sökning och analys. Ju mognare en organisations TH-process når, desto mer relevant blir användningen av maskininlärningsalgoritmer. De används också i stor utsträckning för att filtrera spam, upptäcka skadlig trafik och upptäcka bedrägliga aktiviteter. En mer avancerad typ av maskininlärningsalgoritm är Bayesianska metoder, som möjliggör klassificering, minskning av provstorleken och ämnesmodellering.
Diamantmodell och TH-strategier
Sergio Caltagiron, Andrew Pendegast och Christopher Betz i deras arbete "» visade de viktigaste nyckelkomponenterna i alla skadliga aktiviteter och den grundläggande kopplingen mellan dem.
Diamantmodell för skadlig aktivitet
Enligt denna modell finns det 4 strategier för hotjakt, som är baserade på motsvarande nyckelkomponenter.
1. Offerorienterad strategi. Vi antar att offret har motståndare och de kommer att leverera "möjligheter" via e-post. Vi letar efter fiendedata i posten. Sök efter länkar, bilagor etc. Vi letar efter bekräftelse av denna hypotes under en viss tidsperiod (en månad, två veckor), om vi inte hittar den, så fungerade inte hypotesen.
2. Infrastrukturorienterad strategi. Det finns flera metoder för att använda denna strategi. Beroende på åtkomst och synlighet är vissa lättare än andra. Till exempel övervakar vi domännamnsservrar som är kända för att vara värd för skadliga domäner. Eller så går vi igenom processen att övervaka alla nya domännamnsregistreringar för ett känt mönster som används av en motståndare.
3. Kapacitetsdriven strategi. Utöver den offerfokuserade strategi som används av de flesta nätverksförsvarare, finns det en möjlighetsfokuserad strategi. Det är det näst mest populära och fokuserar på att upptäcka funktioner från motståndaren, nämligen "skadlig programvara" och motståndarens förmåga att använda legitima verktyg som psexec, powershell, certutil och andra.
4. Fiendeorienterad strategi. Det motståndarcentrerade tillvägagångssättet fokuserar på motståndaren själv. Detta inkluderar användning av öppen information från allmänt tillgängliga källor (OSINT), insamling av data om fienden, hans tekniker och metoder (TTP), analys av tidigare incidenter, data från hotunderrättelser, etc.
Informationskällor och hypoteser i TH
Några informationskällor för hotjakt
Det kan finnas många informationskällor. En idealisk analytiker bör kunna extrahera information från allt som finns runt omkring. Typiska källor i nästan vilken infrastruktur som helst kommer att vara data från säkerhetsverktyg: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typiska informationskällor kommer också att vara olika indikatorer på kompromiss, hotunderrättelsetjänster, CERT- och OSINT-data. Dessutom kan du använda information från darknet (till exempel plötsligt kommer det en order om att hacka postlådan till chefen för en organisation, eller en kandidat till positionen som nätverksingenjör har blivit utsatt för sin aktivitet), information som tas emot från HR (recensioner av kandidaten från en tidigare arbetsplats), information från säkerhetstjänsten (till exempel resultaten av verifiering av motparten).
Men innan du använder alla tillgängliga källor är det nödvändigt att ha minst en hypotes.
För att testa hypoteser måste de först läggas fram. Och för att lägga fram många högkvalitativa hypoteser är det nödvändigt att tillämpa ett systematiskt tillvägagångssätt. Processen att generera hypoteser beskrivs mer i detalj i, är det mycket bekvämt att ta detta schema som grund för processen att lägga fram hypoteser.
Den huvudsakliga källan till hypoteser kommer att vara ATT&CK-matris (Motstridig taktik, tekniker och allmän kunskap). Det är i huvudsak en kunskapsbas och modell för att bedöma beteendet hos angripare som utför sina aktiviteter i de sista stegen av en attack, vanligtvis beskriven med konceptet Kill Chain. Det vill säga i stadierna efter att en angripare har penetrerat ett företags interna nätverk eller på en mobil enhet. Kunskapsbasen inkluderade ursprungligen beskrivningar av 121 taktiker och tekniker som används vid attack, som var och en beskrivs i detalj i Wiki-format. Olika Threat Intelligence-analyser är väl lämpade som en källa för att generera hypoteser. Särskilt anmärkningsvärt är resultaten av infrastrukturanalyser och penetrationstester - detta är den mest värdefulla data som kan ge oss järnklädda hypoteser på grund av det faktum att de är baserade på en specifik infrastruktur med dess specifika brister.
Hypotestestningsprocess
Sergei Soldatov förde med en detaljerad beskrivning av processen illustrerar den processen att testa TH-hypoteser i ett enda system. Jag kommer att ange huvudstadierna med en kort beskrivning.
Steg 1: TI Farm
I detta skede är det nödvändigt att markera objekt (genom att analysera dem tillsammans med all hotdata) och tilldela dem etiketter för deras egenskaper. Dessa är fil, URL, MD5, process, verktyg, händelse. När du skickar dem genom Threat Intelligence-system är det nödvändigt att fästa taggar. Det vill säga, den här webbplatsen märktes i CNC under ett och ett år, denna MD5 var associerad med sådan och sådan skadlig kod, denna MD5 laddades ner från en webbplats som distribuerade skadlig programvara.
Steg 2: Fall
I det andra steget tittar vi på interaktionen mellan dessa objekt och identifierar relationerna mellan alla dessa objekt. Vi får markerade system som gör något dåligt.
Steg 3: Analytiker
I det tredje skedet överförs ärendet till en erfaren analytiker som har lång erfarenhet av analys och han fäller en dom. Han analyserar ner till bytes vad, var, hur, varför och varför den här koden gör det. Den här kroppen var skadlig programvara, den här datorn var infekterad. Avslöjar kopplingar mellan objekt, kontrollerar resultaten av att köra genom sandlådan.
Resultaten av analytikerns arbete förmedlas vidare. Digital Forensics undersöker bilder, Malware Analysis undersöker de "kroppar" som hittats, och Incident Response-teamet kan gå till platsen och undersöka något som redan finns där. Resultatet av arbetet blir en bekräftad hypotes, en identifierad attack och sätt att motverka den.
Resultat av
Threat Hunting är en ganska ung teknik som effektivt kan motverka anpassade, nya och icke-standardiserade hot, som har stora möjligheter med tanke på det växande antalet sådana hot och den ökande komplexiteten i företagsinfrastruktur. Det kräver tre komponenter – data, verktyg och analytiker. Fördelarna med Hot Jakt är inte begränsade till att förhindra implementering av hot. Glöm inte att vi under sökprocessen dyker in i vår infrastruktur och dess svaga punkter genom en säkerhetsanalytikers ögon och kan ytterligare stärka dessa punkter.
De första stegen som, enligt vår mening, behöver tas för att påbörja TH-processen i din organisation.
- Ta hand om att skydda slutpunkter och nätverksinfrastruktur. Ta hand om synlighet (NetFlow) och kontroll (brandvägg, IDS, IPS, DLP) av alla processer i ditt nätverk. Känn ditt nätverk från edge-routern till den allra sista värden.
- Utforska.
- Genomför regelbundna tester av åtminstone viktiga externa resurser, analysera dess resultat, identifiera de huvudsakliga målen för attacker och stäng deras sårbarheter.
- Implementera ett Threat Intelligence-system med öppen källkod (till exempel MISP, Yeti) och analysera loggar i samband med det.
- Implementera en incident response-plattform (IRP): R-Vision IRP, The Hive, sandlåda för att analysera misstänkta filer (FortiSandbox, Cuckoo).
- Automatisera rutinprocesser. Analys av loggar, registrering av incidenter, informera personal är ett enormt område för automatisering.
- Lär dig att effektivt interagera med ingenjörer, utvecklare och teknisk support för att samarbeta kring incidenter.
- Dokumentera hela processen, nyckelpunkter, uppnådda resultat för att återkomma till dem senare eller dela denna data med kollegor;
- Var social: Var medveten om vad som händer med dina anställda, vilka du anställer och vem du ger tillgång till organisationens informationsresurser.
- Håll dig à jour med trender inom området nya hot och skyddsmetoder, öka din nivå av teknisk kompetens (inklusive driften av IT-tjänster och delsystem), delta i konferenser och kommunicera med kollegor.
Redo att diskutera organisationen av TH-processen i kommentarerna.
Eller kom och jobba hos oss!
Källor och material att studera
Källa: will.com