95% ของภัยคุกคามด้านความปลอดภัยของข้อมูลเป็นที่ทราบกันดีอยู่แล้ว และคุณสามารถป้องกันตัวเองจากภัยคุกคามเหล่านี้ได้โดยใช้วิธีการแบบดั้งเดิม เช่น โปรแกรมป้องกันไวรัส ไฟร์วอลล์ IDS และ WAF ภัยคุกคามที่เหลืออีก 5% ไม่เป็นที่รู้จักและอันตรายที่สุด สิ่งเหล่านี้ถือเป็น 70% ของความเสี่ยงสำหรับบริษัทเนื่องจากการตรวจพบได้ยากมาก และมีการป้องกันน้อยกว่ามาก ตัวอย่าง ได้แก่การแพร่ระบาดของแรนซัมแวร์ WannaCry, NotPetya/ExPetr, นักขุดคริปโต, “อาวุธไซเบอร์” Stuxnet (ซึ่งโจมตีโรงงานนิวเคลียร์ของอิหร่าน) และการโจมตีอื่นๆ อีกมากมาย (มีใครจำ Kido/Conficker ได้บ้าง) ที่ไม่ได้รับการปกป้องอย่างดีจากมาตรการรักษาความปลอดภัยแบบดั้งเดิม เราต้องการพูดคุยเกี่ยวกับวิธีรับมือกับภัยคุกคาม 5% เหล่านี้โดยใช้เทคโนโลยี Threat Hunting
การพัฒนาอย่างต่อเนื่องของการโจมตีทางไซเบอร์จำเป็นต้องมีการตรวจจับและการตอบโต้อย่างต่อเนื่อง ซึ่งท้ายที่สุดแล้วทำให้เรานึกถึงการแข่งขันทางอาวุธที่ไม่มีที่สิ้นสุดระหว่างผู้โจมตีและผู้ปกป้อง ระบบรักษาความปลอดภัยแบบคลาสสิกไม่สามารถให้ระดับความปลอดภัยที่ยอมรับได้อีกต่อไป ซึ่งระดับความเสี่ยงจะไม่ส่งผลกระทบต่อตัวชี้วัดสำคัญของบริษัท (เศรษฐกิจ การเมือง ชื่อเสียง) โดยไม่ต้องปรับเปลี่ยนโครงสร้างพื้นฐานเฉพาะ แต่โดยทั่วไปจะครอบคลุมบางส่วน ความเสี่ยง ระบบรักษาความปลอดภัยสมัยใหม่อยู่ในกระบวนการดำเนินการและกำหนดค่าแล้ว พบว่าตัวเองมีบทบาทในการตามทันและต้องตอบสนองต่อความท้าทายในยุคใหม่
หนึ่งในคำตอบสำหรับความท้าทายในยุคของเราสำหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลก็คือเทคโนโลยี Threat Hunting คำว่า Threat Hunting (ต่อไปนี้จะเรียกว่า TH) ปรากฏเมื่อหลายปีก่อน เทคโนโลยีนี้ค่อนข้างน่าสนใจ แต่ยังไม่มีมาตรฐานและกฎเกณฑ์ที่ยอมรับโดยทั่วไป เรื่องนี้ยังมีความซับซ้อนเนื่องจากความหลากหลายของแหล่งข้อมูลและแหล่งข้อมูลภาษารัสเซียจำนวนเล็กน้อยในหัวข้อนี้ ในเรื่องนี้ พวกเราที่ LANIT-Integration ตัดสินใจเขียนบทวิจารณ์เกี่ยวกับเทคโนโลยีนี้
ความทันสมัย
เทคโนโลยี TH อาศัยกระบวนการตรวจสอบโครงสร้างพื้นฐาน. การแจ้งเตือน (คล้ายกับบริการ MSSP) เป็นวิธีดั้งเดิมในการค้นหาลายเซ็นและสัญญาณการโจมตีที่พัฒนาไว้ก่อนหน้านี้ และตอบสนองต่อสิ่งเหล่านั้น สถานการณ์นี้ดำเนินการได้สำเร็จด้วยเครื่องมือป้องกันที่ใช้ลายเซ็นแบบดั้งเดิม การล่าสัตว์ (บริการประเภท MDR) เป็นวิธีการตรวจสอบที่ตอบคำถาม “ลายเซ็นและกฎมาจากไหน” เป็นกระบวนการสร้างกฎความสัมพันธ์โดยการวิเคราะห์ตัวบ่งชี้และสัญญาณการโจมตีที่ซ่อนอยู่หรือที่ไม่รู้จักก่อนหน้านี้ การตามล่าภัยคุกคามหมายถึงการเฝ้าติดตามประเภทนี้
ด้วยการรวมการตรวจสอบทั้งสองประเภทเข้าด้วยกัน เราจึงได้รับการปกป้องที่ใกล้เคียงกับอุดมคติ แต่มีความเสี่ยงตกค้างในระดับหนึ่งเสมอ
การป้องกันโดยใช้การตรวจสอบสองประเภท
และนี่คือเหตุผลว่าทำไม TH (และการตามล่าทั้งหมด!) จึงมีความเกี่ยวข้องมากขึ้น:
ภัยคุกคาม การเยียวยา ความเสี่ยง
. ซึ่งรวมถึงประเภทต่างๆ เช่น สแปม, DDoS, ไวรัส, รูทคิท และมัลแวร์คลาสสิกอื่นๆ คุณสามารถป้องกันตัวเองจากภัยคุกคามเหล่านี้ได้โดยใช้มาตรการรักษาความปลอดภัยแบบคลาสสิกเดียวกัน
ในระหว่างการดำเนินโครงการใดๆและงานที่เหลืออีก 20% ใช้เวลา 80% ในทำนองเดียวกัน ทั่วทั้งภาพรวมภัยคุกคาม 5% ของภัยคุกคามใหม่จะคิดเป็น 70% ของความเสี่ยงต่อบริษัท ในบริษัทที่มีการจัดกระบวนการจัดการความปลอดภัยของข้อมูล เราสามารถจัดการความเสี่ยง 30% ของการดำเนินการตามภัยคุกคามที่ทราบไม่ทางใดก็ทางหนึ่งโดยการหลีกเลี่ยง (การปฏิเสธเครือข่ายไร้สายโดยหลักการ) การยอมรับ (การใช้มาตรการรักษาความปลอดภัยที่จำเป็น) หรือการเปลี่ยนแปลง (เช่น บนไหล่ของผู้ประกอบ) ความเสี่ยงนี้ ป้องกันตัวเองจาก, การโจมตี APT, ฟิชชิ่ง,การจารกรรมทางไซเบอร์และการปฏิบัติการระดับชาติตลอดจนการโจมตีอื่น ๆ จำนวนมากนั้นยากกว่ามากอยู่แล้ว ผลที่ตามมาของภัยคุกคาม 5% เหล่านี้จะร้ายแรงกว่านี้มาก () มากกว่าผลที่ตามมาของสแปมหรือไวรัสซึ่งซอฟต์แวร์ป้องกันไวรัสบันทึกไว้
เกือบทุกคนต้องรับมือกับภัยคุกคาม 5% เมื่อเร็วๆ นี้ เราต้องติดตั้งโซลูชันโอเพ่นซอร์สที่ใช้แอปพลิเคชันจากที่เก็บ PEAR (PHP Extension และ Application Repository) ความพยายามที่จะติดตั้งแอปพลิเคชันนี้ผ่านการติดตั้งแพร์ล้มเหลวเนื่องจาก ไม่พร้อมใช้งาน (ตอนนี้มีต้นขั้วอยู่) ฉันต้องติดตั้งจาก GitHub และเมื่อไม่นานมานี้ปรากฎว่า PEAR กลายเป็นเหยื่อ.
คุณยังจำได้อยู่ซึ่งเป็นการแพร่ระบาดของแรนซัมแวร์ NePetya ผ่านโมดูลอัปเดตสำหรับโปรแกรมการรายงานภาษี. ภัยคุกคามมีความซับซ้อนมากขึ้นเรื่อยๆ และคำถามเชิงตรรกะก็เกิดขึ้น - “เราจะรับมือกับภัยคุกคาม 5% เหล่านี้ได้อย่างไร”
คำจำกัดความของการล่าภัยคุกคาม
ดังนั้น Threat Hunting จึงเป็นกระบวนการค้นหาและตรวจจับภัยคุกคามขั้นสูงในเชิงรุกและวนซ้ำซึ่งเครื่องมือรักษาความปลอดภัยแบบเดิมไม่สามารถตรวจพบได้ ภัยคุกคามขั้นสูงได้แก่ การโจมตีเช่น APT การโจมตีช่องโหว่ 0 วัน Living off the Land และอื่นๆ
นอกจากนี้เรายังสามารถเรียบเรียงใหม่ได้ว่า TH เป็นกระบวนการทดสอบสมมติฐาน นี่เป็นกระบวนการที่ต้องดำเนินการด้วยตนเองเป็นส่วนใหญ่ซึ่งมีองค์ประกอบของระบบอัตโนมัติ ซึ่งนักวิเคราะห์ต้องอาศัยความรู้และทักษะของเขา กรองข้อมูลจำนวนมากเพื่อค้นหาสัญญาณของการประนีประนอมที่สอดคล้องกับสมมติฐานที่กำหนดในตอนแรกเกี่ยวกับการมีอยู่ของภัยคุกคามบางอย่าง ลักษณะเด่นคือมีแหล่งข้อมูลที่หลากหลาย
ควรสังเกตว่า Threat Hunting ไม่ใช่ผลิตภัณฑ์ซอฟต์แวร์หรือฮาร์ดแวร์บางประเภท สิ่งเหล่านี้ไม่ใช่การแจ้งเตือนที่สามารถเห็นได้ในวิธีแก้ปัญหาบางอย่าง นี่ไม่ใช่กระบวนการค้นหาของ IOC (ตัวระบุการประนีประนอม) และนี่ไม่ใช่กิจกรรมเชิงโต้ตอบที่เกิดขึ้นโดยปราศจากการมีส่วนร่วมของนักวิเคราะห์ความปลอดภัยของข้อมูล การตามล่าภัยคุกคามถือเป็นกระบวนการแรกและสำคัญที่สุด
ส่วนประกอบของการล่าภัยคุกคาม
องค์ประกอบหลักสามประการของ Threat Hunting: ข้อมูล เทคโนโลยี ผู้คน
ข้อมูล (อะไร?)รวมถึงบิ๊กดาต้า การรับส่งข้อมูลทุกประเภท ข้อมูลเกี่ยวกับ APT ก่อนหน้า การวิเคราะห์ ข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้ ข้อมูลเครือข่าย ข้อมูลจากพนักงาน ข้อมูลบน darknet และอื่นๆ อีกมากมาย
เทคโนโลยี (อย่างไร?) ประมวลผลข้อมูลนี้ - วิธีที่เป็นไปได้ทั้งหมดในการประมวลผลข้อมูลนี้ รวมถึงการเรียนรู้ของเครื่อง
คนที่?) – ผู้ที่มีประสบการณ์มากมายในการวิเคราะห์การโจมตีต่างๆ พัฒนาสัญชาตญาณและความสามารถในการตรวจจับการโจมตี โดยทั่วไปแล้วคนเหล่านี้คือนักวิเคราะห์ความปลอดภัยของข้อมูลซึ่งจะต้องมีความสามารถในการสร้างสมมติฐานและค้นหาคำยืนยันได้ สิ่งเหล่านี้คือลิงก์หลักในกระบวนการนี้
โมเดลปารีส
อดัม เบทแมน โมเดล PARIS สำหรับกระบวนการ TH ในอุดมคติ ชื่อนี้พาดพิงถึงสถานที่สำคัญที่มีชื่อเสียงในฝรั่งเศส รุ่นนี้สามารถดูได้สองทิศทาง - จากด้านบนและด้านล่าง
ในขณะที่เราดำเนินการตามแบบจำลองจากล่างขึ้นบน เราจะพบหลักฐานมากมายที่แสดงถึงกิจกรรมที่เป็นอันตราย หลักฐานแต่ละชิ้นมีมาตรการที่เรียกว่าความเชื่อมั่นซึ่งเป็นคุณลักษณะที่สะท้อนถึงน้ำหนักของหลักฐานนี้ มี "เหล็ก" ซึ่งเป็นหลักฐานโดยตรงของกิจกรรมที่เป็นอันตราย ซึ่งเราสามารถไปถึงยอดพีระมิดได้ทันทีและสร้างการแจ้งเตือนจริงเกี่ยวกับการติดเชื้อที่ทราบแน่ชัด และมีหลักฐานทางอ้อมซึ่งผลรวมนี้สามารถพาเราไปสู่ยอดปิรามิดได้ เช่นเคย มีหลักฐานทางอ้อมมากกว่าหลักฐานโดยตรง ซึ่งหมายความว่าจำเป็นต้องจัดเรียงและวิเคราะห์ ต้องมีการวิจัยเพิ่มเติม และแนะนำให้ทำเช่นนี้โดยอัตโนมัติ
โมเดลปารีส.
ส่วนบนของแบบจำลอง (1 และ 2) จะขึ้นอยู่กับเทคโนโลยีระบบอัตโนมัติและการวิเคราะห์ต่างๆ และส่วนล่าง (3 และ 4) จะขึ้นอยู่กับผู้ที่มีคุณสมบัติบางอย่างที่จัดการกระบวนการ คุณสามารถพิจารณาโมเดลที่ย้ายจากบนลงล่าง โดยที่ส่วนบนของสีน้ำเงินเรามีการแจ้งเตือนจากเครื่องมือรักษาความปลอดภัยแบบเดิม (แอนตี้ไวรัส, EDR, ไฟร์วอลล์, ลายเซ็น) ด้วยความมั่นใจและความไว้วางใจในระดับสูง และด้านล่างนี้คือตัวบ่งชี้ ( IOC, URL, MD5 และอื่นๆ) ซึ่งมีระดับความเชื่อมั่นต่ำกว่าและต้องมีการศึกษาเพิ่มเติม และระดับต่ำสุดและหนาที่สุด (4) คือการสร้างสมมติฐาน การสร้างสถานการณ์ใหม่สำหรับการดำเนินการตามวิธีการป้องกันแบบดั้งเดิม ระดับนี้ไม่ได้จำกัดอยู่เพียงแหล่งที่มาของสมมติฐานที่ระบุเท่านั้น ยิ่งระดับต่ำลง คุณสมบัติของนักวิเคราะห์ก็จะยิ่งมีข้อกำหนดมากขึ้น
เป็นสิ่งสำคัญมากที่นักวิเคราะห์ไม่เพียงแค่ทดสอบสมมติฐานที่กำหนดไว้ล่วงหน้าจำนวนหนึ่งเท่านั้น แต่ยังทำงานอย่างต่อเนื่องเพื่อสร้างสมมติฐานใหม่และตัวเลือกสำหรับการทดสอบเหล่านั้น
รูปแบบครบกำหนดการใช้งาน TH
ในโลกอุดมคติ TH เป็นกระบวนการที่กำลังดำเนินอยู่ แต่เนื่องจากไม่มีโลกในอุดมคติ มาวิเคราะห์กันดีกว่า และวิธีการทั้งในด้านบุคลากร กระบวนการ และเทคโนโลยีที่ใช้ ให้เราพิจารณาแบบจำลองของ TH ทรงกลมในอุดมคติ การใช้เทคโนโลยีนี้มี 5 ระดับ ลองดูพวกเขาโดยใช้ตัวอย่างวิวัฒนาการของทีมนักวิเคราะห์เพียงทีมเดียว
ระดับวุฒิภาวะ
คน
กระบวนการต่างๆ
เทคโนโลยี
ระดับ 0
นักวิเคราะห์ SOC
24/7
เครื่องดนตรีแบบดั้งเดิม:
เก่าแก่
ชุดการแจ้งเตือน
การตรวจสอบแบบพาสซีฟ
IDS, AV, แซนด์บ็อกซ์,
ไม่มี TH
ทำงานกับการแจ้งเตือน
เครื่องมือวิเคราะห์ลายเซ็น ข้อมูล Threat Intelligence
ระดับ 1
นักวิเคราะห์ SOC
TH ครั้งเดียว
EDR
การทดลอง
ความรู้พื้นฐานด้านนิติเวช
ค้นหาไอโอซี
ครอบคลุมข้อมูลจากอุปกรณ์เครือข่ายบางส่วน
การทดลองกับ TH
มีความรู้ด้าน Network และ Application เป็นอย่างดี
การสมัครบางส่วน
ระดับ 2
อาชีพชั่วคราว
Sprints
EDR
เป็นระยะ
ความรู้เฉลี่ยด้านนิติเวช
สัปดาห์ต่อเดือน
สมัครเต็ม
ชั่วคราว TH
มีความรู้ดีเยี่ยมเกี่ยวกับเครือข่ายและแอปพลิเคชัน
ปกติ
การใช้ข้อมูล EDR อัตโนมัติเต็มรูปแบบ
การใช้ความสามารถ EDR ขั้นสูงบางส่วน
ระดับ 3
คำสั่ง TH เฉพาะ
24/7
ความสามารถบางส่วนในการทดสอบสมมติฐาน TH
การป้องกัน
มีความรู้ดีเยี่ยมด้านนิติเวชและมัลแวร์
การป้องกัน TH
ใช้ความสามารถ EDR ขั้นสูงอย่างเต็มที่
กรณีพิเศษ TH
ความรู้ที่ยอดเยี่ยมเกี่ยวกับฝ่ายรุก
กรณีพิเศษ TH
ครอบคลุมข้อมูลจากอุปกรณ์เครือข่ายอย่างเต็มรูปแบบ
การกำหนดค่าให้เหมาะกับความต้องการของคุณ
ระดับ 4
คำสั่ง TH เฉพาะ
24/7
ความสามารถเต็มรูปแบบในการทดสอบสมมติฐาน TH
เป็นผู้นำ
มีความรู้ดีเยี่ยมด้านนิติเวชและมัลแวร์
การป้องกัน TH
ระดับ 3 บวก:
การใช้ TH
ความรู้ที่ยอดเยี่ยมเกี่ยวกับฝ่ายรุก
การทดสอบ ระบบอัตโนมัติ และการตรวจสอบสมมติฐาน TH
การบูรณาการแหล่งข้อมูลอย่างแน่นหนา
ความสามารถในการวิจัย
พัฒนาตามความต้องการและการใช้งาน API ที่ไม่ได้มาตรฐาน
ระดับวุฒิภาวะของ TH ตามบุคลากร กระบวนการ และเทคโนโลยี
ระดับ 0: แบบดั้งเดิมโดยไม่ต้องใช้ TH นักวิเคราะห์ทั่วไปทำงานร่วมกับชุดการแจ้งเตือนมาตรฐานในโหมดการตรวจสอบแบบพาสซีฟโดยใช้เครื่องมือและเทคโนโลยีมาตรฐาน: IDS, AV, แซนด์บ็อกซ์, เครื่องมือวิเคราะห์ลายเซ็น
ระดับ 1: ทดลองโดยใช้ TH. นักวิเคราะห์คนเดียวกันที่มีความรู้พื้นฐานด้านนิติเวชและความรู้ที่ดีเกี่ยวกับเครือข่ายและแอปพลิเคชันสามารถดำเนินการตามล่าภัยคุกคามแบบครั้งเดียวโดยการค้นหาตัวบ่งชี้ของการประนีประนอม EDR จะถูกเพิ่มเข้าไปในเครื่องมือโดยครอบคลุมข้อมูลบางส่วนจากอุปกรณ์เครือข่าย เครื่องมือถูกใช้ไปบางส่วน
ระดับ 2: เป็นระยะ, ชั่วคราว TH. นักวิเคราะห์คนเดียวกันที่ได้ยกระดับความรู้ของตนในด้านนิติเวช เครือข่าย และส่วนของแอปพลิเคชันแล้ว จะต้องเข้าร่วมใน Threat Hunting (sprint) เป็นประจำ เช่น สัปดาห์ต่อเดือน เครื่องมือนี้เพิ่มการสำรวจข้อมูลจากอุปกรณ์เครือข่าย การวิเคราะห์ข้อมูลจาก EDR โดยอัตโนมัติ และการใช้ความสามารถ EDR ขั้นสูงบางส่วน
ระดับ 3: กรณีป้องกันที่พบบ่อยของ TH นักวิเคราะห์ของเราจัดตัวเองเป็นทีมเฉพาะและเริ่มมีความรู้ที่ยอดเยี่ยมในด้านนิติเวชและมัลแวร์ รวมถึงความรู้เกี่ยวกับวิธีการและยุทธวิธีของฝ่ายโจมตี กระบวนการนี้ดำเนินการแล้วตลอด 24 ชั่วโมงทุกวัน ทีมงานสามารถทดสอบสมมติฐาน TH ได้บางส่วน ในขณะที่ใช้ประโยชน์จากความสามารถขั้นสูงของ EDR ได้อย่างเต็มที่ พร้อมข้อมูลที่ครอบคลุมจากอุปกรณ์เครือข่าย นักวิเคราะห์ยังสามารถกำหนดค่าเครื่องมือให้เหมาะกับความต้องการของตนได้
ระดับ 4: ไฮเอนด์ ใช้ TH. ทีมเดียวกันได้รับความสามารถในการวิจัย ความสามารถในการสร้างและทำให้กระบวนการทดสอบสมมติฐาน TH เป็นไปโดยอัตโนมัติ ขณะนี้เครื่องมือได้รับการเสริมด้วยการบูรณาการแหล่งข้อมูลอย่างใกล้ชิด การพัฒนาซอฟต์แวร์เพื่อตอบสนองความต้องการ และการใช้ API ที่ไม่ได้มาตรฐาน
เทคนิคการล่าภัยคุกคาม
เทคนิคการล่าภัยคุกคามขั้นพื้นฐาน
К TH ตามลำดับความสมบูรณ์ของเทคโนโลยีที่ใช้ ได้แก่ การค้นหาขั้นพื้นฐาน การวิเคราะห์ทางสถิติ เทคนิคการแสดงภาพ การรวมกลุ่มอย่างง่าย การเรียนรู้ของเครื่อง และวิธีการแบบเบย์
วิธีที่ง่ายที่สุดคือการค้นหาขั้นพื้นฐานใช้เพื่อจำกัดขอบเขตการวิจัยให้แคบลงโดยใช้ข้อความค้นหาเฉพาะ ตัวอย่างเช่น การวิเคราะห์ทางสถิติใช้เพื่อสร้างผู้ใช้ทั่วไปหรือกิจกรรมเครือข่ายในรูปแบบของแบบจำลองทางสถิติ เทคนิคการแสดงภาพใช้ในการแสดงภาพและทำให้การวิเคราะห์ข้อมูลในรูปแบบของกราฟและแผนภูมิง่ายขึ้น ซึ่งทำให้แยกแยะรูปแบบในตัวอย่างได้ง่ายขึ้นมาก เทคนิคการรวมอย่างง่ายตามฟิลด์สำคัญใช้เพื่อเพิ่มประสิทธิภาพการค้นหาและการวิเคราะห์ ยิ่งกระบวนการ TH เข้าถึงในองค์กรได้เต็มที่มากขึ้นเท่าใด การใช้อัลกอริธึมการเรียนรู้ของเครื่องก็จะยิ่งมีความเกี่ยวข้องมากขึ้นเท่านั้น นอกจากนี้ยังใช้กันอย่างแพร่หลายในการกรองสแปม ตรวจจับการรับส่งข้อมูลที่เป็นอันตราย และตรวจจับกิจกรรมการฉ้อโกง อัลกอริธึมแมชชีนเลิร์นนิงประเภทขั้นสูงกว่าคือวิธีการแบบเบย์ ซึ่งช่วยในการจำแนกประเภท การลดขนาดตัวอย่าง และการสร้างแบบจำลองหัวข้อ
แบบจำลองเพชรและกลยุทธ์ TH
Sergio Caltagiron, Andrew Pendegast และ Christopher Betz ในงานของพวกเขา "» แสดงองค์ประกอบหลักสำคัญของกิจกรรมที่เป็นอันตรายและการเชื่อมโยงพื้นฐานระหว่างกิจกรรมเหล่านั้น
แบบจำลองเพชรสำหรับกิจกรรมที่เป็นอันตราย
ตามโมเดลนี้มีกลยุทธ์ Threat Hunting อยู่ 4 กลยุทธ์ ซึ่งอิงตามองค์ประกอบหลักที่เกี่ยวข้อง
1. กลยุทธ์ที่มุ่งเน้นผู้เสียหาย เราถือว่าเหยื่อมีฝ่ายตรงข้ามและพวกเขาจะมอบ "โอกาส" ทางอีเมล เรากำลังมองหาข้อมูลศัตรูทางไปรษณีย์ ค้นหาลิงก์ ไฟล์แนบ ฯลฯ เรากำลังมองหาการยืนยันสมมติฐานนี้ในช่วงเวลาหนึ่ง (หนึ่งเดือน สองสัปดาห์) หากไม่พบ แสดงว่าสมมติฐานนั้นไม่ได้ผล
2. กลยุทธ์ที่มุ่งเน้นโครงสร้างพื้นฐาน มีหลายวิธีในการใช้กลยุทธ์นี้ ขึ้นอยู่กับการเข้าถึงและการมองเห็น บางอย่างง่ายกว่าอย่างอื่น ตัวอย่างเช่น เราตรวจสอบเนมเซิร์ฟเวอร์โดเมนที่ทราบว่าโฮสต์โดเมนที่เป็นอันตราย หรือเราดำเนินการตามกระบวนการตรวจสอบการจดทะเบียนชื่อโดเมนใหม่ทั้งหมดเพื่อหารูปแบบที่ทราบซึ่งใช้โดยฝ่ายตรงข้าม
3. กลยุทธ์ที่ขับเคลื่อนด้วยความสามารถ นอกเหนือจากกลยุทธ์ที่เน้นเหยื่อซึ่งใช้โดยผู้พิทักษ์เครือข่ายส่วนใหญ่แล้ว ยังมีกลยุทธ์ที่เน้นโอกาสอีกด้วย เป็นโปรแกรมที่ได้รับความนิยมเป็นอันดับสองและมุ่งเน้นไปที่การตรวจจับความสามารถจากฝ่ายตรงข้าม ซึ่งก็คือ “มัลแวร์” และความสามารถของฝ่ายตรงข้ามในการใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น psexec, powershell, certutil และอื่นๆ
4. กลยุทธ์ที่มุ่งเน้นศัตรู แนวทางที่มีปฏิปักษ์เป็นศูนย์กลางมุ่งเน้นไปที่ตัวปฏิปักษ์เอง ซึ่งรวมถึงการใช้ข้อมูลเปิดจากแหล่งข้อมูลสาธารณะ (OSINT) การรวบรวมข้อมูลเกี่ยวกับศัตรู เทคนิคและวิธีการของเขา (TTP) การวิเคราะห์เหตุการณ์ก่อนหน้านี้ ข้อมูลข่าวกรองภัยคุกคาม ฯลฯ
แหล่งที่มาของข้อมูลและสมมติฐานใน TH
แหล่งข้อมูลบางส่วนสำหรับ Threat Hunting
สามารถมีแหล่งข้อมูลได้มากมาย นักวิเคราะห์ในอุดมคติควรสามารถดึงข้อมูลจากทุกสิ่งที่อยู่รอบตัวได้ แหล่งข้อมูลทั่วไปในโครงสร้างพื้นฐานเกือบทุกประเภทจะเป็นข้อมูลจากเครื่องมือรักษาความปลอดภัย: DLP, SIEM, IDS/IPS, WAF/FW, EDR นอกจากนี้ แหล่งข้อมูลทั่วไปจะเป็นตัวบ่งชี้ต่างๆ ของการประนีประนอม บริการข่าวกรองภัยคุกคาม ข้อมูล CERT และ OSINT นอกจากนี้ คุณสามารถใช้ข้อมูลจาก darknet ได้ (เช่น จู่ๆ มีคำสั่งให้แฮ็กกล่องจดหมายของหัวหน้าองค์กร หรือผู้สมัครตำแหน่งวิศวกรเครือข่ายถูกเปิดเผยสำหรับกิจกรรมของเขา) ข้อมูลที่ได้รับจาก HR (บทวิจารณ์ของผู้สมัครจากสถานที่ทำงานเดิม) ข้อมูลจากบริการรักษาความปลอดภัย (เช่น ผลการตรวจสอบของคู่สัญญา)
แต่ก่อนที่จะใช้แหล่งข้อมูลที่มีอยู่ทั้งหมด จำเป็นต้องมีสมมติฐานอย่างน้อยหนึ่งข้อก่อน
เพื่อที่จะทดสอบสมมติฐานนั้น จะต้องหยิบยกขึ้นมาก่อน และเพื่อที่จะเสนอสมมติฐานคุณภาพสูงจำนวนมาก จำเป็นต้องใช้แนวทางที่เป็นระบบ กระบวนการสร้างสมมติฐานมีการอธิบายรายละเอียดเพิ่มเติมในสะดวกมากที่จะใช้โครงการนี้เป็นพื้นฐานสำหรับกระบวนการตั้งสมมติฐาน
แหล่งที่มาหลักของสมมติฐานจะเป็น เมทริกซ์ ATT&CK (ยุทธวิธีฝ่ายตรงข้าม เทคนิค และความรู้ทั่วไป) โดยพื้นฐานแล้ว มันคือฐานความรู้และแบบจำลองสำหรับการประเมินพฤติกรรมของผู้โจมตีที่ดำเนินกิจกรรมของพวกเขาในขั้นตอนสุดท้ายของการโจมตี ซึ่งมักจะอธิบายโดยใช้แนวคิดของ Kill Chain นั่นคือในขั้นตอนหลังจากที่ผู้โจมตีได้เจาะเครือข่ายภายในขององค์กรหรือบนอุปกรณ์เคลื่อนที่ ฐานความรู้เดิมมีคำอธิบายยุทธวิธีและเทคนิค 121 รายการที่ใช้ในการโจมตี ซึ่งแต่ละคำอธิบายมีรายละเอียดอยู่ในรูปแบบ Wiki การวิเคราะห์ข่าวกรองภัยคุกคามต่างๆ เหมาะอย่างยิ่งสำหรับเป็นแหล่งสร้างสมมติฐาน สิ่งที่น่าสังเกตเป็นพิเศษคือผลลัพธ์ของการวิเคราะห์โครงสร้างพื้นฐานและการทดสอบการเจาะระบบ ซึ่งเป็นข้อมูลที่มีค่าที่สุดที่สามารถให้สมมติฐานที่แข็งแกร่งแก่เรา เนื่องจากข้อเท็จจริงที่ว่าสิ่งเหล่านั้นอยู่บนพื้นฐานของโครงสร้างพื้นฐานเฉพาะที่มีข้อบกพร่องเฉพาะ
กระบวนการทดสอบสมมติฐาน
Sergei Soldatov นำมา พร้อมคำอธิบายกระบวนการโดยละเอียด แสดงให้เห็นขั้นตอนการทดสอบสมมติฐาน TH ในระบบเดียว ฉันจะระบุขั้นตอนหลักพร้อมคำอธิบายสั้น ๆ
ด่าน 1: ฟาร์ม TI
ในขั้นตอนนี้จำเป็นต้องเน้น วัตถุ (โดยการวิเคราะห์ร่วมกับข้อมูลภัยคุกคามทั้งหมด) และติดป้ายกำกับคุณลักษณะต่างๆ สิ่งเหล่านี้ได้แก่ ไฟล์, URL, MD5, กระบวนการ, ยูทิลิตี้, เหตุการณ์ เมื่อส่งผ่านระบบ Threat Intelligence จำเป็นต้องแนบแท็ก นั่นคือไซต์นี้ถูกพบใน CNC ในปีดังกล่าว MD5 นี้เกี่ยวข้องกับมัลแวร์ดังกล่าว MD5 นี้ถูกดาวน์โหลดจากไซต์ที่เผยแพร่มัลแวร์
ขั้นที่ 2: กรณีต่างๆ
ในขั้นที่สอง เราจะดูปฏิสัมพันธ์ระหว่างวัตถุเหล่านี้และระบุความสัมพันธ์ระหว่างวัตถุเหล่านี้ทั้งหมด เราได้รับระบบที่ทำเครื่องหมายว่าทำสิ่งที่ไม่ดี
ขั้นที่ 3: นักวิเคราะห์
ในขั้นตอนที่สาม กรณีดังกล่าวจะถูกโอนไปยังนักวิเคราะห์ที่มีประสบการณ์และมีประสบการณ์ในการวิเคราะห์อย่างกว้างขวาง และเขาก็จะตัดสิน เขาแยกวิเคราะห์เป็นไบต์ว่าโค้ดนี้ทำอะไร ที่ไหน อย่างไร ทำไม และเพราะเหตุใด ร่างกายนี้เป็นมัลแวร์ คอมพิวเตอร์เครื่องนี้ติดไวรัส เผยการเชื่อมต่อระหว่างออบเจ็กต์ ตรวจสอบผลลัพธ์ของการรันผ่านแซนด์บ็อกซ์
ผลงานของนักวิเคราะห์จะถูกถ่ายทอดต่อไป นิติวิทยาศาสตร์ดิจิทัลตรวจสอบรูปภาพ การวิเคราะห์มัลแวร์ตรวจสอบ "ศพ" ที่พบ และทีมตอบสนองต่อเหตุการณ์สามารถไปที่ไซต์และตรวจสอบบางสิ่งที่มีอยู่แล้วได้ ผลลัพธ์ของงานจะเป็นสมมติฐานที่ได้รับการยืนยัน การโจมตีที่ระบุได้ และวิธีการตอบโต้
ผลของการ
Threat Hunting เป็นเทคโนโลยีที่ค่อนข้างใหม่ที่สามารถตอบโต้ภัยคุกคามแบบกำหนดเอง ใหม่และไม่ได้มาตรฐานได้อย่างมีประสิทธิภาพ ซึ่งมีแนวโน้มที่ดีเมื่อพิจารณาจากจำนวนภัยคุกคามดังกล่าวที่เพิ่มขึ้นและความซับซ้อนที่เพิ่มขึ้นของโครงสร้างพื้นฐานขององค์กร โดยต้องมีองค์ประกอบ XNUMX ส่วน ได้แก่ ข้อมูล เครื่องมือ และนักวิเคราะห์ ประโยชน์ของ Threat Hunting ไม่ได้จำกัดอยู่ที่การป้องกันการดำเนินการตามภัยคุกคามเท่านั้น อย่าลืมว่าในระหว่างกระบวนการค้นหา เราจะเจาะลึกโครงสร้างพื้นฐานของเราและจุดอ่อนผ่านสายตาของนักวิเคราะห์ความปลอดภัย และสามารถเสริมความแข็งแกร่งให้กับประเด็นเหล่านี้ได้
ขั้นตอนแรกที่ตามความเห็นของเรา จำเป็นต้องดำเนินการเพื่อเริ่มกระบวนการ TH ในองค์กรของคุณ
- ดูแลการปกป้องอุปกรณ์ปลายทางและโครงสร้างพื้นฐานเครือข่าย ดูแลการมองเห็น (NetFlow) และการควบคุม (ไฟร์วอลล์, IDS, IPS, DLP) ของกระบวนการทั้งหมดในเครือข่ายของคุณ รู้จักเครือข่ายของคุณตั้งแต่เราเตอร์ Edge ไปจนถึงโฮสต์สุดท้าย
- สำรวจ.
- ดำเนินการทดสอบทรัพยากรภายนอกที่สำคัญอย่างน้อยเป็นประจำ วิเคราะห์ผลลัพธ์ ระบุเป้าหมายหลักสำหรับการโจมตี และปิดช่องโหว่
- ติดตั้งระบบ Threat Intelligence แบบโอเพ่นซอร์ส (เช่น MISP, Yeti) และวิเคราะห์บันทึกร่วมกับระบบดังกล่าว
- ใช้แพลตฟอร์มตอบสนองต่อเหตุการณ์ (IRP): R-Vision IRP, The Hive, แซนด์บ็อกซ์สำหรับการวิเคราะห์ไฟล์ที่น่าสงสัย (FortiSandbox, Cuckoo)
- ทำให้กระบวนการตามปกติเป็นไปโดยอัตโนมัติ การวิเคราะห์บันทึก การบันทึกเหตุการณ์ การแจ้งพนักงานถือเป็นสาขาใหญ่สำหรับระบบอัตโนมัติ
- เรียนรู้ที่จะโต้ตอบอย่างมีประสิทธิภาพกับวิศวกร นักพัฒนา และฝ่ายสนับสนุนด้านเทคนิคเพื่อทำงานร่วมกันในเหตุการณ์ต่างๆ
- บันทึกกระบวนการทั้งหมด ประเด็นสำคัญ ผลลัพธ์ที่ได้เพื่อกลับมาดูในภายหลังหรือแบ่งปันข้อมูลนี้กับเพื่อนร่วมงาน
- เข้าสังคม: ระวังสิ่งที่เกิดขึ้นกับพนักงานของคุณ ใครที่คุณจ้าง และใครที่คุณให้สิทธิ์ในการเข้าถึงแหล่งข้อมูลขององค์กร
- ติดตามแนวโน้มในด้านภัยคุกคามและวิธีการป้องกันใหม่ๆ เพิ่มระดับความรู้ทางเทคนิคของคุณ (รวมถึงในการดำเนินการของบริการไอทีและระบบย่อย) เข้าร่วมการประชุม และสื่อสารกับเพื่อนร่วมงาน
พร้อมหารือเกี่ยวกับการจัดกระบวนการ TH ในความคิดเห็น
หรือมาร่วมงานกับเรา!
แหล่งที่มาและวัสดุที่จะศึกษา
ที่มา: will.com