95% загроз інформаційної безпеки є відомими, і захиститись від них можна традиційними засобами типу антивірусів, міжмережевих екранів, IDS, WAF. Інші 5% загроз – невідомі та найнебезпечніші. Вони становлять 70% ризику для компанії через те, що дуже непросто їх виявити і особливо від них захиститися. прикладами є епідемії шифрувальників WannaCry, NotPetya/ExPetr, криптомайнери, «кіберзброя» Stuxnet (що вразила ядерні об'єкти Ірану) і безліч (хто ще пам'ятає Kido/Conficker?) інших атак, від яких не дуже добре виходить захищатися класичними засобами захисту. Про те, як протистояти цим 5% загроз за допомогою технології Threat Hunting, ми хочемо поговорити.
Безперервний розвиток кібер-атак вимагає постійного виявлення та протидії, що зрештою призводить до думки про нескінченну гонку озброєнь між зловмисниками та захисниками. Класичні системи захисту вже не в змозі забезпечити прийнятний рівень захищеності, при якому рівень ризику не впливає на ключові показники компанії (економічні, політичні, репутацію) без їхнього доопрацювання під конкретну інфраструктуру, але загалом вони закривають частину ризиків. Вже в процесі застосування та зміни сучасні системи захисту опиняються в ролі наздоганяючого і повинні відповідати на виклики нового часу.
Однією з відповідей на виклики сучасності для фахівця з ІБ може бути технологія Threat Hunting. Термін Threat Hunting (далі за текстом – TH) з'явився кілька років тому. Сама технологія досить цікава, але ще немає загальноприйнятих стандартів і правил. Також ускладнює справу різнорідність джерел інформації та мала кількість російськомовних джерел інформації з цієї теми. У зв'язку з цим ми в «ланіт-інтеграції» вирішили написати якийсь огляд даної технології.
актуальність
Технологія TH спирається процеси моніторингу інфраструктури.. Алертинг (за типом послуг MSSP) – традиційний метод, пошук розроблених раніше сигнатур та ознак атак та реагування на них. Цей сценарій успішно виконують традиційні сигнатурні засоби захисту. Хантинг (послуга типу MDR) – метод моніторингу, який відповідає на запитання «Звідки беруться сигнатури та правила?». Це процес створення правил кореляції шляхом аналізу прихованих чи раніше невідомих індикаторів та ознак атаки. Саме до цього типу моніторингу і належить Threat Hunting.
Тільки комбінуючи обидва типи моніторингу, ми отримуємо захист, близький до ідеального, але залишається деякий рівень залишкового ризику.
Захист із використанням двох типів моніторингу
А ось чому TH (і хантінг цілком!) буде дедалі актуальнішим:
Загрози, засоби захисту, ризики.
. До них відносяться такі види, як спам, DDoS, віруси, руткіти та інші класичні шкідники. Захиститися від цих загроз можна тими самими класичними засобами захисту.
У ході виконання будь-якого проекту, а решта 20% роботи займають 80% часу. Аналогічно серед усього ландшафту загроз 5% загроз нового типу становитимуть 70% ризику для компанії. У компанії, де організовані процеси управління інформаційною безпекою, 30% ризику реалізації відомих загроз ми можемо так чи інакше керувати, уникаючи (відмова від бездротових мереж у принципі), приймаючи (впроваджуючи необхідні засоби захисту) або перекладаючи (наприклад, на плечі інтегратора) цей ризик. Захиститися ж від, APT-атак, фішингу,, кібершпигунських та національних операцій, а також від великої кількості інших атак вже набагато складніше. Наслідки ж від цих 5% загроз будуть набагато серйознішими.), ніж наслідки від спаму чи вірусів, яких рятує антивірусне ПЗ.
Із 5% загроз доводиться стикатися практично всім. Нещодавно нам доводилося встановлювати одне open-source-рішення, яке використовує програма з репозиторію PEAR (PHP Extension and Application Repository). Спроба встановити цю програму через pear install завершилася невдачею, оскільки був недоступний (зараз на ньому вже висить заглушка), довелося встановлювати його з GitHub. А буквально нещодавно з'ясувалося, що PEAR став жертвою.
Можна ще згадати, епідемію шифрувальника NePetya через модуль оновлення програми для ведення податкової звітності. Загрози стають дедалі витонченішими, і виникає логічне питання – «Як же все-таки протистояти цим 5% загроз?»
Визначення Threat Hunting
Отже, Threat Hunting – процес проактивного та ітеративного пошуку та виявлення просунутих загроз, які неможливо виявити традиційними засобами захисту. До просунутих погроз відносяться, наприклад, такі атаки, як APT, атаки на 0-day вразливості, Living off the Land і так далі.
Можна також перефразувати, що TH – це процес перевірки гіпотез. Це переважно ручний процес з елементами автоматизації, в рамках якого аналітик, спираючись на свої знання та кваліфікацію, просівають великі обсяги інформації в пошуках ознак компрометації, які відповідають спочатку певній гіпотезі про наявність певної загрози. Відмінною рисою його є різноманітність джерел інформації.
Слід зазначити, що Threat Hunting – це якийсь програмний чи залізний продукт. Це не алерти, які можна побачити у якомусь рішенні. Це не процес пошуку IOC (ідентифікаторів компрометації). І це не якась пасивна активність, що йде без участі аналітиків ІБ. Threat Hunting – насамперед процес.
Складові Threat Hunting
Три основні складові Threat Hunting: дані, технології, люди.
Дані (що?), зокрема і Big Data. Різні потоки трафіку, інформація про раніше проведені APT, аналітика, дані про активність користувача, мережеві дані, інформація від співробітників, інформація в даркнеті та багато іншого.
Технології (як?) обробки цих даних – всі можливі способи обробки даних, включаючи Machine Learning.
Люди (хто?) - Ті, хто володіє великим досвідом аналізу різноманітних атак, розвиненою інтуїцією та здатністю виявити атаку. Зазвичай це аналітики інформаційної безпеки, які повинні мати здатність генерувати гіпотези та знаходити підтвердження. Вони – основна ланка процесу.
Модель PARIS
Адам Бейтман Модель PARIS для ідеального процесу TH. Назва ніби натякає на відому визначну пам'ятку Франції. Цю модель можна розглядати у двох напрямках – зверху та знизу.
У процесі полювання на загрози, рухаючись за моделлю знизу вгору, ми матимемо справу з безліччю доказів шкідливої активності. Кожен доказ має такий захід, як впевненість – характеристика, яка відбиває вагу цього доказу. Є «залізні», прямі свідчення шкідливої активності, за якими ми можемо відразу досягти вершини піраміди і створити фактичне оповіщення про точно відоме зараження. І є непрямі докази, сума яких також може призвести до вершини піраміди. Як завжди, непрямих свідчень набагато більше, ніж прямих, а отже, їх треба сортувати та аналізувати, проводити додаткові дослідження та бажано це автоматизувати.
Модель PARIS.
Верхня частина моделі (1 та 2) заснована на технологіях автоматизації та різноманітної аналітики, а нижня частина (3 та 4) на людях з певною кваліфікацією, які керують процесом. Можна розглядати модель, рухаючись зверху вниз, де у верхній частині синього кольору ми оповіщення від традиційних засобів захисту (антивірус, EDR, файрвол, сигнатури) з високим ступенем впевненості та довіри, а нижче показники (IOC, URL, MD5 та інші), які мають менший ступінь впевненості та потребують додаткового вивчення. І найнижчий і найтовстіший рівень (4) – генерація гіпотез, створення нових сценаріїв роботи традиційних засобів захисту. Цей рівень не обмежується лише зазначеними джерелами гіпотез. Чим нижчий рівень, тим більше вимог висувається до кваліфікації аналітика.
Дуже важливо, щоб аналітики не просто перевіряли кінцевий набір заздалегідь визначених гіпотез, а постійно працювали над тим, щоб генерувати нові гіпотези та варіанти перевірки.
Модель зрілості використання TH
В ідеальному світі TH – це безперервний процес. Але оскільки ідеального світу не буває, проаналізуємо та методи у розрізі людей, процесів та використовуваних технологій. Розглянемо модель ідеального сферичного TH. Є 5 рівнів використання цієї технології. Розглянемо їх з прикладу еволюції окремо взятої команди аналітиків.
Рівні зрілості
Люди
процеси
Технології
Рівень 0
Аналітики SOC
24/7
Традиційні інструменти:
Традиційний
Набір алертів
Пасивний моніторинг
IDS, AV, Sandboxing,
Без TH
Робота з алертами
засоби сигнатурного аналізу, дані Threat Intelligence.
Рівень 1
Аналітики SOC
Одноразовий TH
EDR
Експериментальний
Базові знання форензики
Пошук IOC
Часткове охоплення даних від мережевих пристроїв
Експерименти з TH
Хороше знання мереж та прикладної частини
Часткове застосування
Рівень 2
Тимчасове заняття
Спринти
EDR
Періодичний
Середні знання форензики
Тиждень на місяць
Повне застосування
Тимчасовий TH
Відмінне знання мереж та прикладної частини
Регулярний TH
Повна автоматизація використання даних EDR
Часткове використання розширених можливостей EDR
Рівень 3
Виділена команда TH
24/7
Часткова можливість перевіряти гіпотези TH
Превентивний
Відмінні знання форензики та шкідливого ПЗ
Превентивний TH
Повне використання розширених можливостей EDR
Окремі випадки TH
Відмінні знання атакуючої сторони
Окремі випадки TH
Повне охоплення даних від мережевих пристроїв
Конфігурація під потреби
Рівень 4
Виділена команда TH
24/7
Повна можливість перевіряти гіпотези TH
Лідируючий
Відмінні знання форензики та шкідливого ПЗ
Превентивний TH
Рівень 3 плюс:
Використання TH
Відмінні знання атакуючої сторони
Перевірка, автоматизація та верифікація гіпотез TH
тісна інтеграція джерел;
Здатність до досліджень
розробка під потреби та нестандартне використання API.
Рівні зрілості TH у розрізі людей, процесів та технологій
Рівень 0: традиційний, без використання TH. Звичайні аналітики працюють зі стандартним набором алертів у режимі пасивного моніторингу з використанням стандартних інструментів та технологій: IDS, AV, пісочниці, засобів сигнатурного аналізу.
Рівень 1: експериментальний з використанням TH. Ті ж аналітики з базовими знаннями форензики та гарним знанням мереж та прикладної частини можуть здійснити одноразовий Threat Hunting за допомогою пошуку індикаторів компрометації. До інструментів додаються EDR з частковим охопленням даних від мережевих пристроїв. Інструменти використовуються частково.
Рівень 2: періодичний, тимчасовий TH. Тим самим аналітикам, які вже прокачали свої знання з форензики, мереж і прикладної частини ставиться в обов'язок регулярне заняття (спринт) Threat Hunting'ом, скажімо, тиждень на місяць. До інструментів додаються повне дослідження даних від мережевих пристроїв, автоматизація аналізу даних від EDR та часткове використання розширених можливостей EDR.
Рівень 3: превентивний, часті випадки TH. Наші аналітики організувалися у виділену команду, стали володіти відмінними знаннями форензики та шкідливого ПЗ, також знаннями про методи та тактики роботи атакуючої сторони. Процес здійснюється в режимі 24/7. Команда здатна частково перевіряти гіпотези TH, повністю використовуючи розширені можливості EDR з охопленням даних від мережевих пристроїв. Також аналітики можуть конфігурувати інструменти під свої потреби.
Рівень 4: лідируючий, використання TH. Та ж команда набула здатності до досліджень, вміння генерувати та автоматизувати процес перевірки гіпотез TH. Тепер до інструментів додалася тісна інтеграція джерел даних, розробка програмного забезпечення під потреби та нестандартне використання API.
Техніки Threat Hunting
Базові техніки Threat Hunting
К TH у порядку зрілості використовуваної технології відносяться: базовий пошук, статистичний аналіз, техніки візуалізації, прості агрегації, машинне навчання та байєсовські методи.
Найпростіший метод - базовий пошук, використовується для того, щоб за допомогою певних запитів звузити область дослідження. Статистичний аналіз застосовують, наприклад, для побудови типової користувача або мережевої активності у вигляді статистичної моделі. Техніки візуалізації використовуються для наочного відображення та спрощення аналізу даних у вигляді графіків та діаграм, на яких набагато простіше вловити закономірності у вибірці. Техніка простих агрегацій за ключовими полями використовується для оптимізації пошуку та аналізу. Чим більшого рівня зрілості досягає в організації процес TH, тим актуальнішим стає використання алгоритмів машинного навчання. Вони також широко використовуються в тому числі при фільтрації спаму, виявленні шкідливого трафіку та детектування шахрайських дій. Найбільш просунутий тип алгоритмів машинного навчання – байєсовські методи, які дозволяють проводити класифікацію, зменшення розмірності вибірки та тематичне моделювання.
Модель алмазу та стратегії TH
Серджіо Калтагірон, Ендрю Пендегаст та Крістофер Бетц у своїй роботі «» показали основні ключові складові будь-якої шкідливої активності та базовий зв'язок між ними.
Модель алмазу для шкідливої активності
Відповідно до цієї моделі є 4 стратегії Threat Hunting, які спираються на відповідні ключові складові.
1. Стратегія, орієнтована жертву. Припускаємо, що жертва має супротивників, і вони доставлятимуть «можливості» через електронну пошту. Шукаємо дані ворога у пошті. Пошук посилань, вкладень тощо. Шукаємо підтвердження цієї гіпотези певний термін (місяць, два тижні), якщо не знайшли, то гіпотеза не зіграла.
2. Стратегія, орієнтована інфраструктуру. Існує кілька методів використання цієї стратегії. Залежно від доступу та видимості деякі з них легші за інші. Наприклад, виконуємо моніторинг серверів доменних імен, відомих для розміщення шкідливих доменів. Або проводимо процес відстеження всіх нових реєстрацій доменних імен щодо відомого патерну, використовуваного противником.
3. Стратегія, орієнтована можливості. Крім стратегії, орієнтованої на жертву, що використовується більшістю мережевих захисників, є стратегія, орієнтована можливості. Вона є другою за популярністю і фокусується на виявленні можливостей від противника, а саме «шкідливих програм» та можливість застосування противником таких легітимних інструментів, як psexec, powershell, certutil та інших.
4. Стратегія, орієнтована противника. Підхід, орієнтований противника, фокусується на самому противнику. Сюди відносять використання відкритої інформації із загальнодоступних джерел (OSINT), збір даних про противника, його техніки і методи (TTP), аналіз раніше інцидентів, даних Threat Intelligence і т.п.
Джерела інформації та гіпотез у TH
Деякі джерела інформації для Threat Hunting
Джерел інформації може бути дуже багато. Ідеальний аналітик повинен вміти видобувати інформацію з усього, що є довкола. Типовими джерелами практично у будь-якій інфраструктурі будуть дані від засобів захисту: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Також типовими джерелами інформації будуть різні індикатори компрометації, сервіси Threat Intelligence, дані CERT і OSINT. Додатково можна використовувати інформацію з даркнета (наприклад, раптово є замовлення на злом поштової скриньки керівника організації, або своєю активністю засвітився кандидат на посаду мережевого інженера), інформацію, отриману від HR (відгуки про кандидата з минулого місця роботи), інформацію від служби безпеки ( наприклад результати перевірки контрагента).
Але перш ніж користуватися всіма доступними джерелами, необхідно мати хоча б одну гіпотезу.
Для того щоб перевіряти гіпотези, їх необхідно спочатку висунути. А щоби висувати багато якісних гіпотез, необхідно застосовувати системний підхід. Більш докладно процес генерації гіпотез описанийЗа основу процесу висування гіпотез дуже зручно взяти цю схему.
Основним джерелом гіпотез буде матриця ATT&CK (Adversarial Tactics, Techniques and Common Knowledge). Вона, по суті, є базою знань та моделлю для оцінки поведінки зловмисників, які реалізують свої активності на останніх кроках нападу, який зазвичай описується за допомогою поняття Kill Chain. Тобто на етапах після проникнення зловмисника у внутрішню мережу підприємства чи мобільний пристрій. Спочатку базою знань входило опис 121 тактики і техніки, що використовуються при нападі, кожна з яких докладно описана у форматі Wiki. Як джерело для генерації гіпотез добре підходить різноманітна аналітика Threat Intelligence. Особливо слід відзначити результати аналізу інфраструктури та тестів на проникнення – це найбільш цінні дані, які можуть дати нам залізні гіпотези через те, що вони спираються на конкретну інфраструктуру з її конкретними вадами.
Процес перевірки гіпотез
Сергій Солдатов навів з докладним описом процесу вона ілюструє процес перевірки гіпотез TH в окремо взятій системі. Вкажу основні етапи з коротким описом.
Етап 1: TI Farm
На цьому етапі необхідно виділити об'єкти (шляхом їх аналізу спільно з усіма даними про загрози) з присвоєнням їм міток їх параметрів. Це файл, URL, MD5, процес, утиліта, подія. Проводячи через системи Threat Intelligence, необхідно навісити мітки. Тобто цей сайт був помічений в CNC в такому році, ця MD5 була пов'язана з такою-то малварою, ця MD5 гойдалася з сайту, який роздавав малвари.
Етап 2: Cases
На другому етапі дивимося на взаємодію між цими об'єктами та виявляємо взаємозв'язки між усіма цими об'єктами. Отримуємо промарковані системи, які роблять щось погане.
Етап 3: Аналітик
На етапі справа передається досвідченому аналітику, має величезний досвід аналізу, і виносить вердикт. Він розбирає до байтів, що, звідки, як, навіщо та чому робить цей код. Це тіло було шкідливим, цей комп'ютер був заражений. Розкриває зв'язки між об'єктами, перевіряє результати прогону через пісочницю.
Результати роботи аналітика передаються далі. Digital Forensics досліджує образи, Malware Analysis досліджує знайдені "тіла", а команда Incident Response може виїхати на місце та дослідити щось уже там. Підсумком роботи буде підтверджена гіпотеза, виявлена атака та шляхи протидії їй.
Підсумки
Threat Hunting – досить молода технологія, здатна ефективно протистояти кастомізованим, новим та нестандартним загрозам, яка має великі перспективи з урахуванням зростання кількості таких загроз та ускладнення корпоративної інфраструктури. Для неї потрібні три складові – дані, інструменти та аналітики. Користь від Threat Hunting не обмежується запобіганням реалізації загроз. Не варто забувати, що в процесі пошуку ми занурюємося у свою інфраструктуру та її слабкі місця очима аналітика-фахівця у сфері безпеки та можемо ці місця додатково посилити.
Перші кроки, які, на наш погляд, потрібно зробити, щоб започаткувати процес TH у себе в організації.
- Подбати про захист кінцевих точок та мережевої інфраструктури. Подбати про видимість (NetFlow) та контроль (firewall, IDS, IPS, DLP) всіх процесів у вашій мережі. Знати свою мережу від граничного маршрутизатора до останнього хоста.
- вивчити.
- Проводити регулярний пентест хоча б ключових зовнішніх ресурсів, аналізувати його результати, виділяти основні цілі для атаки та закривати їх уразливості.
- Впровадити систему Threat Intelligence з відкритим вихідним кодом (наприклад, MISP, Yeti) та проводити аналіз логів разом із нею.
- Впровадити платформу реагування на інциденти (IRP): R-Vision IRP, The Hive, пісочницю для аналізу підозрілих файлів (FortiSandbox, Cuckoo).
- Автоматизувати рутинні процеси. Аналіз логів, заклад інцидентів, інформування персоналу – величезне поле автоматизації.
- Навчитися ефективно взаємодіяти з інженерами, розробниками, технічною підтримкою спільної роботи над інцидентами.
- Документувати весь процес, ключові точки, досягнуті результати, щоб повернутися до них потім або поділитись цими даними з колегами;
- Пам'ятати про соціальний бік: будьте в курсі, що відбувається з вашими співробітниками, кого ви приймаєте на роботу та кому даєте доступ до інформаційних ресурсів організації.
- Бути в курсі трендів у сфері нових загроз та засобів захисту, підвищувати свій рівень технічної грамотності (у тому числі й у роботі IT-сервісів та підсистем), відвідувати конференції та спілкуватися з колегами.
Готовий обговорити організацію процесу TH у коментарях.
Або приходьте працювати до нас!
Джерела та матеріали для вивчення
Джерело: habr.com