Хабрахабр

Threat Hunting, или Как защититься от 5% угроз

95% угроз информационной безопасности являются известными, и защититься от них можно традиционными средствами типа антивирусов, межсетевых экранов, IDS, WAF. Остальные 5% угроз – неизвестные и самые опасные. Они составляют 70% риска для компании в силу того, что очень непросто их обнаружить и уж тем более от них защититься. Примерами «черных лебедей» являются эпидемии шифровальщиков WannaCry, NotPetya/ExPetr, криптомайнеры, «кибероружие» Stuxnet (поразившее ядерные объекты Ирана) и множество (кто-нибудь еще помнит Kido/Conficker?) других атак, от которых не очень хорошо получается защищаться классическими средствами защиты. О том, как противостоять этим 5% угроз с помощью технологии Threat Hunting, мы и хотим поговорить.

Непрерывное развитие кибер-атак требует постоянного обнаружения и противодействия, что в конечном итоге приводит нас к мысли о бесконечной гонке вооружений между злоумышленниками и защитниками. Классические системы защиты уже не в состоянии обеспечить приемлемый уровень защищенности, при котором уровень риска не влияет на ключевые показатели компании (экономические, политические, репутацию) без их доработки под конкретную инфраструктуру, но в целом они закрывают часть рисков. Уже в процессе внедрения и конфигурации современные системы защиты оказываются в роли догоняющего и должны отвечать на вызовы нового времени.

Источник

Термин Threat Hunting (далее по тексту — TH) появился несколько лет назад. Одним из ответов на вызовы современности для специалиста по ИБ  может быть технология Threat Hunting. Также осложняет дело разнородность источников информации и малое количество русскоязычных источников информации по этой теме. Сама технология довольно интересная, но еще не имеет никаких общепринятых стандартов и правил. В связи с этим мы в «ЛАНИТ-Интеграции» решили написать некий обзор данной технологии.

Актуальность

Технология TH опирается на процессы мониторинга инфраструктуры. Существует два основных сценария внутреннего мониторинга – Alerting и Hunting. Алертинг (по типу услуг MSSP) – традиционный метод, поиск разработанных ранее сигнатур и признаков атак и реагирование на них. Данный сценарий успешно выполняют традиционные сигнатурные средства защиты. Хантинг (услуга типа MDR) – метод мониторинга, который отвечает на вопрос «Откуда берутся сигнатуры и правила?». Это процесс создания правил корреляции путем анализа скрытых или ранее неизвестных индикаторов и признаков атаки. Именно к данному типу мониторинга и относится Threat Hunting.

Только комбинируя оба типа мониторинга, мы получаем защиту, близкую к идеальной, но всегда остается некоторый уровень остаточного риска.

Защита с использованием двух типов мониторинга

А вот почему TH (и хантинг целиком!) будет все более актуальным:

Угрозы, средства защиты, риски. Источник

К ним относятся такие виды, как спам, DDoS, вирусы, руткиты и прочие классические зловреды. 95% всех угроз являются уже хорошо изученными. Защититься от этих угроз можно теми же классическими средствами защиты.

Аналогичным образом среди всего ландшафта угроз 5% угроз нового типа будут составлять 70% риска для компании. В ходе выполнения любого проекта 20% времени занимает выполнение 80% работы, а оставшиеся 20% работы занимают 80% времени. Защититься же от уязвимостей нулевого дня, APT-атак, фишинга, атак через цепочку поставок, кибершпионских и национальных операций, а также от большого количества других атак уже намного сложнее. В компании, где организованы процессы управления информационной безопасностью, 30% риска реализации известных угроз мы можем так или иначе управлять, избегая (отказ от беспроводных сетей в принципе), принимая (внедряя необходимые средства защиты) или перекладывая (например, на плечи интегратора) этот риск. Последствия же от этих 5% угроз будут намного серьезнее (средняя сумма потерь банка от группировки buhtrap – 143 млн), чем последствия от спама или вирусов, от которых спасает антивирусное ПО.

Недавно нам приходилось устанавливать одно open-source-решение, которое использует приложение из репозитория PEAR (PHP Extension and Application Repository). С 5% угроз приходится сталкиваться практически всем. А буквально недавно выяснилось, что PEAR стал жертвой атаки через цепочку поставок. Попытка установить это приложение через pear install завершилась неудачей, так как сайт был недоступен (сейчас на нем уже висит заглушка), пришлось устанавливать его с GitHub.

E. Можно еще вспомнить атаку с использованием CCleaner, эпидемию шифровальщика NePetya через модуль обновления программы для ведения налоговой отчетности M. Угрозы становятся все более изощренными, и возникает логический вопрос – «Как же все таки противостоять этим 5% угроз?» Doc.

Определение Threat Hunting

Итак, Threat Hunting — процесс проактивного и итеративного поиска и обнаружения продвинутых угроз, которые невозможно обнаружить традиционными средствами защиты. К продвинутым угрозам относятся, например, такие атаки, как APT, атаки на 0-day уязвимости, Living off the Land и так далее.

Это преимущественно ручной процесс с элементами автоматизации, в рамках которого аналитик, опираясь на свои знания и квалификацию, просеивают большие объемы информации в поисках признаков компрометации, соответствующих первоначально определенной гипотезе о присутствии определённой угрозы. Также можно перефразировать, что TH – это процесс проверки гипотез. Отличительной особенностью его является разнообразие источников информации.

Это не алерты, которые можно увидеть в каком-то решении. Необходимо отметить, что Threat Hunting – это не какой-то программный или железный продукт. И это не какая-то пассивная активность, которая идет без участия аналитиков ИБ. Это не процесс поиска IOC (идентификаторов компрометации). Threat Hunting – прежде всего, процесс.

Составляющие Threat Hunting

Три основных составляющих Threat Hunting: данные, технологии, люди.

Всевозможные потоки трафика, информация о ранее проведенных APT, аналитика, данные о пользовательской активности, сетевые данные, информация от сотрудников, информация в даркнете и многое другое. Данные (что?), в том числе и Big Data.

Технологии (как?) обработки этих данных – все возможные способы обработки этих данных, включая Machine Learning.

Обычно это аналитики информационной безопасности, которые должны иметь способность генерировать гипотезы и находить им подтверждение. Люди (кто?) – те, кто обладает большим опытом анализа разнообразных атак, развитой интуицией и способностью обнаружить атаку. Они — основное звено процесса.

Модель PARIS

Адам Бейтман описывает модель PARIS для идеального процесса TH. Название как бы намекает на известную достопримечательность Франции. Эту модель можно рассматривать в двух направлениях – сверху и снизу.

У каждого доказательства есть такая мера, как уверенность – характеристика, которая отражает вес этого доказательства. В процессе охоты на угрозы, двигаясь по модели снизу вверх, мы будем иметь дело со множеством доказательств вредоносной активности. И есть косвенные доказательства, сумма которых тоже может привести нас к вершине пирамиды. Есть «железные», прямые свидетельства вредоносной активности, по которым мы сразу можем достичь вершины пирамиды и создать фактическое оповещение о точно известном заражении. Как всегда, косвенных свидетельств намного больше, чем прямых, а значит, их надо сортировать и анализировать, проводить дополнительные исследования и желательно это автоматизировать.

Модель PARIS. Источник

Можно рассматривать модель, двигаясь сверху вниз, где в верхней части синего цвета у нас оповещения от традиционных средств защиты (антивирус, EDR, файрвол, сигнатуры) с высокой степенью уверенности и доверия, а ниже показатели (IOC, URL, MD5 и другие), которые имеют меньшую степень уверенности и требуют дополнительного изучения. Верхняя часть модели (1 и 2) основана на технологиях автоматизации и разнообразной аналитике, а нижняя часть (3 и 4) на людях с определенной квалификацией, которые управляют процессом. Этот уровень не ограничивается только указанными источниками гипотез. И самый нижний и самый толстый уровень (4) – генерация гипотез, создание новых сценариев работы традиционных средств защиты. Чем ниже уровень, тем больше требований предъявляется к квалификации аналитика.

Очень важно, чтобы аналитики не просто проверяли конечный набор заранее определенных гипотез, а постоянно работали над тем, чтобы генерировать новые гипотезы и варианты их проверки.

Модель зрелости использования TH

В идеальном мире TH – это непрерывный процесс. Но, поскольку идеального мира не бывает, проанализируем модель зрелости и методы в разрезе людей, процессов и используемых технологий. Рассмотрим модель идеального сферического TH. Есть 5 уровней использования этой технологии. Рассмотрим их на примере эволюции отдельно взятой команды аналитиков.

Уровни зрелости

Люди

Процессы

Технологии

Уровень 0

Аналитики SOC

24/7

Традиционные инструменты:

Традиционный

Набор алертов

Пассивный мониторинг

IDS, AV, Sandboxing,

Без TH

Работа с алертами

средства сигнатурного анализа, данные Threat Intelligence.

Уровень 1

Аналитики SOC

Единоразовый TH

EDR

Экспериментальный

Базовые знания форензики

Поиск IOC

Частичный охват данных от сетевых устройств

Эксперименты с TH

Хорошее знание сетей и прикладной части

Частичное применение

Уровень 2

Временное занятие

Спринты

EDR

Периодический

Средние знания форензики

Неделя в месяц

Полное применение

Временный TH

Отличное знание сетей и прикладной части

Регулярный TH

Полная автоматизация использования данных EDR

Частичное использование расширенных возможностей EDR

Уровень 3

Выделенная команда TH

24/7

Частичная возможность проверять гипотезы TH

Превентивный

Отличные знания форензики и вредоносного ПО

Превентивный TH

Полное использование расширенных возможностей EDR

Частные случаи TH

Отличные знания атакующей стороны

Частные случаи TH

Полный охват данных от сетевых устройств

Конфигурация под потребности

Уровень 4

Выделенная команда TH

24/7

Полная возможность проверять гипотезы TH

Лидирующий

Отличные знания форензики и вредоносного ПО

Превентивный TH

Уровень 3, плюс:

Использование TH

Отличные знания атакующей стороны

Проверка, автоматизация и верификация гипотез TH

тесная интеграция источников данных;

Способность к исследованиям

разработка под потребности и нестандартное использование API.

Уровни зрелости TH в разрезе людей, процессов и технологий

Обычные аналитики работают со стандартным набором алертов в режиме пассивного мониторинга с использованием стандартных инструментов и технологий: IDS, AV, песочницы, средств сигнатурного анализа. Уровень 0: традиционный, без использования TH.

Те же аналитики с базовыми знаниями форензики и хорошим знанием сетей и прикладной части могут осуществить одноразовый Threat Hunting посредством поиска индикаторов компрометации. Уровень 1: экспериментальный, с использованием TH. Инструменты применяются частично. К инструментам добавляются EDR с частичным охватом данных от сетевых устройств.

Тем же самым аналитикам, которые уже прокачали свои знания по форензике, сетям и прикладной части вменяется в обязанность регулярное занятие (спринт) Threat Hunting'ом, скажем, неделя в месяц. Уровень 2: периодический, временный TH. К инструментам добавляются полное исследование данных от сетевых устройств, автоматизация анализа данных от EDR и частичное использование расширенных возможностей EDR.

Наши аналитики организовались в выделенную команду, стали обладать отличными знаниями форензики и вредоносного ПО, также знаниями о методах и тактиках работы атакующей стороны. Уровень 3: превентивный, частые случаи TH. Команда способна частично проверять гипотезы TH, полностью используя расширенные возможности EDR с полным охватом данных от сетевых устройств. Процесс уже осуществляется в режиме 24/7. Также аналитики способны конфигурировать инструменты под свои потребности.

Та же команда приобрела способность к исследованиям, умение генерировать и автоматизировать процесс проверки гипотез TH. Уровень 4: лидирующий, использование TH. Теперь к инструментам прибавилась тесная интеграция источников данных, разработка ПО под потребности и нестандартное использование API.

Техники Threat Hunting

Базовые техники Threat Hunting

К техникам TH в порядке зрелости используемой технологии относятся: базовый поиск, статистический анализ, техники визуализации, простые агрегации, машинное обучение и байесовские методы.

Статистический анализ применяют, например, для построения типовой пользовательской или сетевой активности в виде статистической модели. Самый простой метод — базовый поиск, используется для того, чтобы с помощью определенных запросов сузить область исследования. Техника простых агрегаций по ключевым полям используется для оптимизации поиска и анализа.  Техники визуализации используются для наглядного отображения и упрощения анализа данных в виде графиков и диаграмм, на которых гораздо проще уловить закономерности в выборке. Они также широко используются в том числе при фильтрации спама, обнаружении вредоносного трафика и детектирования мошеннических действий. Чем большего уровня зрелости достигает в организации процесс TH, тем более   актуальным становится использование алгоритмов машинного обучения. Более продвинутый тип алгоритмов машинного обучения – байесовские методы, которые позволяют проводить классификацию, уменьшение размерности выборки и тематическое моделирование.

Модель алмаза и стратегии TH

Серджио Калтагирон, Эндрю Пендегаст и Кристофер Бетц в своей работе «The Diamond Model of Intrusion Analysis» показали основные ключевые составляющие любой вредоносной активности и базовую связь между ними.

Модель алмаза для вредоносной активности

В соответствии с этой моделью есть 4 стратегии Threat Hunting, которые опираются на соответствующие ключевые составляющие.

Стратегия, ориентированная на жертву. 1. Ищем данные врага в почте. Предполагаем, что у жертвы есть противники, и они будут доставлять «возможности» через электронную почту. Ищем подтверждения этой гипотезы определенный срок (месяц, две недели), если не нашли, то гипотеза не сыграла. Поиск ссылок, вложений и тп.

Стратегия, ориентированная на инфраструктуру. 2. В зависимости от доступа и видимости некоторые из них легче, чем другие. Существует несколько методов использования этой стратегии. Или проводим процесс отслеживания всех новых регистраций доменных имен на предмет известного паттерна, используемого противником. Например, производим мониторинг серверов доменных имен, известных для размещения вредоносных доменов.

Стратегия, ориентированная на возможности. 3. Она является второй по популярности и фокусируется на обнаружении возможностей от противника, а именно «вредоносных программ» и возможность применения противником таких легитимных инструментов,  как psexec, powershell, certutil и других. Помимо стратегии, ориентированной на жертву, используемой большинством сетевых защитников, есть стратегия, ориентированная на возможности.

Стратегия, ориентированная на противника. 4. Сюда относят использование открытой информации из общедоступных источников (OSINT), сбор данных о противнике, его техниках и методах (TTP), анализ ранее произошедших инцидентов, данных Threat Intelligence и т.п. Подход, ориентированный на противника, фокусируется на самом противнике.

Источники информации и гипотез в TH

Некоторые источники информации для Threat Hunting

Идеальный аналитик должен уметь добывать информацию из всего, что есть вокруг. Источников информации может быть очень много. Также типовыми источниками информации будут являться всевозможные индикаторы компрометации, сервисы Threat Intelligence, данные CERT и OSINT. Типовыми источниками практически в любой инфраструктуре будут данные от средств защиты: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Дополнительно можно использовать информацию из даркнета (например, внезапно есть заказ на взлом почтового ящика руководителя организации, или своей активностью засветился кандидат на должность сетевого инженера), информацию, полученную от HR (отзывы о кандидате с прошлого места работы), информацию от службы безопасности (например, результаты проверки контрагента).

Но прежде, чем пользоваться всеми доступными источниками, необходимо иметь хотя бы одну гипотезу.

Источник

А чтобы выдвигать много качественных гипотез, необходимо применять системный подход. Для того, чтобы проверять гипотезы, их необходимо сначала выдвинуть. Более подробно процесс генерации гипотез описан в статье, за основу процесса выдвижения гипотез очень удобно взять эту схему.

Она, по сути, является базой знаний и моделью для оценки поведения злоумышленников, реализующих свои активности на последних шагах нападения, обычно описываемого с помощью понятия Kill Chain. Основным источником гипотез будет являться матрица ATT&CK (Adversarial Tactics, Techniques and Common Knowledge). Первоначально в базу знаний входило описание 121 тактики и техники, используемых при нападении, каждая из которых подробно описана в формате Wiki. То есть на этапах после проникновения злоумышленника во внутреннюю сеть предприятия или на мобильное устройство. Особо следует отметить результаты анализа инфраструктуры и тестов на проникновение – это наиболее ценные данные, которые могут дать нам железные гипотезы в силу того, что они опираются на конкретную инфраструктуру с ее конкретными  недостатками. В качестве источника для генерации гипотез хорошо подходит разнообразная аналитика Threat Intelligence.

Процесс проверки гипотез

Сергей Солдатов привел хорошую схему с подробным описанием процесса, она иллюстрирует процесс проверки гипотез TH в отдельно взятой системе. Укажу основные этапы с кратким описанием.

Источник

Этап 1: TI Farm

Это файл, URL, MD5, процесс, утилита, событие. На этом этапе необходимо выделить объекты (путем их анализа  совместно со всеми данными об угрозах) с присвоением им меток их характеристик. То есть этот сайт был замечен в CNC в таком-то году, эта MD5 была связана с такой-то малварой, эта MD5 качалась с сайта, который раздавал малвары. Проводя их через системы Threat Intelligence, необходимо навесить метки.

Этап 2: Cases

Получаем промаркированные системы, которые делают что-то нехорошее. На втором этапе смотрим на взаимодействие между этими объектами и выявляем взаимосвязи между всеми этими объектами.

Этап 3: Аналитик

Он разбирает до байтов, что, откуда, как, зачем и почему делает этот код. На третьем этапе дело передается опытному аналитику, имеющему огромный опыт анализа, он и выносит вердикт. Раскрывает связи между объектами, проверяет результаты прогона через песочницу. Это тело было зловредом, этот компьютер был заражен.

Digital Forensics исследует образы, Malware Analysis исследует найденные «тела», а команда Incident Response может выехать на место и исследовать что-то уже там. Результаты работы аналитика передаются далее. Итогом работы будет подтвержденная гипотеза, выявленная атака и пути противодействия ей.

Источник
 

Итоги

Threat Hunting – достаточно молодая технология, способная эффективно противостоять кастомизированным, новым и нестандартным угрозам, которая имеет большие перспективы с учетом роста числа таких угроз и усложнения корпоративной инфраструктуры. Для нее нужны три составляющие – данные, инструменты и аналитики. Польза от Threat Hunting не ограничивается упреждением реализации угроз. Не стоит забывать, что в процессе поиска мы погружаемся в свою инфраструктуру и ее слабые места глазами аналитика-специалиста в области безопасности и можем эти места дополнительно усилить.

Первые шаги, которые, на наш взгляд, нужно сделать, чтобы положить начало процессу TH у себя в организации.

  1. Позаботиться о защите конечных точек и сетевой инфраструктуры. Позаботиться о видимости (NetFlow) и контроле (firewall, IDS, IPS, DLP) всех процессов в вашей сети. Знать свою сеть от граничного маршрутизатора до самого последнего хоста.
  2. Изучить MITRE ATT&CK.
  3. Проводить регулярный пентест хотя бы ключевых внешних ресурсов, анализировать его результаты, выделять основные цели для атаки и закрывать их уязвимости.
  4. Внедрить систему Threat Intelligence с открытым исходным кодом (например, MISP, Yeti) и проводить анализ логов совместно с ней.
  5. Внедрить платформу реагирования на инциденты (IRP): R-Vision IRP, The Hive, песочницу для анализа подозрительных файлов (FortiSandbox, Cuckoo).
  6. Автоматизировать рутинные процессы. Анализ логов, заведение инцидентов, информирование персонала – огромное поле для автоматизации.
  7. Научиться эффективно взаимодействовать с инженерами, разработчиками, технической поддержкой для совместной работы над инцидентами.
  8. Документировать весь процесс, ключевые точки, достигнутые результаты, чтобы вернуться к ним потом или поделиться этими данными с коллегами;
  9. Помнить о социальной стороне: будьте в курсе, что происходит с вашими сотрудниками, кого вы принимаете на работу и кому даете доступ к информационным ресурсам организации.
  10. Быть в курсе трендов в области новых угроз и способов защиты, повышать свой уровень технической грамотности (в том числе и в работе IT-сервисов и подсистем), посещать конференции и общаться с коллегами.

Готов обсудить организацию процесса TH в комментариях.

Или приходите к нам работать!

Источники и материалы для изучения

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть