El 95% de las amenazas a la seguridad de la información son conocidas, y usted puede protegerse de ellas por medios tradicionales como antivirus, cortafuegos, IDS, WAF. El 5% restante de las amenazas son desconocidas y las más peligrosas. Representan el 70% del riesgo para la empresa debido al hecho de que es muy difícil detectarlos y aún más para protegerse de ellos. Ejemplos de
“cisnes negros” son las epidemias de ransomware WannaCry, NotPetya / ExPetr, cryptominers, armas cibernéticas Stuxnet (que golpearon las instalaciones nucleares de Irán) y muchos (¿quién más recuerda Kido / Conficker?) Otros ataques que no son muy buenos para defenderse contra los clásicos Medios de protección. Queremos hablar sobre cómo contrarrestar este 5% de las amenazas utilizando la tecnología Threat Hunting.
El desarrollo continuo de los ciberataques requiere una detección y una lucha constantes, lo que finalmente nos lleva a la idea de una carrera armamentista interminable entre atacantes y defensores. Los sistemas de protección clásicos ya no pueden proporcionar un nivel de seguridad aceptable en el que el nivel de riesgo no afecte a los indicadores clave de la empresa (económico, político, de reputación) sin finalizarlos para una infraestructura específica, pero en general cubren algunos de los riesgos. Ya en el proceso de implementación y configuración, los sistemas de protección modernos se encuentran en el papel de ponerse al día y deben responder a los desafíos de los tiempos modernos.
FuenteUna de las respuestas a los desafíos de nuestro tiempo para un especialista en seguridad de la información puede ser la tecnología Threat Hunting. El término Caza de amenazas (en lo sucesivo denominado TH) apareció hace varios años. La tecnología en sí es bastante interesante, pero todavía no tiene normas y reglas generalmente aceptadas. La heterogeneidad de las fuentes de información y el pequeño número de fuentes de información en ruso sobre este tema también complican el asunto. En este sentido, nosotros en LANIT-Integration decidimos escribir una revisión de esta tecnología.
Relevancia
La tecnología TH se basa en procesos de monitoreo de infraestructura.
Hay dos escenarios principales de monitoreo interno: alerta y caza . La alerta (por tipo de servicio MSSP) es un método tradicional, que busca firmas y signos de ataques desarrollados anteriormente y reacciona a ellos. Las características de seguridad de firma tradicionales completan con éxito este escenario. La caza (un servicio del tipo MDR) es un método de monitoreo que responde a la pregunta "¿De dónde vienen las firmas y las reglas?". Este es el proceso de crear reglas de correlación analizando indicadores ocultos o previamente desconocidos y signos de un ataque. Es a este tipo de monitoreo al que pertenece Threat Hunting.
Solo combinando ambos tipos de monitoreo, obtenemos una protección cercana al ideal, pero siempre queda algún nivel de riesgo residual.
Protección usando dos tipos de monitoreoY aquí está el por qué TH (¡y toda la caza!) Será cada vez más relevante:
Amenazas, remedios, riesgos. FuenteEl 95% de todas las amenazas ya se comprenden bien . Estos incluyen especies como spam, DDoS, virus, rootkits y otro malware clásico. Puedes protegerte de estas amenazas con las mismas defensas clásicas.
Durante la ejecución de cualquier proyecto, el
80% del trabajo lleva el 20% del tiempo , y el 20% restante del trabajo lleva el 80% del tiempo. Del mismo modo, entre todo el panorama de amenazas, el 5% del nuevo tipo de amenaza constituirá el 70% del riesgo para la empresa. En una empresa donde se organizan procesos de gestión de seguridad de la información, podemos gestionar el 30% del riesgo de amenazas conocidas de una forma u otra evitando (abandonando las redes inalámbricas en principio), aceptando (introduciendo las medidas de seguridad necesarias) o cambiando (por ejemplo, sobre los hombros de un integrador) esto riesgo Protegerse de
vulnerabilidades de día cero , ataques APT, phishing,
ataques a través de la cadena de suministro , ciber spyware y operaciones nacionales, así como de una gran cantidad de otros ataques, ya es mucho más difícil. Las consecuencias de estas amenazas del 5% serán mucho más graves (la
cantidad promedio de pérdidas del banco del grupo buhtrap es de 143 millones ) que las consecuencias del spam o los virus de los que rescata el software antivirus.
Casi todos tienen que lidiar con el 5% de las amenazas. Recientemente, tuvimos que instalar una solución de código abierto que utiliza una aplicación del repositorio PEAR (PHP Extension and Application Repository). Falló un intento de instalar esta aplicación a través de la instalación de Pear, porque el
sitio no estaba disponible (ahora hay un trozo), tuve que instalarlo desde GitHub. Y recientemente se hizo evidente que PEAR fue víctima de un
ataque a través de la cadena de suministro .
También puede recordar el
ataque utilizando CCleaner , una epidemia del ransomware NePetya a través del módulo de actualización del programa para la declaración de impuestos
MEDoc . Las amenazas son cada vez más sofisticadas, y surge la pregunta lógica: "¿Cómo puede resistir este 5% de las amenazas?"
Definición de caza de amenazas
Por lo tanto, Threat Hunting es un proceso de búsqueda y detección proactiva e iterativa de amenazas avanzadas que no pueden detectarse por medios tradicionales de protección. Las amenazas avanzadas incluyen, por ejemplo, ataques como APT, ataques a vulnerabilidades de 0 días, Vivir fuera de la tierra, etc.
También se puede reformular que TH es un proceso de prueba de hipótesis. Se trata principalmente de un proceso manual con elementos de automatización, en el que el analista, basándose en su conocimiento y calificaciones, examina grandes cantidades de información en busca de signos de compromiso que correspondan a la hipótesis inicialmente definida sobre la presencia de una determinada amenaza. Una característica distintiva es la variedad de fuentes de información.
Cabe señalar que Threat Hunting no es un tipo de producto de software o hardware. Estas no son alertas que se pueden ver en cualquier solución. Este no es un proceso para encontrar IOC (identificadores de compromiso). Y este no es un tipo de actividad pasiva que se realiza sin la participación de analistas de seguridad de la información. La caza de amenazas es, ante todo, un proceso.
Componentes de caza de amenazas
Tres componentes principales de Threat Hunting: datos, tecnología, personas.
Datos (¿qué?) , Incluyendo Big Data. Todo tipo de flujos de tráfico, información sobre APT realizadas anteriormente, análisis, datos de actividad del usuario, datos de red, información de empleados, información en la darknet y mucho más.
Tecnologías (¿cómo?) Para procesar estos datos, hay todas las formas posibles de procesar estos datos, incluido el aprendizaje automático.
Personas (¿quién?) Son aquellos que tienen una amplia experiencia en el análisis de una variedad de ataques, intuición desarrollada y la capacidad de detectar un ataque. Por lo general, estos son analistas de seguridad de la información que deben tener la capacidad de generar hipótesis y encontrar evidencia para ellas. Son el enlace principal en el proceso.
Modelo paris
Adam Bateman
describe el modelo PARIS para el proceso TH ideal. El nombre, ya que alude al famoso monumento de Francia. Este modelo se puede considerar en dos direcciones: arriba y abajo.
En el proceso de búsqueda de amenazas, siguiendo el modelo, trataremos con muchas pruebas de actividad maliciosa. Cada evidencia tiene una medida de confianza, una característica que refleja el peso de esta evidencia. Hay evidencia directa de actividad maliciosa "de hierro", por la cual podemos llegar inmediatamente a la cima de la pirámide y crear una notificación real de una infección conocida. Y hay evidencia indirecta, cuya suma también puede llevarnos a la cima de la pirámide. Como siempre, hay mucha más evidencia indirecta que evidencia directa, lo que significa que deben clasificarse y analizarse, se debe realizar una investigación adicional, y es recomendable automatizar esto.
Modelo paris. FuenteLa parte superior del modelo (1 y 2) se basa en tecnologías de automatización y análisis diversos, y la parte inferior (3 y 4) se basa en personas con ciertas calificaciones que controlan el proceso. Puede considerar el modelo, moviéndose de arriba a abajo, donde en la parte superior de azul tenemos notificaciones de medios tradicionales de protección (antivirus, EDR, firewall, firmas) con un alto grado de confianza, y debajo hay indicadores (COI, URL, MD5 y otros), que tienen menos confianza y requieren más estudio. Y el nivel más bajo y más grueso (4) es la generación de hipótesis, la creación de nuevos escenarios del trabajo de los remedios tradicionales. Este nivel no se limita a las fuentes indicadas de hipótesis. Cuanto más bajo sea el nivel, más requisitos se imponen a las calificaciones del analista.
Es muy importante que los analistas no solo prueben un conjunto finito de hipótesis predefinidas, sino que trabajen constantemente para generar nuevas hipótesis y opciones para probarlas.
TH utiliza el modelo de madurez
En un mundo ideal, TH es un proceso continuo. Pero, dado que no existe un mundo ideal, analizaremos
el modelo y los métodos de
madurez en el contexto de las personas, los procesos y las tecnologías utilizadas. Considere un modelo de TH esférico ideal. Hay 5 niveles de uso de esta tecnología. Considérelos en el ejemplo de la evolución de un solo equipo de analistas.
| Niveles de madurez | Personas | Los procesos | Tecnología |
| Nivel 0 | Analistas de COS | 24/7 | Instrumentos tradicionales: |
| Tradicional | Conjunto de alertas | Monitoreo pasivo | IDS, AV, Sandboxing, |
| Sin TH | Trabaja con alertas | | herramientas de análisis de firmas, datos de inteligencia de amenazas. |
| Nivel 1 | Analistas de COS | TH de una sola vez | EDR |
| Experimental | Conocimientos básicos de forense | Búsqueda del COI | Cobertura parcial de datos de dispositivos de red. |
| Experimentos con TH | Buen conocimiento de redes y aplicaciones. | | Aplicación parcial |
| Nivel 2 | Ocupación temporal | Sprints | EDR |
| Periódica | El conocimiento promedio de forense | Semana por mes | Aplicación completa |
| TH temporal | Excelente conocimiento de redes y aplicaciones. | Th regular | Automatización total del uso de datos EDR |
| | | Uso parcial de funciones avanzadas de EDR |
| Nivel 3 | Equipo TH dedicado | 24/7 | Capacidad parcial para probar hipótesis TH |
| Proactiva | Excelente conocimiento de forense y malware | TH proactivo | Uso completo de las funciones avanzadas de EDR |
| Casos especiales TH | Excelente conocimiento del atacante. | Casos especiales TH | Cobertura total de datos de dispositivos de red. |
| | | Configuración personalizada |
| Nivel 4 | Equipo TH dedicado | 24/7 | Capacidad total para probar hipótesis TH |
| Líder | Excelente conocimiento de forense y malware | TH proactivo | Nivel 3, más: |
| Usando TH | Excelente conocimiento del atacante. | Prueba, automatización y verificación de hipótesis de TH | estrecha integración de las fuentes de datos; |
| Capacidad de investigación | | Desarrollo personalizado y uso de API personalizado. |
Niveles de madurez de TH por personas, procesos y tecnologíaNivel 0: tradicional, sin usar TH. Los analistas convencionales trabajan con un conjunto estándar de alertas en modo de monitoreo pasivo utilizando herramientas y tecnologías estándar: IDS, AV, sandboxes, herramientas de análisis de firmas.
Nivel 1: experimental utilizando TH. Los mismos analistas con conocimientos básicos de medicina forense y buenos conocimientos de redes y la aplicación pueden implementar la caza de amenazas de una sola vez buscando indicadores de compromiso. Las EDR con cobertura parcial de datos de dispositivos de red se agregan a las herramientas. Las herramientas se aplican parcialmente.
Nivel 2: intermitente, TH temporal. Los mismos analistas que ya han aumentado sus conocimientos de medicina forense, redes y la parte de la aplicación tienen la obligación de participar regularmente en la caza de amenazas (sprint), por ejemplo, una semana al mes. Las herramientas se complementan con un estudio completo de los datos de los dispositivos de red, la automatización del análisis de datos de EDR y el uso parcial de las funciones avanzadas de EDR.
Nivel 3: preventivo, casos frecuentes de TH. Nuestros analistas organizados en un equipo dedicado, comenzaron a tener un excelente conocimiento de análisis forense y malware, así como conocimiento de los métodos y tácticas del lado atacante. El proceso ya está en curso 24/7. El equipo puede probar parcialmente las hipótesis TH, haciendo pleno uso de las capacidades avanzadas de EDR con una cobertura total de datos de dispositivos de red. Además, los analistas pueden configurar herramientas para satisfacer sus necesidades.
Nivel 4: gama alta, utilizando TH. El mismo equipo adquirió la capacidad de investigar, la capacidad de generar y automatizar el proceso de probar hipótesis TH. Ahora, se ha agregado a las herramientas una estrecha integración de las fuentes de datos, el desarrollo de software para las necesidades y el uso no estándar de las API.
Técnicas de caza de amenazas
Técnicas básicas de caza de amenazasLas
técnicas de TH en orden de madurez de la tecnología utilizada incluyen: búsqueda básica, análisis estadístico, técnicas de visualización, agregaciones simples, aprendizaje automático y métodos bayesianos.
El método más simple es una búsqueda básica, que se utiliza para reducir el alcance de la investigación mediante consultas específicas. El análisis estadístico se utiliza, por ejemplo, para construir una actividad típica de usuario o red en forma de modelo estadístico. Las técnicas de visualización se utilizan para visualizar y simplificar el análisis de datos en forma de gráficos y tablas, lo que facilita mucho la captura de patrones en la muestra. La técnica de agregación simple para campos clave se utiliza para optimizar la búsqueda y el análisis. Cuanto mayor sea el nivel de madurez en una organización mediante el proceso TH, más relevante es el uso de algoritmos de aprendizaje automático. También se usan ampliamente, incluso para filtrar spam, detectar tráfico malicioso y detectar actividades fraudulentas. Un tipo más avanzado de algoritmos de aprendizaje automático son los métodos bayesianos que permiten la clasificación, la reducción del tamaño de la muestra y el modelado temático.
Modelo Diamante y Estrategia TH
Sergio Caltagiron, Andrew Pendegast y Christopher Betz en su trabajo "
El modelo del diamante del análisis de intrusiones " mostró los principales componentes clave de cualquier actividad maliciosa y la conexión básica entre ellos.
Modelo de diamante para actividad maliciosaDe acuerdo con este modelo, existen 4 estrategias de caza de amenazas que se basan en componentes clave relevantes.
1. Una estrategia orientada a la víctima. Asumimos que la víctima tiene oponentes, y que entregarán "oportunidades" por correo electrónico. Estamos buscando datos enemigos en el correo. Busque enlaces, archivos adjuntos, etc. Estamos buscando la confirmación de esta hipótesis para un cierto período (mes, dos semanas), si no se encuentra, entonces la hipótesis no jugó.
2. Estrategia orientada a la infraestructura. Hay varias formas de usar esta estrategia. Dependiendo del acceso y la visibilidad, algunos son más fáciles que otros. Por ejemplo, monitoreamos servidores de nombres de dominio conocidos por alojar dominios maliciosos. O estamos llevando a cabo un proceso de seguimiento de todos los nuevos registros de nombres de dominio para un patrón conocido utilizado por el adversario.
3. Estrategia orientada a la oportunidad. Además de la estrategia orientada a las víctimas utilizada por la mayoría de los defensores de la red, existe una estrategia orientada a las oportunidades. Es el segundo más popular y se enfoca en detectar oportunidades del adversario, a saber, "malware" y la capacidad del adversario de usar herramientas legítimas como psexec, powershell, certutil y otras.
4. Estrategia orientada al oponente. El enfoque orientado al enemigo se centra en el enemigo. Esto incluye el uso de información abierta de fuentes públicas (OSINT), recopilación de datos sobre el enemigo, sus técnicas y métodos (TTP), análisis de incidentes pasados, datos de inteligencia de amenazas, etc.
Fuentes de información e hipótesis en TH
Algunas fuentes de información para la caza de amenazasPuede haber muchas fuentes de información. El analista ideal debería poder extraer información de todo lo que está alrededor. Las fuentes típicas en casi cualquier infraestructura serán datos de características de seguridad: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Además, los indicadores típicos de información serán todo tipo de indicadores de compromiso, servicios de inteligencia de amenazas, datos CERT y OSINT. Además, puede usar información de la red oscura (por ejemplo, de repente hay una orden para hackear el buzón del jefe de la organización, o el candidato para el puesto de ingeniero de red ha aparecido en su actividad), información recibida de Recursos Humanos (comentarios sobre el candidato de su trabajo anterior), información del servicio de seguridad ( por ejemplo, resultados de verificación de contraparte).
Pero antes de usar todas las fuentes disponibles, debe tener al menos una hipótesis.
FuentePara probar las hipótesis, primero deben presentarse. Y para presentar muchas hipótesis cualitativas, es necesario aplicar un enfoque sistemático. El proceso de generación de hipótesis se describe con más detalle en el
artículo ; es muy conveniente tomar este esquema como base para el proceso de hipótesis.
La principal fuente de hipótesis será la
matriz ATT & CK (Tácticas adversas, técnicas y conocimiento común). De hecho, es una base de conocimiento y un modelo para evaluar el comportamiento de los atacantes que realizan sus actividades en los últimos pasos de un ataque, generalmente descritos utilizando el concepto de Cadena de asesinatos. Es decir, en las etapas posteriores a que el intruso penetra en la red interna de la empresa o en un dispositivo móvil. Inicialmente, la base de conocimiento incluía una descripción de 121 tácticas y técnicas utilizadas en el ataque, cada una de las cuales se describe en detalle en el formato Wiki. Una variedad de análisis de inteligencia de amenazas es muy adecuada como fuente para generar hipótesis.
Destacan los resultados del análisis de infraestructura y las pruebas de penetración: estos son los datos más valiosos que las hipótesis de hierro nos pueden dar porque dependen de una infraestructura específica con sus deficiencias específicas.Proceso de prueba de hipótesis
Sergey Soldatov dio un buen diagrama con una descripción detallada del proceso; ilustra el proceso de probar las hipótesis TH en un solo sistema. Indicaré las etapas principales con una breve descripción.FuenteEtapa 1: Granja TIEn esta etapa, debe seleccionar objetos (analizándolos junto con todos los datos de amenazas) y asignarles etiquetas de sus características. Este es un archivo, URL, MD5, proceso, utilidad, evento. Pasarlos por los sistemas de Inteligencia de amenazas debe ser etiquetado. Es decir, este sitio fue visto en CNC en tal y tal año, este MD5 se asoció con tal y tal malware, este MD5 se descargó del sitio web que distribuía los malvares.Etapa 2: CasosEn la segunda etapa, observamos la interacción entre estos objetos e identificamos las relaciones entre todos estos objetos. Obtenemos sistemas etiquetados que hacen algo malo.Etapa 3: analistaEn la tercera etapa, el caso se transfiere a un analista experimentado que tiene una vasta experiencia en análisis, y él dicta un veredicto. Analiza en bytes qué, dónde, cómo, por qué y por qué lo hace este código. Este cuerpo era un malware, esta computadora estaba infectada. Revela conexiones entre objetos, verifica los resultados de una ejecución a través del sandbox.Los resultados del trabajo del analista se transmiten. Digital Forensics examina las imágenes, Malware Analysis examina los "cuerpos" encontrados, y el equipo de Respuesta a Incidentes puede ir al sitio y explorar algo que ya está allí. El resultado del trabajo será una hipótesis confirmada, un ataque identificado y formas de contrarrestarlo.FuenteResumen
Threat Hunting es una tecnología bastante joven capaz de resistir eficazmente las amenazas personalizadas, nuevas y no estándar, que tiene grandes perspectivas dado el creciente número de tales amenazas y la complejidad de la infraestructura corporativa. Necesita tres componentes: datos, herramientas y análisis. Los beneficios de Threat Hunting no se limitan a la implementación proactiva de amenazas. No olvide que en el proceso de búsqueda nos sumergimos en nuestra infraestructura y sus debilidades a través de los ojos de un analista de seguridad y podemos fortalecer aún más estos lugares.Los primeros pasos que, en nuestra opinión, deben tomarse para iniciar el proceso de TH en su organización.- . (NetFlow) (firewall, IDS, IPS, DLP) . .
- MITRE ATT&CK .
- , , .
- Threat Intelligence (, MISP, Yeti) .
- (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
- Automatizar procesos rutinarios. El análisis de registros, la gestión de incidentes, la información del personal es un campo enorme para la automatización.
- Aprenda cómo interactuar efectivamente con ingenieros, desarrolladores, soporte técnico para colaborar en incidentes.
- Documente todo el proceso, puntos clave, resultados logrados, para volver a ellos más tarde o compartir estos datos con colegas;
- Recuerde el aspecto social: tenga en cuenta lo que está sucediendo con sus empleados, a quienes contrata y que dan acceso a los recursos de información de la organización.
- Manténgase al tanto de las tendencias en el campo de las nuevas amenazas y métodos de protección, aumente su nivel de conocimiento técnico (incluido el trabajo de los servicios y subsistemas de TI), asista a conferencias y comuníquese con colegas.
Listo para discutir la organización del proceso TH en los comentarios.O ven a nosotros a trabajar! Fuentes y materiales para estudio.