95% des menaces à la sécurité des informations sont connues et vous pouvez vous en protéger par des moyens traditionnels tels que les antivirus, les pare-feu, les IDS, les WAF. Les 5% restants des menaces sont inconnus et les plus dangereux. Ils représentent 70% du risque pour l'entreprise du fait qu'il est très difficile de les détecter et encore plus de s'en protéger. Des exemples de
«cygnes noirs» sont les épidémies de ransomware WannaCry, NotPetya / ExPetr, les cryptomères, les cyberarmes Stuxnet (qui ont frappé les installations nucléaires de l'Iran), et beaucoup (qui d'autre se souvient de Kido / Conficker?) D'autres attaques qui ne sont pas très efficaces pour se défendre contre le classique moyens de protection. Nous voulons parler de la façon de contrer ces 5% de menaces en utilisant la technologie de chasse aux menaces.
Le développement continu des cyberattaques nécessite une détection et une contre-action constantes, ce qui nous conduit finalement à l'idée d'une course aux armements sans fin entre attaquants et défenseurs. Les systèmes de protection classiques ne sont plus en mesure de fournir un niveau de sécurité acceptable auquel le niveau de risque n'affecte pas les indicateurs clés de l'entreprise (économique, politique, réputation) sans les finaliser pour une infrastructure spécifique, mais en général ils couvrent certains des risques. Déjà en cours de mise en œuvre et de configuration, les systèmes de protection modernes deviennent des rattrapages et doivent répondre aux défis des temps modernes.
SourceL'une des réponses aux défis de notre temps pour un spécialiste de la sécurité de l'information peut être la technologie de la chasse aux menaces. Le terme Chasse aux menaces (ci-après dénommé TH) est apparu il y a plusieurs années. La technologie elle-même est assez intéressante, mais n'a pas encore de normes et de règles généralement acceptées. L'hétérogénéité des sources d'information et le petit nombre de sources d'information en russe sur ce sujet compliquent également la question. À cet égard, chez LANIT-Integration, nous avons décidé d'écrire une revue de cette technologie.
Pertinence
La technologie TH repose sur des processus de surveillance des infrastructures.
Il existe deux principaux scénarios de surveillance interne: l'alerte et la chasse . L'alerte (par type de service MSSP) est une méthode traditionnelle, qui recherche les signatures et les signes d'attaques développés plus tôt et y réagit. Les fonctionnalités de sécurité de signature traditionnelles complètent avec succès ce scénario. La chasse (un service de type MDR) est une méthode de suivi qui répond à la question «D'où viennent les signatures et les règles?» Il s'agit du processus de création de règles de corrélation en analysant les indicateurs cachés ou inconnus et les signes d'une attaque. C'est à ce type de surveillance qu'appartient la chasse aux menaces.
Ce n'est qu'en combinant les deux types de surveillance que nous obtenons une protection proche de l'idéal, mais il reste toujours un certain niveau de risque résiduel.
Protection à l'aide de deux types de surveillanceEt voici pourquoi TH (et toute la chasse!) Sera de plus en plus pertinent:
Menaces, remèdes, risques. Source95% de toutes les menaces sont déjà bien comprises . Il s'agit notamment d'espèces telles que le spam, les DDoS, les virus, les rootkits et autres logiciels malveillants classiques. Vous pouvez vous protéger de ces menaces avec les mêmes défenses classiques.
Pendant l'exécution de tout projet,
80% du travail prend 20% du temps et les 20% restants du travail 80% du temps. De même, dans l'ensemble du paysage des menaces, 5% du nouveau type de menace constituera 70% du risque pour l'entreprise. Dans une entreprise où les processus de gestion de la sécurité de l'information sont organisés, nous pouvons gérer 30% du risque de menaces connues d'une manière ou d'une autre en évitant (abandonner les réseaux sans fil en principe), en acceptant (en introduisant les mesures de sécurité nécessaires) ou en déplaçant (par exemple, sur les épaules d'un intégrateur) ce risque. Se protéger des
vulnérabilités zero-day , des attaques APT, du phishing, des
attaques via la chaîne d'approvisionnement , des cyber-logiciels espions et des opérations nationales, ainsi que d'un grand nombre d'autres attaques, est déjà beaucoup plus difficile. Les conséquences de ces 5% de menaces seront beaucoup plus graves (le
montant moyen des pertes de la banque du groupe buhtrap est de 143 millions ) que les conséquences du spam ou des virus dont les logiciels antivirus sont sauvés.
Presque tout le monde doit faire face à 5% des menaces. Récemment, nous avons dû installer une solution open-source qui utilise une application du référentiel PEAR (PHP Extension and Application Repository). Une tentative d'installation de cette application via l'installation de pear a échoué, car le
site n'était pas disponible (il y a maintenant un talon), j'ai dû l'installer depuis GitHub. Et tout récemment, il est devenu clair que PEAR a été victime d'une
attaque à travers la chaîne d'approvisionnement .
Vous pouvez également vous souvenir de l'
attaque en utilisant CCleaner , une épidémie du rançongiciel NePetya via le module de mise à jour du programme de déclaration fiscale
MEDoc . Les menaces deviennent de plus en plus sophistiquées, et la question logique se pose - "Comment résistez-vous encore à ces 5% de menaces?"
Définition de la chasse aux menaces
Ainsi, la chasse aux menaces est un processus de recherche proactive et itérative et de détection des menaces avancées qui ne peuvent pas être détectées par des moyens de protection traditionnels. Les menaces avancées comprennent, par exemple, les attaques telles que APT, les attaques sur les vulnérabilités 0 jours, Living off the Land, etc.
On peut également reformuler que TH est un processus de test d'hypothèse. Il s'agit principalement d'un processus manuel avec des éléments d'automatisation, dans lequel l'analyste, s'appuyant sur ses connaissances et ses qualifications, passe au crible de grandes quantités d'informations à la recherche de signes de compromis qui correspondent à l'hypothèse initialement définie de la présence d'une certaine menace. Un trait distinctif est la variété des sources d'information.
Il convient de noter que la chasse aux menaces n'est pas une sorte de produit logiciel ou matériel. Ce ne sont pas des alertes qui peuvent être vues dans n'importe quelle solution. Ce n'est pas un processus de recherche d'IOC (identificateurs de compromis). Et ce n'est pas une sorte d'activité passive qui va sans la participation d'analystes de la sécurité de l'information. La chasse aux menaces est avant tout un processus.
Composants de chasse aux menaces
Trois composantes principales de la chasse aux menaces: données, technologie, personnes.
Données (quoi?) , Y compris Big Data. Toutes sortes de flux de trafic, informations sur les APT précédemment menées, analyses, données d'activité des utilisateurs, données de réseau, informations des employés, informations sur le darknet et bien plus encore.
Technologies (comment?) Pour le traitement de ces données, toutes les manières possibles de traiter ces données, y compris le Machine Learning.
Personnes (qui?) Sont celles qui ont une vaste expérience dans l'analyse d'une variété d'attaques, une intuition développée et la capacité de détecter une attaque. Ce sont généralement des analystes de la sécurité de l'information qui doivent avoir la capacité de générer des hypothèses et d'en trouver des preuves. Ils sont le maillon principal du processus.
Modèle PARIS
Adam Bateman
décrit le modèle PARIS pour le processus TH idéal. Le nom tel qu'il fait allusion au célèbre monument de France. Ce modèle peut être envisagé dans deux directions - au-dessus et en dessous.
Dans le processus de recherche de menaces, en descendant dans le modèle, nous traiterons de nombreuses preuves d'activité malveillante. Chaque preuve a une mesure de confiance - une caractéristique qui reflète le poids de cette preuve. Il existe du «fer», preuve directe d'une activité malveillante, qui nous permet d'atteindre immédiatement le sommet de la pyramide et de créer une véritable notification d'une infection connue. Et il y a des preuves indirectes, dont la somme peut également nous conduire au sommet de la pyramide. Comme toujours, il y a beaucoup plus de preuves indirectes que de preuves directes, ce qui signifie qu'elles doivent être triées et analysées, des recherches supplémentaires doivent être effectuées et il est souhaitable de les automatiser.
Modèle PARIS. SourceLa partie supérieure du modèle (1 et 2) est basée sur des technologies d'automatisation et diverses analyses, et la partie inférieure (3 et 4) est basée sur des personnes possédant certaines qualifications qui contrôlent le processus. Vous pouvez considérer le modèle, se déplaçant de haut en bas, où, dans la partie supérieure du bleu, nous avons des notifications des moyens de protection traditionnels (antivirus, EDR, pare-feu, signatures) avec un degré élevé de confiance et de confiance, et ci-dessous sont des indicateurs (IOC, URL, MD5 et autres), qui ont moins confiance et nécessitent une étude plus approfondie. Et le niveau le plus bas et le plus épais (4) est la génération d'hypothèses, la création de nouveaux scénarios du travail des remèdes traditionnels. Ce niveau n'est pas limité aux sources d'hypothèses indiquées. Plus le niveau est bas, plus la qualification de l'analyste est exigée.
Il est très important que les analystes ne testent pas seulement un ensemble fini d'hypothèses prédéfinies, mais travaillent constamment à générer de nouvelles hypothèses et options pour les tester.
TH utilise le modèle de maturité
Dans un monde idéal, TH est un processus continu. Mais, comme il n'y a pas de monde idéal, nous analyserons
le modèle de maturité et les méthodes dans le contexte des personnes, des processus et des technologies utilisées. Considérons un modèle de TH sphérique idéal. Il existe 5 niveaux d'utilisation de cette technologie. Considérez-les sur l'exemple de l'évolution d'une seule équipe d'analystes.
| Niveaux de maturité | Les gens | Les processus | La technologie |
| Niveau 0 | Analystes SOC | 24/7 | Instruments traditionnels: |
| Traditionnel | Ensemble d'alerte | Surveillance passive | IDS, AV, Sandboxing, |
| Sans TH | Travailler avec des alertes | | outils d'analyse de signature, données Threat Intelligence. |
| Niveau 1 | Analystes SOC | TH unique | EDR |
| Expérimental | Connaissances de base en médecine légale | Recherche du CIO | Couverture partielle des données des périphériques réseau |
| Expériences avec TH | Bonne connaissance des réseaux et des applications | | Application partielle |
| Niveau 2 | Occupation temporaire | Sprints | EDR |
| Périodique | La connaissance moyenne de la médecine légale | Semaine par mois | Application complète |
| TH temporaire | Excellente connaissance des réseaux et des applications | Th régulier | Automatisation complète de l'utilisation des données EDR |
| | | Utilisation partielle des fonctionnalités EDR avancées |
| Niveau 3 | Équipe TH dédiée | 24/7 | Capacité partielle de tester des hypothèses TH |
| Proactif | Excellente connaissance de la criminalistique et des logiciels malveillants | Proactive TH | Utilisation complète des fonctionnalités EDR avancées |
| Cas particuliers TH | Excellente connaissance de l'attaquant | Cas particuliers TH | Couverture complète des données des périphériques réseau |
| | | Configuration personnalisée |
| Niveau 4 | Équipe TH dédiée | 24/7 | Capacité totale de tester les hypothèses TH |
| Leader | Excellente connaissance de la criminalistique et des logiciels malveillants | Proactive TH | Niveau 3, plus: |
| Utilisation de TH | Excellente connaissance de l'attaquant | Test, automatisation et vérification des hypothèses TH | intégration étroite des sources de données; |
| Capacité de recherche | | développement personnalisé et utilisation d'API personnalisée. |
Niveaux de maturité TH par les personnes, les processus et la technologieNiveau 0: traditionnel, sans utiliser TH. Les analystes conventionnels travaillent avec un ensemble standard d'alertes en mode de surveillance passive à l'aide d'outils et de technologies standard: IDS, AV, bacs à sable, outils d'analyse de signature.
Niveau 1: expérimental utilisant TH. Les mêmes analystes possédant des connaissances de base en criminalistique et une bonne connaissance des réseaux et de l'application peuvent mettre en œuvre une chasse aux menaces ponctuelle en recherchant des indicateurs de compromis. Des EDR avec une couverture partielle des données des périphériques réseau sont ajoutés aux outils. Les outils sont partiellement appliqués.
Niveau 2: TH intermittent, temporaire. Les mêmes analystes qui ont déjà pompé leurs connaissances de la criminalistique, des réseaux et de la partie application sont chargés de s'engager régulièrement dans la chasse aux menaces (sprint), disons, une semaine par mois. Les outils sont complétés par une étude complète des données des périphériques réseau, l'automatisation de l'analyse des données de l'EDR et l'utilisation partielle des fonctionnalités avancées de l'EDR.
Niveau 3: cas préventifs et fréquents de TH. Nos analystes se sont organisés en une équipe dédiée, ont commencé à avoir une excellente connaissance de la criminalistique et des logiciels malveillants, ainsi qu'une connaissance des méthodes et tactiques de la partie attaquante. Le processus est déjà en cours 24/7. L'équipe est en mesure de tester partiellement les hypothèses TH, en utilisant pleinement les capacités avancées d'EDR avec une couverture complète des données des périphériques réseau. De plus, les analystes peuvent configurer des outils pour répondre à leurs besoins.
Niveau 4: haut de gamme, utilisant TH. La même équipe a acquis la capacité de recherche, la capacité de générer et d'automatiser le processus de test des hypothèses TH. Désormais, une intégration étroite des sources de données, un développement logiciel pour les besoins et une utilisation non standard des API ont été ajoutés aux outils.
Techniques de chasse aux menaces
Techniques de base de chasse aux menacesLes
techniques TH par ordre de maturité de la technologie utilisée comprennent: la recherche de base, l'analyse statistique, les techniques de visualisation, les agrégations simples, l'apprentissage automatique et les méthodes bayésiennes.
La méthode la plus simple est une recherche de base, qui est utilisée pour restreindre la portée de la recherche à l'aide de requêtes spécifiques. L'analyse statistique est utilisée, par exemple, pour créer une activité utilisateur ou réseau typique sous la forme d'un modèle statistique. Les techniques de visualisation sont utilisées pour visualiser et simplifier l'analyse des données sous la forme de graphiques et de tableaux, ce qui facilite beaucoup la capture des modèles dans l'échantillon. La technique d'agrégation simple pour les champs clés est utilisée pour optimiser la recherche et l'analyse. Plus le niveau de maturité d'une organisation est atteint par le processus TH, plus l'utilisation des algorithmes d'apprentissage automatique est pertinente. Ils sont également largement utilisés, notamment pour filtrer le spam, détecter le trafic malveillant et détecter les activités frauduleuses. Un type plus avancé d'algorithmes d'apprentissage automatique est les méthodes bayésiennes qui permettent la classification, la réduction de la taille de l'échantillon et la modélisation thématique.
Modèle de diamant et stratégie TH
Sergio Caltagiron, Andrew Pendegast et Christopher Betz dans leur travail «
Le modèle de diamant de l'analyse d'intrusion » a montré les principaux composants clés de toute activité malveillante et la connexion de base entre eux.
Modèle Diamond pour les activités malveillantesConformément à ce modèle, il existe 4 stratégies de chasse aux menaces qui reposent sur des éléments clés pertinents.
1. Une stratégie axée sur les victimes. Nous supposons que la victime a des adversaires, et ils fourniront des «opportunités» par e-mail. Nous recherchons des données ennemies par courrier. Recherchez des liens, des pièces jointes, etc. Nous recherchons la confirmation de cette hypothèse pour une certaine période (mois, deux semaines), si elle n'est pas trouvée, alors l'hypothèse n'a pas joué.
2. Stratégie axée sur l'infrastructure. Il existe plusieurs façons d'utiliser cette stratégie. Selon l'accès et la visibilité, certains sont plus faciles que d'autres. Par exemple, nous surveillons les serveurs de noms de domaine connus pour héberger des domaines malveillants. Ou nous menons un processus de suivi de tous les nouveaux enregistrements de noms de domaine pour un modèle connu utilisé par l'adversaire.
3. Stratégie orientée vers les opportunités. En plus de la stratégie axée sur les victimes utilisée par la plupart des défenseurs du réseau, il existe une stratégie axée sur les opportunités. Il est le deuxième plus populaire et se concentre sur la détection des capacités de l'adversaire, à savoir les «logiciels malveillants» et la capacité de l'adversaire à utiliser des outils légitimes tels que psexec, powershell, certutil et autres.
4. Stratégie axée sur l'adversaire. L'approche axée sur l'ennemi se concentre sur l'ennemi. Cela comprend l'utilisation d'informations ouvertes de sources publiques (OSINT), la collecte de données sur l'ennemi, ses techniques et méthodes (TTP), l'analyse des incidents passés, les données de renseignement sur les menaces, etc.
Sources d'informations et hypothèses en TH
Quelques sources d'information pour la chasse aux menacesIl peut y avoir de nombreuses sources d'information. L'analyste idéal devrait être capable d'extraire des informations de tout ce qui se trouve autour. Les sources typiques dans presque toutes les infrastructures seront les données des fonctions de sécurité: DLP, SIEM, IDS / IPS, WAF / FW, EDR. En outre, les indicateurs types d'informations seront tous les types d'indicateurs de compromis, les services Threat Intelligence, les données CERT et OSINT. De plus, vous pouvez utiliser des informations du darknet (par exemple, soudainement, il y a un ordre de pirater la boîte aux lettres du chef de l'organisation, ou le candidat au poste d'ingénieur réseau est apparu sur son activité), des informations reçues des RH (retour d'informations sur le candidat de son emploi précédent), des informations du service de sécurité ( par exemple, les résultats de la vérification de la contrepartie).
Mais avant d'utiliser toutes les sources disponibles, vous devez avoir au moins une hypothèse.
SourcePour tester des hypothèses, elles doivent d'abord être avancées. Et pour proposer de nombreuses hypothèses qualitatives, il est nécessaire d'appliquer une approche systématique. Le processus de génération d'hypothèse est décrit plus en détail dans l'
article ; il est très pratique de prendre ce schéma comme base pour le processus d'hypothèse.
La principale source d'hypothèses sera la
matrice ATT & CK (Adversarial Tactics, Techniques and Common Knowledge). Il s'agit en fait d'une base de connaissances et d'un modèle pour évaluer le comportement des attaquants réalisant leurs activités dans les dernières étapes d'une attaque, généralement décrit en utilisant le concept de Kill Chain. C'est-à-dire, aux étapes après que l'intrus a pénétré le réseau interne de l'entreprise ou vers un appareil mobile. Initialement, la base de connaissances comprenait une description de 121 tactiques et techniques utilisées dans l'attaque, chacune étant décrite en détail au format Wiki. Une variété d'analyses de Threat Intelligence est bien adaptée comme source pour générer des hypothèses.
Il convient de noter en particulier les résultats de l'analyse des infrastructures et des tests de pénétration - ce sont les données les plus précieuses que les hypothèses de fer peuvent nous fournir, car elles reposent sur une infrastructure spécifique avec ses lacunes spécifiques.Processus de test d'hypothèse
Sergey Soldatov a donné un bon diagramme avec une description détaillée du processus; il illustre le processus de test des hypothèses TH dans un seul système. J'indiquerai les principales étapes avec une brève description.SourceÉtape 1: TI FarmÀ ce stade, vous devez sélectionner des objets (en les analysant avec toutes les données sur les menaces) en leur attribuant des étiquettes de leurs caractéristiques. Il s'agit d'un fichier, URL, MD5, processus, utilitaire, événement. Leur passage dans les systèmes Threat Intelligence doit être balisé. Autrement dit, ce site a été repéré au CNC en telle ou telle année, ce MD5 a été associé à tel ou tel malware, ce MD5 a été téléchargé depuis le site Internet qui distribuait les malvars.Étape 2: casDans la deuxième étape, nous examinons l'interaction entre ces objets et identifions les relations entre tous ces objets. Nous obtenons des systèmes étiquetés qui font quelque chose de mal.Étape 3: AnalysteÀ la troisième étape, l'affaire est transférée à un analyste expérimenté qui possède une vaste expérience en analyse, et il rend un verdict. Il analyse en octets ce que, où, comment, pourquoi et pourquoi ce code fait. Ce corps était un malware, cet ordinateur était infecté. Divulgue les connexions entre les objets, vérifie les résultats d'une exécution dans le bac à sable.Les résultats des travaux de l’analyste sont transmis. Digital Forensics examine les images, Malware Analysis examine les «corps» trouvés et l'équipe de réponse aux incidents peut se rendre sur le site et explorer quelque chose qui s'y trouve déjà. Le résultat du travail sera une hypothèse confirmée, une attaque identifiée et des moyens de la contrer.SourceRésumé
La chasse aux menaces est une technologie assez récente capable de résister efficacement aux menaces personnalisées, nouvelles et non standard, qui a de grandes perspectives compte tenu du nombre croissant de ces menaces et de la complexité de l'infrastructure de l'entreprise. Il a besoin de trois composants - données, outils et analyses. Les avantages de la chasse aux menaces ne se limitent pas à la mise en œuvre proactive des menaces. N'oubliez pas que dans le processus de recherche, nous plongeons dans notre infrastructure et ses faiblesses à travers les yeux d'un analyste de la sécurité et nous pouvons encore renforcer ces lieux.Les premières étapes qui, à notre avis, doivent être prises pour lancer le processus TH dans votre organisation.- . (NetFlow) (firewall, IDS, IPS, DLP) . .
- MITRE ATT&CK .
- , , .
- Threat Intelligence (, MISP, Yeti) .
- (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
- Automatisez les processus de routine. L'analyse des journaux, la gestion des incidents, l'information du personnel est un immense domaine d'automatisation.
- Apprenez à interagir efficacement avec les ingénieurs, les développeurs et le support technique pour collaborer sur les incidents.
- Documenter l'ensemble du processus, les points clés, les résultats obtenus, pour y revenir plus tard ou partager ces données avec des collègues;
- N'oubliez pas le côté social: soyez conscient de ce qui se passe avec vos employés, que vous embauchez et qui donne accès aux ressources d'information de l'organisation.
- Restez au courant des tendances dans le domaine des nouvelles menaces et méthodes de protection, augmentez votre niveau de connaissances techniques (y compris le travail des services informatiques et des sous-systèmes), assistez à des conférences et communiquez avec vos collègues.
Prêt à discuter de l'organisation du processus TH dans les commentaires.Ou venez nous voir pour travailler! Sources et matériel d'étude