95% dari ancaman keamanan informasi diketahui, dan Anda dapat melindungi diri dari mereka dengan cara tradisional seperti antivirus, firewall, IDS, WAF. 5% sisanya dari ancaman tidak diketahui dan paling berbahaya. Mereka mewakili 70% risiko bagi perusahaan karena fakta bahwa sangat sulit untuk mendeteksi mereka dan terlebih lagi untuk melindungi diri dari mereka. Contoh
"angsa hitam" adalah WannaCry, NotPetya / ExPetr ransomware epidemi, cryptominers, senjata cyber Stuxnet (yang mengenai fasilitas nuklir Iran) dan banyak (siapa lagi yang mengingat Kido / Conficker?) Serangan lain yang tidak pandai membela melawan klasik sarana perlindungan. Kami ingin berbicara tentang cara mengatasi 5% ancaman ini menggunakan teknologi Threat Hunting.
Perkembangan serangan dunia maya yang terus menerus membutuhkan pendeteksian dan penyeimbang yang konstan, yang pada akhirnya membawa kita pada gagasan perlombaan senjata tanpa akhir antara penyerang dan pembela. Sistem perlindungan klasik tidak lagi dapat memberikan tingkat keamanan yang dapat diterima di mana tingkat risiko tidak mempengaruhi indikator utama perusahaan (ekonomi, politik, reputasi) tanpa menyelesaikannya untuk infrastruktur tertentu, tetapi secara umum mereka mencakup beberapa risiko. Sudah dalam proses implementasi dan konfigurasi, sistem perlindungan modern menjadi catch-up dan harus menanggapi tantangan zaman modern.
SumberSalah satu jawaban atas tantangan zaman kita bagi spesialis keamanan informasi mungkin adalah teknologi Threat Hunting. Istilah Berburu Ancaman (selanjutnya disebut TH) muncul beberapa tahun yang lalu. Teknologi itu sendiri cukup menarik, tetapi belum memiliki standar dan aturan yang diterima secara umum. Heterogenitas sumber informasi dan sedikitnya sumber informasi berbahasa Rusia tentang topik ini juga memperumit masalah ini. Dalam hal ini, kami di LANIT-Integration memutuskan untuk menulis beberapa ulasan tentang teknologi ini.
Relevansi
Teknologi TH bergantung pada proses pemantauan infrastruktur.
Ada dua skenario utama pemantauan internal - Peringatan dan Perburuan . Peringatan (berdasarkan jenis layanan MSSP) adalah metode tradisional, mencari tanda tangan dan tanda-tanda serangan yang dikembangkan sebelumnya dan bereaksi terhadapnya. Fitur keamanan tanda tangan tradisional berhasil menyelesaikan skenario ini. Berburu (layanan tipe MDR) adalah metode pemantauan yang menjawab pertanyaan "Dari mana tanda tangan dan peraturan itu berasal?" Ini adalah proses pembuatan aturan korelasi dengan menganalisis indikator dan tanda-tanda serangan yang tersembunyi atau sebelumnya tidak dikenal. Jenis pemantauan ini adalah milik Threat Hunting.
Hanya dengan menggabungkan kedua jenis pemantauan, kami mendapatkan perlindungan yang mendekati ideal, tetapi selalu ada beberapa tingkat risiko residual.
Perlindungan menggunakan dua jenis pemantauanDan inilah mengapa TH (dan seluruh perburuan!) Akan semakin relevan:
Ancaman, solusi, risiko. Sumber95% dari semua ancaman sudah dipahami dengan baik . Ini termasuk spesies seperti spam, DDoS, virus, rootkit, dan malware klasik lainnya. Anda dapat melindungi diri dari ancaman ini dengan pertahanan klasik yang sama.
Selama pelaksanaan proyek apa pun,
80% pekerjaan membutuhkan 20% dari waktu , dan 20% sisanya dari pekerjaan membutuhkan 80% dari waktu. Demikian pula, di antara seluruh lanskap ancaman, 5% dari jenis ancaman baru akan membentuk 70% risiko bagi perusahaan. Di sebuah perusahaan di mana proses manajemen keamanan informasi diselenggarakan, kita dapat mengelola 30% risiko ancaman yang diketahui dengan satu atau lain cara dengan menghindari (mengabaikan prinsip-prinsip jaringan nirkabel), menerima (memperkenalkan langkah-langkah keamanan yang diperlukan) atau bergeser (misalnya, ke pundak integrator) ini risiko. Melindungi diri Anda dari
kerentanan zero-day , serangan APT, phishing,
serangan melalui rantai pasokan , spyware cyber, dan operasi nasional, serta dari sejumlah besar serangan lain sudah jauh lebih sulit. Konsekuensi dari ancaman 5% ini akan jauh lebih serius (
jumlah rata -
rata kerugian bank dari kelompok buhtrap adalah 143 juta ) daripada konsekuensi dari spam atau virus yang menyelamatkan perangkat lunak antivirus.
Hampir setiap orang harus berurusan dengan 5% ancaman. Baru-baru ini, kami harus menginstal satu solusi open-source yang menggunakan aplikasi dari repositori PEAR (PHP Extension and Application Repository). Upaya untuk menginstal aplikasi ini melalui instalasi pir gagal, karena
situs itu tidak tersedia (sekarang ada tulisan rintisan di sana), saya harus menginstalnya dari GitHub. Dan baru-baru ini menjadi jelas bahwa PEAR adalah korban
serangan melalui rantai pasokan .
Anda juga dapat mengingat
serangan menggunakan CCleaner , epidemi dari NePetya ransomware melalui modul pembaruan program untuk pelaporan pajak
MEDoc . Ancaman menjadi lebih canggih, dan pertanyaan logis muncul - "Bagaimana Anda masih menahan 5% ancaman ini?"
Definisi Berburu Ancaman
Jadi, Perburuan Ancaman adalah proses pencarian dan deteksi proaktif dan berulang terhadap ancaman tingkat lanjut yang tidak dapat dideteksi dengan cara perlindungan tradisional. Ancaman lanjutan meliputi, misalnya, serangan seperti APT, serangan terhadap kerentanan 0 hari, Hidup di Tanah, dan sebagainya.
Dapat juga diulang-ulang bahwa TH adalah proses pengujian hipotesis. Ini terutama merupakan proses manual dengan elemen-elemen otomatisasi, di mana analis, yang mengandalkan pengetahuan dan kualifikasinya, menyaring informasi dalam jumlah besar untuk mencari tanda-tanda kompromi yang sesuai dengan hipotesis awal yang ditetapkan tentang adanya ancaman tertentu. Ciri khasnya adalah ragam sumber informasi.
Perlu dicatat bahwa Berburu Ancaman bukanlah semacam perangkat lunak atau produk perangkat keras. Ini bukan peringatan yang dapat dilihat dalam solusi apa pun. Ini bukan proses untuk menemukan IOC (pengidentifikasi kompromi). Dan ini bukan semacam aktivitas pasif yang berjalan tanpa partisipasi analis keamanan informasi. Perburuan Ancaman adalah, pertama dan terutama, suatu proses.
Komponen Berburu Ancaman
Tiga komponen utama dari Berburu Ancaman: data, teknologi, orang.
Data (apa?) , Termasuk Big Data. Semua jenis arus lalu lintas, informasi tentang APT yang sebelumnya dilakukan, analitik, data aktivitas pengguna, data jaringan, informasi dari karyawan, informasi di darknet dan banyak lagi.
Teknologi (bagaimana?) Untuk memproses data ini adalah semua cara yang mungkin untuk memproses data ini, termasuk Machine Learning.
Orang (siapa?) Apakah mereka yang memiliki pengalaman luas dalam menganalisis berbagai serangan, mengembangkan intuisi dan kemampuan untuk mendeteksi serangan. Biasanya ini adalah analis keamanan informasi yang harus memiliki kemampuan untuk menghasilkan hipotesis dan menemukan bukti untuk mereka. Mereka adalah tautan utama dalam proses.
Model PARIS
Adam Bateman
menjelaskan model PARIS untuk proses TH yang ideal. Nama itu menyinggung landmark terkenal Perancis. Model ini dapat dipertimbangkan dalam dua arah - di atas dan di bawah.
Dalam proses berburu ancaman, menurunkan model, kita akan berurusan dengan banyak bukti aktivitas jahat. Setiap bukti memiliki tingkat kepercayaan - karakteristik yang mencerminkan bobot bukti ini. Ada "zat besi", bukti langsung dari aktivitas berbahaya, yang dengannya kita dapat segera mencapai puncak piramida dan membuat pemberitahuan aktual tentang infeksi yang diketahui. Dan ada bukti tidak langsung, jumlah yang juga dapat membawa kita ke puncak piramida. Seperti biasa, ada lebih banyak bukti tidak langsung daripada bukti langsung, yang berarti bahwa mereka perlu disortir dan dianalisis, penelitian tambahan harus dilakukan, dan disarankan untuk mengotomatisasi ini.
Model PARIS. SumberBagian atas dari model (1 dan 2) didasarkan pada teknologi otomatisasi dan analitik yang beragam, dan bagian bawah (3 dan 4) didasarkan pada orang-orang dengan kualifikasi tertentu yang mengendalikan proses. Anda dapat mempertimbangkan model, bergerak dari atas ke bawah, di mana di bagian atas warna biru kami memiliki pemberitahuan dari alat perlindungan tradisional (antivirus, EDR, firewall, tanda tangan) dengan tingkat kepercayaan dan kepercayaan yang tinggi, dan di bawah ini adalah indikator (IOC, URL, MD5, dan lainnya), yang kurang percaya diri dan membutuhkan studi lebih lanjut. Dan level terendah dan paling tebal (4) adalah generasi hipotesis, penciptaan skenario baru dari karya pengobatan tradisional. Tingkat ini tidak terbatas pada sumber hipotesis yang ditunjukkan. Semakin rendah level, semakin banyak persyaratan yang ditempatkan pada kualifikasi analis.
Sangat penting bahwa analis tidak hanya menguji serangkaian hipotesis yang telah ditentukan sebelumnya, tetapi terus-menerus bekerja untuk menghasilkan hipotesis dan opsi baru untuk mengujinya.
TH menggunakan model kematangan
Dalam dunia yang ideal, TH adalah proses yang berkelanjutan. Tetapi, karena tidak ada dunia yang ideal, kami akan menganalisis
model dan metode
kematangan dalam konteks orang, proses dan teknologi yang digunakan. Pertimbangkan model TH bola ideal. Ada 5 level menggunakan teknologi ini. Pertimbangkan mereka pada contoh evolusi satu tim analis.
| Tingkat kedewasaan | Orang | Prosesnya | Teknologi |
| Level 0 | Analis SOC | 24/7 | Instrumen tradisional: |
| Tradisional | Set Peringatan | Pemantauan pasif | IDS, AV, Kotak Pasir, |
| Tanpa TH | Bekerja dengan peringatan | | alat analisis tanda tangan, data Ancaman Intelijen. |
| Level 1 | Analis SOC | TH satu kali | EDR |
| Eksperimental | Pengetahuan dasar forensik | Pencarian IOC | Cakupan sebagian data dari perangkat jaringan |
| Eksperimen dengan TH | Pengetahuan yang baik tentang jaringan dan aplikasi | | Aplikasi sebagian |
| Level 2 | Pekerjaan sementara | Sprint | EDR |
| Berkala | Pengetahuan rata-rata forensik | Minggu per bulan | Aplikasi lengkap |
| TH sementara | Pengetahuan yang sangat baik tentang jaringan dan aplikasi | Biasa th | Otomatisasi penuh penggunaan data EDR |
| | | Penggunaan sebagian fitur EDR tingkat lanjut |
| Level 3 | Tim TH Khusus | 24/7 | Kemampuan parsial untuk menguji hipotesis TH |
| Proaktif | Pengetahuan yang sangat baik tentang forensik dan malware | TH proaktif | Penggunaan penuh fitur EDR canggih |
| Kasus khusus TH | Pengetahuan yang bagus tentang penyerang | Kasus khusus TH | Cakupan penuh data dari perangkat jaringan |
| | | Konfigurasi khusus |
| Level 4 | Tim TH Khusus | 24/7 | Kemampuan penuh untuk menguji hipotesis TH |
| Terkemuka | Pengetahuan yang sangat baik tentang forensik dan malware | TH proaktif | Level 3, plus: |
| Menggunakan TH | Pengetahuan yang bagus tentang penyerang | Menguji, Mengotomasi, dan Memverifikasi Hipotesis TH | integrasi sumber data yang ketat; |
| Kemampuan penelitian | | pengembangan kustom dan penggunaan API khusus. |
Tingkat kematangan TH oleh orang, proses, dan teknologiLevel 0: tradisional, tanpa menggunakan TH. Analis konvensional bekerja dengan seperangkat peringatan standar dalam mode pemantauan pasif menggunakan alat dan teknologi standar: IDS, AV, kotak pasir, alat analisis tanda tangan.
Level 1: eksperimental menggunakan TH. Analis yang sama dengan pengetahuan dasar forensik dan pengetahuan yang baik tentang jaringan dan aplikasi dapat menerapkan Berburu Ancaman satu kali dengan mencari indikator kompromi. EDR dengan cakupan sebagian data dari perangkat jaringan ditambahkan ke alat. Alat diterapkan sebagian.
Level 2: intermiten, TH sementara. Analis yang sama yang telah memompa pengetahuan mereka tentang forensik, jaringan dan bagian aplikasi dibebankan dengan kewajiban untuk secara teratur terlibat dalam (sprint) Pemburuan Ancaman, katakanlah, seminggu dalam sebulan. Alat-alat ini dilengkapi dengan studi lengkap data dari perangkat jaringan, otomatisasi analisis data dari EDR dan penggunaan sebagian fitur EDR canggih.
Level 3: kasus TH yang preventif dan sering. Analis kami mengorganisir diri dalam tim yang berdedikasi, mulai memiliki pengetahuan yang sangat baik tentang forensik dan malware, serta pengetahuan tentang metode dan taktik pihak penyerang. Prosesnya sudah berlangsung 24/7. Tim ini dapat menguji sebagian hipotesis TH, memanfaatkan sepenuhnya kemampuan EDR canggih dengan cakupan penuh data dari perangkat jaringan. Juga, analis dapat mengkonfigurasi alat agar sesuai dengan kebutuhan mereka.
Level 4: kelas atas, menggunakan TH. Tim yang sama memperoleh kemampuan untuk meneliti, kemampuan untuk menghasilkan dan mengotomatisasi proses pengujian hipotesis TH. Sekarang, integrasi sumber data yang ketat, pengembangan perangkat lunak untuk kebutuhan dan penggunaan API yang tidak standar telah ditambahkan ke dalam alat.
Teknik Berburu Ancaman
Teknik Berburu Ancaman DasarTeknik TH dalam rangka kematangan teknologi yang digunakan meliputi: pencarian dasar, analisis statistik, teknik visualisasi, agregasi sederhana, pembelajaran mesin, dan metode Bayesian.
Metode paling sederhana adalah pencarian dasar, yang digunakan untuk mempersempit ruang lingkup penelitian menggunakan pertanyaan spesifik. Analisis statistik digunakan, misalnya, untuk membangun aktivitas pengguna atau jaringan yang khas dalam bentuk model statistik. Teknik visualisasi digunakan untuk memvisualisasikan dan menyederhanakan analisis data dalam bentuk grafik dan grafik, yang membuatnya lebih mudah untuk menangkap pola dalam sampel. Teknik agregasi sederhana untuk bidang utama digunakan untuk mengoptimalkan pencarian dan analisis. Semakin tinggi tingkat kematangan dalam suatu organisasi dicapai oleh proses TH, semakin relevan adalah penggunaan algoritma pembelajaran mesin. Mereka juga banyak digunakan, termasuk dalam menyaring spam, mendeteksi lalu lintas berbahaya dan mendeteksi kegiatan penipuan. Jenis algoritma pembelajaran mesin yang lebih maju adalah metode Bayesian yang memungkinkan klasifikasi, pengurangan ukuran sampel, dan pemodelan tematik.
Model Berlian dan Strategi TH
Sergio Caltagiron, Andrew Pendegast dan Christopher Betz dalam karya mereka "
The Diamond Model of Intrusion Analysis " menunjukkan komponen utama utama dari setiap kegiatan jahat dan koneksi dasar di antara mereka.
Model berlian untuk aktivitas berbahayaSesuai dengan model ini, ada 4 strategi Berburu Ancaman yang mengandalkan komponen kunci yang relevan.
1. Strategi yang berorientasi pada korban. Kami berasumsi bahwa korban memiliki lawan, dan mereka akan memberikan "peluang" melalui email. Kami mencari data musuh melalui pos. Cari tautan, lampiran, dll. Kami mencari konfirmasi hipotesis ini untuk jangka waktu tertentu (bulan, dua minggu), jika tidak ditemukan, maka hipotesis tidak berlaku.
2. Strategi berorientasi infrastruktur. Ada beberapa cara untuk menggunakan strategi ini. Tergantung pada akses dan visibilitas, beberapa lebih mudah daripada yang lain. Misalnya, kami memantau server nama domain yang dikenal sebagai tempat hosting domain berbahaya. Atau kami sedang melakukan proses pelacakan semua pendaftaran nama domain baru untuk pola yang diketahui digunakan oleh musuh.
3. Strategi berorientasi peluang. Selain strategi berorientasi korban yang digunakan oleh sebagian besar pendukung jaringan, ada strategi berorientasi peluang. Ini adalah yang paling populer kedua dan berfokus pada mendeteksi kemampuan dari musuh, yaitu "malware" dan kemampuan musuh untuk menggunakan alat yang sah seperti psexec, PowerShell, Certutil dan lain-lain.
4. Strategi berorientasi lawan. Pendekatan yang berorientasi pada musuh berfokus pada musuh. Ini termasuk penggunaan informasi terbuka dari sumber publik (OSINT), pengumpulan data tentang musuh, teknik dan metodenya (TTP), analisis insiden masa lalu, data intelijen ancaman, dll.
Sumber informasi dan hipotesis di TH
Beberapa Sumber Informasi untuk Berburu AncamanMungkin ada banyak sumber informasi. Analis yang ideal harus dapat mengekstraksi informasi dari segala sesuatu yang ada di sekitarnya. Sumber khas di hampir semua infrastruktur adalah data dari fitur keamanan: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Juga, indikator informasi yang khas adalah semua jenis indikator kompromi, layanan Intelijen Ancaman, data CERT dan OSINT. Selain itu, Anda dapat menggunakan informasi dari darknet (misalnya, tiba-tiba ada perintah untuk meretas kotak surat kepala organisasi, atau kandidat untuk posisi insinyur jaringan telah muncul di aktivitasnya), informasi yang diterima dari HR (umpan balik tentang kandidat dari pekerjaan sebelumnya), informasi dari dinas keamanan ( mis. hasil verifikasi pihak lawan).
Tetapi sebelum menggunakan semua sumber yang tersedia, Anda harus memiliki setidaknya satu hipotesis.
SumberUntuk menguji hipotesis, mereka harus terlebih dahulu diajukan. Dan untuk mengajukan banyak hipotesis kualitatif, perlu untuk menerapkan pendekatan sistematis. Proses pembuatan hipotesis dijelaskan secara lebih rinci dalam
artikel , sangat mudah untuk mengambil skema ini sebagai dasar untuk proses hipotesis.
Sumber utama hipotesis adalah
matriks ATT & CK (Taktik Adversarial, Teknik, dan Pengetahuan Umum). Itu, pada kenyataannya, adalah basis pengetahuan dan model untuk menilai perilaku penyerang menyadari kegiatan mereka dalam langkah-langkah terakhir serangan, biasanya dijelaskan dengan menggunakan konsep Kill Chain. Yaitu, pada tahap setelah penyusup menembus jaringan internal perusahaan atau ke perangkat seluler. Awalnya, basis pengetahuan mencakup deskripsi 121 taktik dan teknik yang digunakan dalam serangan, yang masing-masing dijelaskan secara rinci dalam format Wiki. Berbagai analisis Kecerdasan Ancaman sangat cocok sebagai sumber untuk menghasilkan hipotesis.
Dari catatan khusus adalah hasil analisis infrastruktur dan uji penetrasi - ini adalah data yang paling berharga yang dapat diberikan oleh hipotesis besi karena mereka bergantung pada infrastruktur tertentu dengan kekurangan spesifiknya.Proses Pengujian Hipotesis
Sergey Soldatov memberikan diagram yang baik dengan deskripsi proses yang terperinci, yang menggambarkan proses pengujian hipotesis TH dalam satu sistem tunggal. Saya akan menunjukkan tahap utama dengan deskripsi singkat.SumberTahap 1: TI FarmPada tahap ini, Anda perlu memilih objek (dengan menganalisisnya bersama-sama dengan semua data ancaman) dengan memberikan label karakteristik mereka kepada mereka. Ini adalah file, URL, MD5, proses, utilitas, acara. Melewati mereka melalui sistem Intelijen Ancaman perlu diberi tag. Yaitu, situs ini terlihat di CNC pada tahun ini dan itu, MD5 ini dikaitkan dengan malware ini dan itu, MD5 ini diunduh dari situs web yang mendistribusikan malvars.Tahap 2: KasusPada tahap kedua, kita melihat interaksi antara objek-objek ini dan mengidentifikasi hubungan antara semua objek ini. Kami mendapatkan sistem berlabel yang melakukan sesuatu yang buruk.Tahap 3: AnalisPada tahap ketiga, kasus ini ditransfer ke analis berpengalaman yang memiliki pengalaman luas dalam analisis, dan ia membuat vonis. Ini mem-parsing ke byte apa, di mana, bagaimana, mengapa dan mengapa kode ini tidak. Tubuh ini adalah malware, komputer ini terinfeksi. Mengungkapkan koneksi antara objek, memeriksa hasil lari melalui kotak pasir.Hasil pekerjaan analis diteruskan. Digital Forensik memeriksa gambar, Analisis Malware memeriksa "mayat" yang ditemukan, dan tim Respons Insiden dapat pergi ke situs dan menjelajahi sesuatu yang sudah ada di sana. Hasil pekerjaan akan menjadi hipotesis yang dikonfirmasi, serangan yang diidentifikasi dan cara untuk menghadapinya.SumberRingkasan
Threat Hunting adalah teknologi yang cukup muda yang mampu secara efektif menolak ancaman yang disesuaikan, baru dan tidak standar, yang memiliki prospek besar mengingat semakin banyaknya ancaman tersebut dan kompleksitas infrastruktur perusahaan. Dibutuhkan tiga komponen - data, alat, dan analitik. Manfaat Berburu Ancaman tidak terbatas pada ancaman yang proaktif. Jangan lupa bahwa dalam proses pencarian kami terjun ke infrastruktur kami dan kelemahannya melalui mata seorang analis keamanan dan selanjutnya dapat memperkuat tempat-tempat ini.Langkah pertama yang, menurut kami, perlu diambil untuk memulai proses TH di organisasi Anda.- . (NetFlow) (firewall, IDS, IPS, DLP) . .
- MITRE ATT&CK .
- , , .
- Threat Intelligence (, MISP, Yeti) .
- (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
- Otomatiskan proses rutin. Analisis log, manajemen insiden, menginformasikan staf adalah bidang besar untuk otomatisasi.
- Pelajari cara berinteraksi secara efektif dengan insinyur, pengembang, dukungan teknis untuk berkolaborasi dalam insiden.
- Dokumentasikan seluruh proses, poin-poin penting, hasil yang dicapai, untuk kembali kepada mereka nanti atau membagikan data ini dengan kolega;
- Ingatlah sisi sosialnya: waspadai apa yang terjadi dengan karyawan Anda, siapa yang Anda pekerjakan, dan yang memberi akses ke sumber daya informasi organisasi.
- Ikuti perkembangan tren di bidang ancaman baru dan metode perlindungan, tingkatkan tingkat literasi teknis Anda (termasuk pekerjaan layanan dan subsistem TI), hadiri konferensi dan berkomunikasi dengan rekan kerja.
Siap untuk membahas organisasi proses TH dalam komentar.Atau datanglah ke kami untuk bekerja! Sumber dan bahan untuk belajar