Caça a ameaças ou como se defender contra ameaças de 5%

95% das ameaças à segurança da informação são conhecidas e você pode se proteger delas por meios tradicionais, como antivírus, firewalls, IDS, WAF. Os 5% restantes das ameaças são desconhecidos e os mais perigosos. Eles representam 70% do risco para a empresa devido ao fato de ser muito difícil detectá-los e, mais ainda, proteger-se deles. Exemplos de "cisnes negros" são as epidemias de ransomware WannaCry, NotPetya / ExPetr, cryptominers, as armas cibernéticas Stuxnet (que atingem as instalações nucleares do Irã) e muitos (quem mais se lembra do Kido / Conficker?) Outros ataques que não são muito bons em se defender do clássico meios de proteção. Queremos falar sobre como combater esses 5% de ameaças usando a tecnologia Threat Hunting.


O desenvolvimento contínuo de ataques cibernéticos requer constante detecção e reação, o que nos leva à idéia de uma corrida armamentista interminável entre atacantes e defensores. Os sistemas de proteção clássicos não são mais capazes de fornecer um nível aceitável de segurança, no qual o nível de risco não afeta os principais indicadores da empresa (econômico, político, reputação) sem finalizá-los para uma infraestrutura específica, mas em geral eles cobrem alguns dos riscos. Já no processo de implementação e configuração, os modernos sistemas de proteção se atualizam e devem responder aos desafios dos tempos modernos.

Fonte

Uma das respostas para os desafios de nosso tempo para um especialista em segurança da informação pode ser a tecnologia Threat Hunting. O termo Caça às Ameaças (doravante denominado TH) apareceu vários anos atrás. A tecnologia em si é bastante interessante, mas ainda não possui padrões e regras geralmente aceitos. A heterogeneidade das fontes de informação e o pequeno número de fontes de informações em língua russa sobre este tópico também complica o assunto. Nesse sentido, nós da LANIT-Integration decidimos escrever uma revisão dessa tecnologia.

Relevância

A tecnologia TH depende de processos de monitoramento de infraestrutura. Existem dois cenários principais de monitoramento interno - Alerta e Caça . O alerta (por tipo de serviço MSSP) é um método tradicional, buscando assinaturas e sinais de ataques desenvolvidos anteriormente e reagindo a eles. Os recursos tradicionais de segurança de assinatura concluem com êxito esse cenário. A caça (um serviço do tipo MDR) é um método de monitoramento que responde à pergunta "De onde vêm as assinaturas e as regras?" Esse é o processo de criação de regras de correlação, analisando indicadores e sinais ocultos ou desconhecidos anteriormente e sinais de um ataque. É a esse tipo de monitoramento que a Caça às Ameaças pertence.


Somente combinando os dois tipos de monitoramento, obtemos uma proteção próxima do ideal, mas sempre há algum nível de risco residual.

Proteção usando dois tipos de monitoramento

E aqui está o porquê TH (e toda a caçada!) Será cada vez mais relevante:

Ameaças, remédios, riscos. Fonte

95% de todas as ameaças já estão bem compreendidas . Isso inclui espécies como spam, DDoS, vírus, rootkits e outros malwares clássicos. Você pode se proteger dessas ameaças com as mesmas defesas clássicas.

Durante a execução de qualquer projeto, 80% do trabalho leva 20% do tempo e os 20% restantes levam 80% do tempo. Da mesma forma, em todo o cenário de ameaças, 5% do novo tipo de ameaça constituirá 70% do risco para a empresa. Em uma empresa onde os processos de gerenciamento de segurança da informação são organizados, podemos gerenciar 30% do risco de ameaças conhecidas de uma maneira ou de outra, evitando (abandonando as redes sem fio em princípio), aceitando (introduzindo as medidas de segurança necessárias) ou mudando (por exemplo, os ombros de um integrador) isso risco. Proteger-se de vulnerabilidades de dia zero , ataques de APT, phishing, ataques através da cadeia de suprimentos , spywares cibernéticos e operações nacionais, bem como de um grande número de outros ataques, já é muito mais difícil. As consequências dessas ameaças de 5% serão muito mais graves (a quantidade média de perdas do banco pelo grupo buhtrap é de 143 milhões ) do que as consequências de spam ou vírus dos quais o software antivírus é resgatado.

Quase todo mundo tem que lidar com 5% das ameaças. Recentemente, tivemos que instalar uma solução de código aberto que usa um aplicativo do repositório PEAR (PHP Extension and Application Repository). Falha na tentativa de instalar este aplicativo através da instalação pear, porque o site não estava disponível (agora existe um esboço), tive que instalá-lo no GitHub. E recentemente, ficou claro que a PEAR foi vítima de um ataque na cadeia de suprimentos .



Você também pode se lembrar do ataque usando o CCleaner , uma epidemia do ransomware NePetya por meio do módulo de atualização do programa de relatórios fiscais MEDoc . As ameaças estão se tornando mais sofisticadas e surge a pergunta lógica: "Como você ainda suporta esses 5% de ameaças?"

Definição de caça às ameaças

Portanto, o Threat Hunting é um processo de pesquisa e detecção proativa e iterativa de ameaças avançadas que não podem ser detectadas pelos meios tradicionais de proteção. As ameaças avançadas incluem, por exemplo, ataques como APT, ataques a vulnerabilidades de um dia, Viver fora da terra e assim por diante.

Também pode ser reformulado que o TH é um processo de teste de hipóteses. Trata-se principalmente de um processo manual com elementos de automação, no qual o analista, confiando em seus conhecimentos e qualificações, peneira grandes quantidades de informações em busca de sinais de comprometimento que correspondam à hipótese inicialmente definida sobre a presença de uma determinada ameaça. Uma característica distintiva é a variedade de fontes de informação.

Note-se que a ameaça de caça não é algum tipo de software ou produto de hardware. Esses não são alertas que podem ser vistos em qualquer solução. Este não é um processo para encontrar o COI (identificadores de comprometimento). E esse não é um tipo de atividade passiva que fica sem a participação de analistas de segurança da informação. A caça às ameaças é, antes de tudo, um processo.

Componentes de Caça a Ameaças

Três componentes principais da caça às ameaças: dados, tecnologia, pessoas.

Dados (o que?) , Incluindo Big Data. Todos os tipos de fluxos de tráfego, informações sobre APTs conduzidos anteriormente, análises, dados de atividades do usuário, dados de rede, informações de funcionários, informações na darknet e muito mais.

Tecnologias (como?) Para o processamento desses dados, são todas as formas possíveis de processamento, incluindo o Machine Learning.

Pessoas (quem?) São aquelas que possuem uma vasta experiência na análise de uma variedade de ataques, desenvolveram intuição e a capacidade de detectar um ataque. Geralmente, são analistas de segurança da informação que precisam ter a capacidade de gerar hipóteses e encontrar evidências para elas. Eles são o principal elo do processo.

Model PARIS

Adam Bateman descreve o modelo PARIS para o processo TH ideal. O nome como alude ao famoso marco da França. Este modelo pode ser considerado em duas direções - acima e abaixo.

No processo de busca de ameaças, passando pelo modelo, lidaremos com muitas evidências de atividades maliciosas. Cada evidência tem uma medida de confiança - uma característica que reflete o peso dessa evidência. Há "ferro", evidência direta de atividade maliciosa, pela qual podemos chegar imediatamente ao topo da pirâmide e criar uma notificação real de uma infecção conhecida. E há evidências indiretas, cuja soma também pode nos levar ao topo da pirâmide. Como sempre, há muito mais evidências indiretas do que evidências diretas, o que significa que elas precisam ser classificadas e analisadas, pesquisas adicionais devem ser realizadas e é aconselhável automatizar isso.

Modelo PARIS. Fonte

A parte superior do modelo (1 e 2) é baseada em tecnologias de automação e análises diversas, e a parte inferior (3 e 4) é baseada em pessoas com certas qualificações que controlam o processo. Você pode considerar o modelo, movendo-se de cima para baixo, onde na parte superior do azul temos notificações de meios tradicionais de proteção (antivírus, EDR, firewall, assinaturas) com alto grau de confiança e abaixo dos indicadores (IOC, URL, MD5 e outros), que têm menos confiança e requerem mais estudos. E o nível mais baixo e mais espesso (4) é a geração de hipóteses, a criação de novos cenários do trabalho dos remédios tradicionais. Este nível não se limita às fontes de hipóteses indicadas. Quanto mais baixo o nível, mais requisitos são colocados nas qualificações do analista.

É muito importante que os analistas não testem apenas um conjunto finito de hipóteses predefinidas, mas trabalhem constantemente para gerar novas hipóteses e opções para testá-las.

TH usa modelo de maturidade

Em um mundo ideal, o TH é um processo contínuo. Mas, como não existe um mundo ideal, analisaremos o modelo e os métodos de maturidade no contexto das pessoas, processos e tecnologias utilizadas. Considere um modelo de TH esférico ideal. Existem 5 níveis de uso dessa tecnologia. Considere-os no exemplo da evolução de uma única equipe de analistas.

Níveis de maturidade	Pessoas	Os processos	Tecnologia
Nível 0	Analistas de SOC	24/7	Instrumentos tradicionais:
Tradicional	Conjunto de alertas	Monitoramento passivo	IDS, AV, Sandbox,
Sem TH	Trabalhar com alertas		ferramentas de análise de assinaturas, dados de Inteligência contra Ameaças.
Nível 1	Analistas de SOC	TH único	EDR
Experimental	Conhecimento básico de forense	Pesquisa do COI	Cobertura parcial de dados de dispositivos de rede
Experiências com TH	Bons conhecimentos de redes e aplicativos		Aplicação parcial
Nível 2	Ocupação temporária	Sprints	EDR
Periódico	O conhecimento médio de forense	Semana por mês	Aplicação completa
TH temporário	Excelente conhecimento de redes e aplicativos	Th regular	Automação completa do uso de dados EDR
			Uso parcial de recursos avançados de EDR
Nível 3	Equipe TH dedicada	24/7	Capacidade parcial de testar hipóteses TH
Proativo	Excelente conhecimento de forense e malware	TH proativo	Uso completo de recursos avançados de EDR
Casos especiais TH	Excelente conhecimento do atacante	Casos especiais TH	Cobertura total de dados de dispositivos de rede
			Configuração personalizada
Nível 4	Equipe TH dedicada	24/7	Capacidade total para testar hipóteses de TH
Leading	Excelente conhecimento de forense e malware	TH proativo	Nível 3, mais:
Usando TH	Excelente conhecimento do atacante	Testando, automatizando e verificando hipóteses de TH	forte integração de fontes de dados;
	Capacidade de pesquisa		desenvolvimento personalizado e uso personalizado da API.

Níveis de maturidade TH por pessoas, processos e tecnologia

Nível 0: tradicional, sem usar TH. Os analistas convencionais trabalham com um conjunto padrão de alertas no modo de monitoramento passivo usando ferramentas e tecnologias padrão: IDS, AV, caixas de areia, ferramentas de análise de assinaturas.

Nível 1: experimental usando TH. Os mesmos analistas com conhecimento básico de forense e bom conhecimento de redes e aplicativos podem implementar a Caça única a ameaças, procurando por indicadores de comprometimento. EDRs com cobertura parcial de dados de dispositivos de rede são adicionados às ferramentas. As ferramentas são parcialmente aplicadas.

Nível 2: TH intermitente e temporário. Os mesmos analistas que já divulgaram seus conhecimentos sobre forense, redes e parte de aplicativos são responsáveis ​​pela obrigação de participar regularmente da caça de ameaças (sprint), digamos, uma semana por mês. As ferramentas são complementadas com um estudo completo dos dados dos dispositivos de rede, automação da análise de dados do EDR e uso parcial dos recursos avançados do EDR.

Nível 3: casos preventivos e frequentes de TH. Nossos analistas se organizaram em uma equipe dedicada, passaram a ter um excelente conhecimento de forense e malware, além de conhecimento dos métodos e táticas do lado atacante. O processo já está em andamento 24/7. A equipe é capaz de testar parcialmente as hipóteses de TH, fazendo pleno uso dos recursos avançados de EDR, com cobertura total de dados dos dispositivos de rede. Além disso, os analistas são capazes de configurar ferramentas para atender às suas necessidades.

Nível 4: high-end, usando TH. A mesma equipe adquiriu a capacidade de pesquisar, a capacidade de gerar e automatizar o processo de testar hipóteses de TH. Agora, a forte integração de fontes de dados, o desenvolvimento de software para necessidades e o uso não padrão de APIs foram adicionados às ferramentas.

Técnicas de Caça a Ameaças

Técnicas básicas de caça a ameaças

As técnicas de TH em ordem de maturidade da tecnologia utilizada incluem: pesquisa básica, análise estatística, técnicas de visualização, agregações simples, aprendizado de máquina e métodos bayesianos.

O método mais simples é uma pesquisa básica, usada para restringir o escopo da pesquisa usando consultas específicas. A análise estatística é usada, por exemplo, para criar uma atividade típica de usuário ou rede na forma de um modelo estatístico. Técnicas de visualização são usadas para visualizar e simplificar a análise de dados na forma de gráficos e tabelas, o que facilita a captura de padrões na amostra. A técnica de agregação simples para campos-chave é usada para otimizar a pesquisa e a análise. Quanto mais alto o nível de maturidade em uma organização é alcançado pelo processo TH, mais relevante é o uso de algoritmos de aprendizado de máquina. Eles também são amplamente utilizados, inclusive na filtragem de spam, na detecção de tráfego malicioso e na detecção de atividades fraudulentas. Um tipo mais avançado de algoritmos de aprendizado de máquina são os métodos bayesianos que permitem classificação, redução no tamanho da amostra e modelagem temática.

Modelo de diamante e estratégia de TH

Sergio Caltagiron, Andrew Pendegast e Christopher Betz, em seu trabalho " O Modelo Diamante de Análise de Intrusão ", mostraram os principais componentes principais de qualquer atividade maliciosa e a conexão básica entre eles.

Modelo de diamante para atividade maliciosa

De acordo com este modelo, existem 4 estratégias de caça a ameaças que se baseiam em componentes-chave relevantes.

1. Uma estratégia orientada para as vítimas. Supomos que a vítima tenha oponentes e eles oferecerão “oportunidades” por e-mail. Estamos procurando dados inimigos pelo correio. Pesquise links, anexos etc. Estamos procurando confirmação dessa hipótese por um certo período (mês, duas semanas), se não for encontrada, a hipótese não será executada.

2. Estratégia orientada a infraestrutura. Existem várias maneiras de usar essa estratégia. Dependendo do acesso e visibilidade, alguns são mais fáceis do que outros. Por exemplo, monitoramos servidores de nome de domínio conhecidos por hospedar domínios maliciosos. Ou estamos conduzindo um processo de rastreamento de todos os novos registros de nomes de domínio para um padrão conhecido usado pelo adversário.

3. Estratégia orientada a oportunidades. Além da estratégia orientada para as vítimas usada pela maioria dos defensores da rede, existe uma estratégia orientada para oportunidades. É o segundo mais popular e se concentra na detecção de oportunidades do adversário, a saber, “malware” e a capacidade do adversário de usar ferramentas legítimas como psexec, powershell, certutil e outras.

4. Estratégia orientada ao oponente. A abordagem orientada para o inimigo se concentra no inimigo. Isso inclui o uso de informações abertas de fontes públicas (OSINT), coleta de dados sobre o inimigo, suas técnicas e métodos (TTP), análise de incidentes passados, dados de inteligência de ameaças etc.

Fontes de informação e hipóteses em TH

Algumas fontes de informação para a caça de ameaças

Pode haver muitas fontes de informação. O analista ideal deve ser capaz de extrair informações de tudo o que está ao redor. As fontes típicas em praticamente qualquer infraestrutura serão os dados dos recursos de segurança: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Além disso, indicadores típicos de informações serão todos os tipos de indicadores de comprometimento, serviços de Inteligência contra Ameaças, dados CERT e OSINT. Além disso, você pode usar informações da darknet (por exemplo, de repente, há uma ordem para invadir a caixa de correio do chefe da organização ou o candidato ao cargo de engenheiro de rede apareceu em sua atividade), informações recebidas do RH (feedback sobre o candidato de seu trabalho anterior), informações do serviço de segurança ( por exemplo, resultados de verificação de contraparte).

Mas antes de usar todas as fontes disponíveis, você deve ter pelo menos uma hipótese.

Fonte

Para testar hipóteses, elas devem primeiro ser apresentadas. E, para apresentar muitas hipóteses qualitativas, é necessário aplicar uma abordagem sistemática. O processo de geração de hipóteses é descrito com mais detalhes no artigo ; é muito conveniente tomar esse esquema como base para o processo de hipóteses.

A principal fonte de hipóteses será a matriz ATT & CK (táticas adversas, técnicas e conhecimentos comuns). De fato, é uma base de conhecimento e um modelo para avaliar o comportamento dos atacantes que realizam suas atividades nas últimas etapas de um ataque, geralmente descrito usando o conceito de Cadeia de Matança. Ou seja, nos estágios após o invasor penetrar na rede interna da empresa ou em um dispositivo móvel. Inicialmente, a base de conhecimento incluía uma descrição de 121 táticas e técnicas usadas no ataque, cada uma das quais é descrita em detalhes no formato Wiki. Uma variedade de análises da Inteligência contra ameaças é bem adequada como fonte para gerar hipóteses. Destacam-se os resultados das análises de infra-estrutura e testes de penetração - esses são os dados mais valiosos que as hipóteses de ferro podem nos fornecer porque dependem de uma infraestrutura específica com suas deficiências específicas.

Processo de Teste de Hipóteses

Sergey Soldatov deu um bom diagrama com uma descrição detalhada do processo, que ilustra o processo de testar as hipóteses de TH em um único sistema. Vou indicar as principais etapas com uma breve descrição.

Fonte

Etapa 1: Fazenda de TI

Nesse estágio, é necessário distinguir objetos (analisando-os juntamente com todos os dados sobre ameaças) e atribuindo rótulos de suas características a eles. Este é um arquivo, URL, MD5, processo, utilitário, evento. É necessário etiquetar os sistemas de Threat Intelligence. Ou seja, este site foi visto no CNC em tal e tal ano, este MD5 foi associado a esse e a outro malware, esse MD5 foi baixado do site que distribuiu os malvars.

Etapa 2: Casos

No segundo estágio, analisamos a interação entre esses objetos e identificamos os relacionamentos entre todos esses objetos. Temos sistemas rotulados que fazem algo ruim.

Estágio 3: Analista

No terceiro estágio, o caso é transferido para um analista experiente, com vasta experiência em análise, e ele faz um veredicto. Ele analisa em bytes o que, onde, como, por que e por que esse código faz. Este corpo era um malware, este computador estava infectado. Divulga conexões entre objetos, verifica os resultados de uma corrida pela sandbox.

Os resultados do trabalho do analista são repassados. A Digital Forensics examina as imagens, a Análise de malware examina os “corpos” encontrados e a equipe de resposta a incidentes pode ir ao site e explorar algo que já existe. O resultado do trabalho será uma hipótese confirmada, um ataque identificado e maneiras de combatê-lo.

Fonte

Sumário

O Threat Hunting é uma tecnologia relativamente jovem capaz de resistir efetivamente a ameaças personalizadas, novas e não padronizadas, com grandes perspectivas, dado o crescente número dessas ameaças e a complexidade da infraestrutura corporativa. Ele precisa de três componentes - dados, ferramentas e análises. Os benefícios da caça às ameaças não se limitam à implementação proativa de ameaças. Não esqueça que, no processo de busca, mergulhamos em nossa infraestrutura e suas fraquezas através dos olhos de um analista de segurança e podemos fortalecer ainda mais esses locais.

Os primeiros passos que, em nossa opinião, precisam ser dados para iniciar o processo de TH em sua organização.

1. . (NetFlow) (firewall, IDS, IPS, DLP) . .
2. MITRE ATT&CK .
3. , , .
4. Threat Intelligence (, MISP, Yeti) .
5. (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
6. Automatize processos de rotina. Análise de logs, gerenciamento de incidentes e informações da equipe são um campo enorme para automação.
7. Aprenda a interagir efetivamente com engenheiros, desenvolvedores, suporte técnico para colaborar em incidentes.
8. Documente todo o processo, pontos-chave, resultados alcançados, para retornar posteriormente ou compartilhar esses dados com os colegas;
9. Lembre-se do lado social: esteja ciente do que está acontecendo com seus funcionários, quem você contrata e que dá acesso aos recursos de informação da organização.
10. Mantenha-se a par das tendências no campo de novas ameaças e métodos de proteção, aumente seu nível de conhecimento técnico (incluindo o trabalho de serviços e subsistemas de TI), participe de conferências e se comunique com colegas.

Pronto para discutir a organização do processo de TH nos comentários.