95%的信息安全威胁是已知的,您可以通过传统方法(如防病毒,防火墙,IDS和WAF)保护自己免受威胁。 其余5%的威胁是未知的,也是最危险的。 由于很难检测到它们,甚至保护自己免受它们的伤害,它们对公司构成了70%的风险。
“黑天鹅”的例子有WannaCry,NotPetya / ExPetr勒索软件流行病,加密矿工,Stuxnet网络武器(袭击了伊朗的核设施)以及许多(还有谁还记得Kido / Conficker?)。保护手段。 我们想谈谈如何使用威胁搜寻技术来应对这5%的威胁。
网络攻击的不断发展需要不断的侦查和抵抗,最终使我们想到了攻击者和防御者之间的军备竞赛无休止的想法。 经典保护系统不再能够提供可接受的安全级别,该级别的风险级别不会对公司的关键指标(经济,政治,声誉)产生影响,而无需针对特定基础架构进行最终确定,但通常它们会涵盖一些风险。 在实施和配置过程中,现代保护系统已成为追赶者,必须应对现代挑战。
来源对于信息安全专家来说,当今时代所面临挑战的答案之一可能是威胁搜寻技术。 威胁搜寻(Threat Hunting,以下简称TH)是几年前出现的。 该技术本身很有趣,但是还没有任何公认的标准和规则。 信息来源的异质性和与此主题有关的俄语信息来源很少,这也使问题复杂化。 在这方面,我们LANIT-Integration决定对此技术进行一些评论。
相关性
TH技术依赖于基础架构监视过程。
内部监视的主要场景有两种:警报和狩猎 。 警报(按MSSP服务的类型)是一种传统方法,用于搜索较早出现的攻击的特征和迹象并对它们做出反应。 传统的签名安全功能可以成功完成此方案。 狩猎(一种MDR类型的服务)是一种监视方法,可以回答以下问题:“签名和规则从何而来?” 这是通过分析隐藏的或以前未知的指标和攻击迹象来创建关联规则的过程。 威胁搜寻属于这种监视。
只有将两种监视方式结合起来,我们才能获得接近理想的保护,但始终存在一定程度的残留风险。
使用两种类型的监控进行保护这就是TH(以及整个狩猎!)将变得越来越重要的原因:
威胁,补救措施,风险。 来源95%的威胁已经众所周知 。 其中包括垃圾邮件,DDoS,病毒,rootkit和其他经典恶意软件之类的物种。 您可以使用相同的经典防御措施来保护自己免受这些威胁。
在执行任何项目期间,
80%的工作需要20%的时间 ,其余20%的工作需要80%的时间。 同样,在整个威胁形势中,新型威胁的5%将构成公司风险的70%。 在组织了信息安全管理流程的公司中,我们可以通过避免(原则上放弃无线网络),接受(引入必要的安全措施)或转移(例如,移交给集成商的肩膀)来以一种或另一种方式管理已知威胁的30%风险。风险。 要保护自己免受
零日漏洞 ,APT攻击,网络钓鱼,
通过供应链的攻击 ,网络间谍软件和国家运营,以及免受大量其他攻击的威胁,已经变得非常困难。 这些5%威胁的后果(
从buhtrap组造成的银行平均损失为1.43亿美元 )比垃圾邮件或防病毒软件可以拯救的病毒的后果要严重得多。
几乎每个人都必须应对5%的威胁。 最近,我们不得不安装一个开源解决方案,该解决方案使用PEAR(PHP扩展和应用程序存储库)存储库中的应用程序。 尝试通过pear install安装此应用程序失败,因为该
站点不可用(现在上面有一个存根),我不得不从GitHub安装它。 直到最近,很明显PEAR是
整个供应链攻击的受害者。
您还可以
使用CCleaner来回击该
攻击,CCleaner是NePetya勒索软件流行的一种,它通过用于税收报告
MEDoc的程序的更新模块来
实现 。 威胁变得越来越复杂,随之而来的逻辑问题是:“您如何仍能承受这5%的威胁?”
威胁搜寻定义
因此,威胁搜寻是一个主动,反复搜索和检测高级威胁的过程,而传统威胁无法通过传统的保护手段来检测和发现威胁。 高级威胁包括,例如APT攻击,对0天漏洞的攻击,在陆地上生活等。
也可以改写TH是假设检验过程。 这主要是一个具有自动化元素的手动过程,在该过程中,分析人员依靠他的知识和资格,筛选大量信息以寻找与最初定义的某种威胁存在的假设相对应的折衷迹象。 它的一个显着特征是信息源的多样性。
应该注意的是,威胁搜寻不是某种软件或硬件产品。 这些不是在任何解决方案中都能看到的警报。 这不是查找IOC(危害标识符)的过程。 没有信息安全分析师的参与,这不是某种被动的活动。 威胁搜寻首先是一个过程。
威胁搜寻组件
威胁搜寻的三个主要组成部分:数据,技术,人员。
数据(什么?) ,包括大数据。 各种流量,有关先前执行的APT的信息,分析,用户活动数据,网络数据,来自员工的信息,关于暗网的信息等等。
用于处理此数据的
技术(如何?)是处理该数据的所有可能方法,包括机器学习。
人员(谁?)是在分析各种攻击,发展直觉和发现攻击的能力方面具有丰富经验的人员。 通常,这些都是信息安全分析师,他们必须具有生成假设并为其找到证据的能力。 它们是该过程中的主要链接。
型号PARIS
亚当·贝特曼
( Adam Bateman)为理想的TH工艺
描述了PARIS模型。 这个名字暗示了法国的著名地标。 可以在两个方向上(上方和下方)考虑此模型。
在寻找威胁的过程中,向下移动模型,我们将处理大量恶意活动的证据。 每个证据都有一定程度的置信度-此特征反映了该证据的重要性。 有“铁”,即恶意活动的直接证据,通过它我们可以立即到达金字塔的顶部并创建已知感染的实际通知。 并且有间接证据,这些证据的总和也可以使我们到达金字塔的顶峰。 与往常一样,间接证据比直接证据要多得多,这意味着需要对它们进行分类和分析,应该进行更多的研究,并且建议将其自动化。
型号PARIS。 来源模型的上半部分(1和2)基于自动化技术和各种分析,而下半部分(3和4)则基于具有一定资格的控制过程的人员。 您可以考虑从上到下移动的模型,在蓝色的上部,我们以高度的信任和信任收到来自传统保护手段(防病毒,EDR,防火墙,签名)的通知,下面是指标(IOC,URL,MD5等),信心不足,需要进一步研究。 最低和最严格的等级(4)是假设的产生,是传统药物工作新情景的创造。 该级别不限于所指出的假设来源。 级别越低,对分析师资格的要求越高。
分析人员不仅要检验一组有限的预定义假设,而且还要不断努力产生新的假设和检验它们的选择,这一点非常重要。
使用期限模型
在理想世界中,TH是一个持续的过程。 但是,由于没有理想的世界,我们将在所用人员,过程和技术的背景下分析
成熟度模型和方法。 考虑理想球形TH的模型。 使用该技术有5个级别。 以单个分析师团队的演变为例来考虑它们。
| 成熟度 | 人 | 流程 | 技术领域 |
| 0级 | SOC分析师 | 24/7 | 传统乐器: |
| 传统的 | 警报集 | 被动监控 | IDS,AV,沙箱, |
| 没有TH | 处理警报 | | 签名分析工具,威胁情报数据。 |
| 1级 | SOC分析师 | 一次性TH | EDR |
| 实验性 | 法医基础知识 | 国际奥委会搜索 | 来自网络设备的部分数据覆盖 |
| TH实验 | 熟悉网络和应用 | | 部分申请 |
| 2级 | 临时职业 | 冲刺 | EDR |
| 定期的 | 司法鉴定的一般知识 | 每月星期 | 完整申请 |
| 临时TH | 精通网络和应用知识 | 常规 | EDR数据使用完全自动化 |
| | | 部分使用高级EDR功能 |
| 3级 | 专用TH团队 | 24/7 | 检验假设的部分能力TH |
| 积极主动 | 对取证和恶意软件有很好的了解 | 主动TH | 充分利用高级EDR功能 |
| 特殊情况TH | 对攻击者的专业知识 | 特殊情况TH | 全面覆盖网络设备中的数据 |
| | | 自定义配置 |
| 4级 | 专用TH团队 | 24/7 | 检验TH假设的全部能力 |
| 领先 | 对取证和恶意软件有很好的了解 | 主动TH | 3级,另外: |
| 使用TH | 对攻击者的专业知识 | 测试,自动化和验证TH假设 | 数据源紧密集成; |
| 研究能力 | | 自定义开发和自定义API使用。 |
按人员,流程和技术划分的TH成熟度0级:传统,不使用TH。 常规分析师使用被动工具通过标准工具和技术(即IDS,AV,沙箱,签名分析工具)以一组标准警报来工作。
级别1:使用TH进行实验。 具有法医基础知识,网络和应用程序方面的丰富知识的同一位分析师可以通过搜索折衷指标来实施一次性威胁搜寻。 将部分覆盖来自网络设备的数据的EDR添加到工具中。 工具已部分应用。
级别2:间歇性,暂时性TH。 那些已经具备了法医,网络和应用程序方面知识的分析师同样有义务定期(例如每月)进行(冲刺)威胁狩猎。 这些工具还补充了对网络设备中数据的全面研究,EDR中数据分析的自动化以及对高级EDR功能的部分使用。
3级: TH的预防性和频繁病例。 我们的分析师组成了一个专门的团队,开始拥有对取证和恶意软件的出色知识,并且对攻击方的方法和策略有所了解。 该过程已在24/7进行。 该团队能够充分利用高级EDR功能并全面覆盖来自网络设备的数据,从而部分验证TH假设。 而且,分析人员能够配置工具以满足他们的需求。
4级:高端,使用TH。 同一团队获得了研究能力,生成和自动化测试假设TH的能力。 现在,已将数据源的紧密集成,针对需求的软件开发和API的非标准使用添加到了工具中。
威胁搜寻技术
基本威胁搜寻技术按所用
技术的成熟程度排序,TH
技术包括:基本搜索,统计分析,可视化技术,简单聚合,机器学习和贝叶斯方法。
最简单的方法是基本搜索,该搜索用于使用特定查询来缩小研究范围。 例如,统计分析用于以统计模型的形式构建典型的用户或网络活动。 可视化技术用于以图形和图表的形式可视化和简化数据分析,这使得捕获样本中的图案变得更加容易。 关键字段的简单聚合技术用于优化搜索和分析。 通过TH流程获得的组织成熟度越高,则机器学习算法的使用就越重要。 它们也被广泛使用,包括过滤垃圾邮件,检测恶意流量和检测欺诈活动。 一种更高级的机器学习算法是贝叶斯方法,该方法允许分类,减少样本量和主题建模。
钻石模型和TH策略
Sergio Caltagiron,Andrew Pendegast和Christopher Betz在他们的“
入侵分析的钻石模型 ”中展示了任何恶意活动的主要关键组成部分以及它们之间的基本联系。
恶意活动的钻石模型根据此模型,有4种威胁搜寻策略依赖于相关的关键组件。
1.以受害者为中心的战略。 我们假设受害者有反对者,他们将通过电子邮件提供“机会”。 我们正在寻找邮件中的敌人数据。 搜索链接,附件等。 我们正在寻找在一定时期(一个月,两个星期)内对该假设的确认,如果找不到,则该假设不起作用。
2.面向基础架构的策略。 有几种使用此策略的方法。 根据访问和可见性,某些方法比其他方法更容易。 例如,我们监视以托管恶意域而闻名的域名服务器。 或者,我们正在进行跟踪对手使用的已知模式的所有新域名注册的过程。
3.以机会为导向的策略。 除了大多数网络倡导者使用的面向受害者的策略外,还有一种面向机会的策略。 它是第二受欢迎的工具,专注于检测对手的功能,即“恶意软件”,以及对手使用诸如psexec,powershell,certutil等合法工具的能力。
4.面向对手的策略。 以敌人为中心的方法着眼于敌人。 这包括使用公开来源的开放信息(OSINT),收集有关敌人,其技巧和方法(TTP)的数据,对过去事件的分析,威胁情报数据等。
TH中的信息来源和假设
威胁搜寻的某些信息来源可能有很多信息来源。 理想的分析师应该能够从周围的一切中提取信息。 几乎所有基础架构中的典型来源都是来自安全功能的数据:DLP,SIEM,IDS / IPS,WAF / FW,EDR。 同样,典型的信息指标将是各种威胁,威胁情报服务,CERT和OSINT数据指标。 此外,您可以使用来自暗网的信息(例如,突然有一条命令要入侵组织负责人的邮箱,或者网络工程师职位的候选人已经出现在他的活动中),从HR收到的信息(有关他先前工作的候选人的反馈),来自安全服务的信息(例如交易对手的验证结果)。
但是在使用所有可用来源之前,您必须至少有一个假设。
来源为了检验假设,必须首先提出它们。 并且为了提出许多定性假设,有必要应用一种系统的方法。 假设生成过程在
本文中有更详细的描述;将这种方案作为假设过程的基础非常方便。
假设的主要来源将是
ATT和CK矩阵 (专业策略,技术和常识)。 实际上,它是用于评估攻击者在攻击的最后步骤中实现其活动的行为的知识库和模型,通常使用“杀伤链”的概念来描述。 也就是说,在入侵者渗透企业内部网络或移动设备之后的阶段。 最初,知识库包括对攻击中使用的121种策略和技术的描述,每种策略和技术均以Wiki格式详细描述。 各种威胁情报分析非常适合用作生成假设的来源。
特别值得注意的是基础架构分析和渗透测试的结果-这些是铁定的假设可以提供给我们的最有价值的数据,因为它们依赖于具有特定缺陷的特定基础架构。假设检验程序
Sergey Soldatov给出了一个很好的图表,其中详细描述了该过程;它说明了在单个系统中测试TH假设的过程。我将简要说明主要阶段。来源阶段1:TI Farm在此阶段,您需要选择对象(通过将它们与所有威胁数据一起分析),并为其分配特征标签。这是文件,URL,MD5,进程,实用程序,事件。通过威胁情报系统传递它们需要进行标记。也就是说,该网站在某年或某年被发现在CNC上,该MD5与该种恶意软件相关联,该MD5是从分发恶意软件的网站下载的。阶段2:案例在第二阶段,我们研究这些对象之间的交互并确定所有这些对象之间的关系。我们得到的标签系统会做坏事。阶段3:分析师在第三阶段,将案件转移给经验丰富的分析师,他在分析方面拥有丰富的经验,他做出了判决。它解析该代码执行的内容,位置,方式,原因和原因,以字节为单位。该机体是恶意软件,该计算机已被感染。公开对象之间的连接,检查通过沙箱的运行结果。分析人员的工作结果将继续传递。 Digital Forensics会检查图像,Malware Analysis会检查找到的“主体”,事件响应团队可以前往该站点并浏览那里已有的内容。这项工作的结果将是确定的假设,确定的攻击以及应对之道。来源总结
威胁搜寻是一种相当年轻的技术,能够有效抵抗定制的,新的和非标准的威胁,鉴于此类威胁的数量不断增加以及企业基础架构的复杂性,它具有广阔的前景。它需要三个组件-数据,工具和分析。威胁搜寻的好处不仅限于主动实施威胁。不要忘记,在搜索过程中,我们会通过安全分析人员的视线深入到我们的基础架构及其弱点中,并可以进一步巩固这些地位。我们认为,需要采取第一步来在您的组织中启动TH流程。- . (NetFlow) (firewall, IDS, IPS, DLP) . .
- MITRE ATT&CK .
- , , .
- Threat Intelligence (, MISP, Yeti) .
- (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
- 自动化常规流程。日志分析,事件管理,人员通知是自动化的巨大领域。
- 了解如何与工程师,开发人员和技术支持进行有效的互动以协作处理事件。
- 记录整个过程,关键点,取得的成果,以便日后返回给他们或与同事共享这些数据;
- 记住社交方面:注意员工的情况,雇用的员工以及允许访问组织信息资源的人员。
- 紧跟新威胁和保护方法领域的趋势,提高您的技术素养水平(包括IT服务和子系统的工作),参加会议并与同事交流。
准备在评论中讨论TH流程的组织。