Более половины компаний, утверждающих, что внедрили процесс проактивного поиска угроз, на самом деле занимаются реагированием на оповещения средств автоматизированной защиты. По сути, речь идёт об управлении событиями и уведомлениями (event and alert management), а не о Threat Hunting. Что это на самом деле такое, какие типовые ошибки реализации допускают команды ИБ, какие преимущества даёт внедрение правильных процессов поиска угроз? Знание ответов на эти вопросы, а также владение инструментами, которые помогают в проведении «охоты», существенно сказываются на эффективности Threat Hunting как подхода.
- Введение
- Threat Hunting: кратко о подходе
- Гипотеза как отправная точка
- Минимальный набор инструментов
- Выводы
Введение
Threat Hunting (TH) — проактивный циклический поиск следов вредоносных программ или взлома, которые не обнаруживаются стандартными средствами защиты. Аналитик не ждёт, пока сработают сенсоры систем обеспечения безопасности, а целенаправленно ищет следы компрометации. Для этого он выдвигает и проверяет предположения о том, как злоумышленники проникли в сеть. Такие проверки должны быть последовательными и регулярными, а сам процесс должен учитывать следующее:
- TH-специалист всегда исходит из того, что система уже взломана, и его цель — найти следы проникновения;
- для поиска нужны гипотеза (предположение о том, как именно система была скомпрометирована) и её дальнейшая проверка;
- поиск должен осуществляться итеративно: после проверки очередной гипотезы аналитик выдвигает новую и продолжает поиск.
Не секрет, что традиционные средства автоматизированной защиты пропускают сложные целевые атаки. Причин тому — несколько. Во-первых, нападения нередко распределены во времени, поэтому средства безопасности не могут провести корреляцию различных фаз атаки. Во-вторых, злоумышленники тщательно продумывают векторы проникновения и разрабатывают сценарии действий во внутренней инфраструктуре. Это позволяет им избегать демаскировки, в том числе выдавая свою активность за легитимную. В-третьих, злоумышленники постоянно совершенствуют знания, покупают или разрабатывают новые инструменты.
В этой статье будет дано общее описание процесса Threat Hunting, а также подходов, которые применяются при его проведении. Мы рассмотрим основные ошибки при организации поиска угроз, профиль навыков TH-специалиста, методы создания и проверки гипотез, а также инструментарий, который поможет в проведении «охоты».
Threat Hunting: кратко о подходе
Задача выявления целевых атак особо значима для структур, которые уже бывали взломаны ранее: исследования показывают, что более 60% организаций, чьи сети были ранее скомпрометированы, вновь подвергались атакам. В таких случаях необходимо принимать меры для раннего выявления фактов компрометации. Threat Hunting может помочь командам ИБ:
- сократить время обнаружения взлома,
- наладить процесс киберразведки (Threat Intelligence), если при выдвижении гипотезы поиска используются TI-индикаторы,
- актуализировать знания о защищаемой инфраструктуре.
Рисунок 1. Ключевые ошибки при организации процесса Threat Hunting
Конечно, при правильной организации процесса выделяют особую структурную единицу для проактивного поиска угроз; сотрудников такого подразделения называют аналитиками или специалистами по TH. Однако в российских компаниях подобное штатное расписание встречается редко, и функции TH-команды часто выполняет SOC. По данным SANS профиль навыков специалиста по TH соответствует диаграмме на рис. 2 (деления указывают уровень навыка, где 0 — абсолютное незнание области, а 100 — уровень высококлассного эксперта).
Рисунок 2. Профиль наиболее ценных навыков специалиста по TH
Специалист по TH также должен быть знаком с современными техниками, тактиками и процедурами (англ. TTP) проведения атак, используемыми нарушителями, уметь программировать и автоматизировать рутинные задачи, иметь интуицию и навык создания гипотез.
Гипотеза как отправная точка
Поскольку при проведении Threat Hunting всегда предполагается, что злоумышленник уже проник в инфраструктуру, специалисту по TH необходимо определить место для поиска следов взлома. Сделать это можно выдвинув гипотезу о том, как произошло проникновение и какое подтверждение этому можно найти в инфраструктуре. Сформулировав гипотезу, аналитик проверяет истинность своего предположения и в итоге подтверждает или опровергает его. Если гипотеза не подтвердилась, эксперт переходит к выработке и проверке нового предположения. Если же в результате проверки очередной гипотезы найдены следы взлома или факты присутствия вредоносных программ, то начинается расследование.
Рисунок 3. Схема Threat Hunting
Гипотеза может родиться из личного опыта аналитика, однако существуют и другие источники идей:
- TI-индикаторы. К примеру, простейшая гипотеза может быть основана на таких индикаторах, как использование злоумышленником новой модификации утилиты X, которая имеет MD5-хеш Y.
- Техники, тактики и процедуры атакующих. Информацию о современных TTP можно найти в общедоступной базе знаний MITRE ATT&CK, созданной на основе анализа реальных APT-атак. Пример гипотезы: злоумышленник взломал пользовательскую рабочую станцию и методом перебора ищет пароль для привилегированной учётной записи.
- Данные от автоматизированных средств мониторинга инфраструктуры. Это помогает выявить аномалии: например, с помощью систем наблюдения за активами (asset management) можно заметить добавление нового сетевого узла без ведома администраторов, а, скажем, резкое увеличение объёма трафика на узле может стать поводом для более детального его изучения.
- Информация, обнаруженная в ходе проверки предыдущих гипотез.
Минимальный набор инструментов
После того как аналитик сформулировал гипотезу, ему необходимо определить перечень источников, которые могут содержать информацию для проверки или опровержения предположения. Зачастую такие источники содержат огромное количество данных о происходящем в инфраструктуре, среди которых нужно найти релевантные, и процесс TH сводится к фильтрации и анализу информации. Рассмотрим, в каких источниках можно найти такие сведения.
Рисунок 4. Источники информации для TH
Наибольшее количество релевантной информации содержится в системных журналах и сетевом трафике. Для удобной работы с информацией из таких источников полезны продукты классов Security Information and Event Management (SIEM) и Network Traffic Analysis (NTA). Если используются внешние источники, например TI-фиды, то значительным «плюсом» будет возможность интеграции этих данных в процесс анализа. При правильно построенном процессе сбора журналов SIEM-система обеспечивает аналитика наглядной картиной событий, происходивших на пользовательских компьютерах и серверах. Однако при этом остаётся скрытой суть сетевых взаимодействий; эту область покрывает NTA-система. Стоит отметить, что аналитик может проводить Threat Hunting даже имея продукт только одного типа, однако использование двух систем в связке позволит увидеть картину атаки целиком. Также полезно использовать платформы для обмена TI-индикаторами (например, MISP).
Выводы
Последние аналитические отчёты показывают, что в среднем проникшие в инфраструктуру злоумышленники весьма долго остаются необнаруженными. Поэтому не стоит ждать сигналов от средств автоматизированной защиты: нужно действовать проактивно. Это совершенно не означает, что следует отказаться от средств обеспечения безопасности. Однако не стоит полагать, что установка и корректная настройка какой-то защитной системы — это финальная точка. Это — лишь первый необходимый шаг. Далее нужно следить за развитием и функционированием подконтрольного сетевого окружения, держать руку на пульсе, а именно:
- Изучать свою инфраструктуру. Нужно выбрать наиболее удобный подход к управлению сетевыми активами и в любой момент быть готовыми дать ответ на вопрос о том, какую функцию выполняет тот или иной узел и в каком он состоянии.
- Определить наиболее важные риски и периодически проверять гипотезы по ним. В крупных распределённых инфраструктурах очень важно выделить критически важные узлы.
- Следить за трендами в сфере ИБ. В частности, надо быть готовыми реагировать на свежие уязвимости и новые методы атак. Для этого следует периодически проверять свои средства защиты на способность отразить новую угрозу. Если же угроза не была выявлена, правильнее сделать из новой атаки гипотезу для TH и проверять её до тех пор, пока автоматизированные средства защиты не начнут её обнаруживать. И, конечно же, нужно знакомиться с исследованиями, которые проводят различные TI-команды (например, FireEye, Cisco, PT ESC).
- Автоматизировать рутинные задачи. У команды Threat Hunting должно оставаться больше времени на творческий поиск и апробацию нестандартных решений.