Must read

Threat Hunting — как это работает (Часть2)

Переходя в практическую плоскость, как пример рассмотрим реализацию процесса Threat Hunting на базе технологии CrowdStrike. Это ПО обеспечивает упреждающий подход к защите рабочих станций и серверов путем сбора данных обо всех важных событиях, касающихся процессов, субпроцеcсов и их сертификатов, сетевых соединений, учетных записей, операций с файлами, обращений в реестры, и сравнения полученной информации с данными репутационных баз и поведенческими шаблонами.

аким образом, аналитик информационной безопасности имеет возможность заранее прогнозировать процессы и фиксировать аномальное поведение, требующее дополнительного расследования или мгновенной реакции. Если на одной из рабочих станций обнаружится определенный шаблон, ответственное лицо будет мгновенно оповещено и сможет более детально проанализировать, что произошло, а также принять активные меры для дальнейшего блокирования того или иного процесса, если это будет необходимо.

Алгоритм упреждающего поиска аномальных признаков, которые могут возникать на рабочих станциях, состоит из выдвижения гипотез о том, как вредоносные действия могут проявить себя, и дальнейшей их проверки с помощью решения CrowdStrike на предмет того, не фиксировался ли описанный шаблон (гипотеза) на рабочих станциях и серверах. Вот несколько примеров гипотез, которые могут быть проверены в организации:

процесс с сомнительным сертификатом подключается к сети Интернет по временной директории %TMP%;

процесс, не относящийся к списку интернет‐браузеров (например, chrome.exe или mozilla.exe), выполняет операции с файлами истории браузеров или cookies;

процесс, являющийся дочерним от почтовых клиентов, таких как outlook.exe или thunderbird.exe, выполняет действия по добавлению постоянного маршрута в таблицу локальной маршрутизации

Таким образом, для реализации данного подхода вам понадобятся несколько составляющих. Во‐первых, аналитики, которые смогут выдвигать гипотезы, и инженеры, которые будут исследовать инфраструктуру на предмет наличия заданных параметров. Во‐вторых, описанный процесс Threat Hunting, в котором четко определены роли инженера и аналитика, а также обратная связь с командами ИТ и безопасности для ответной реакции и обогащения систем. И, наконец, программный или программно‐аппаратный продукт, который позволит работать с массивами данных, генерируемых вашей инфраструктурой. И чем больше информации вы сможете получить, тем качественней будут результаты.

We consult, sell and implement innovative solutions in the field of information security

We consult, sell and implement innovative solutions in the field of information security