Must read

Threat Hunting — проактивная борьба с киберугрозами (Часть 1)

Большинство действий команд ИТ‐безопасности сводятся к реагированию на инциденты. Они направлены на внедрение средств контроля безопасности, обнаружение действий атакующих с помощью систем защиты периметра, антивирусов и систем IDS/ IPS — но лишь в той мере, на какую способны технологии конкретного производителя; ответные меры принимаются только после проявления угрозы в пределах организации. Это и есть реактивный подход, когда приходится иметь дело с последствиями реализации угрозы: выполнять план реагирования на инциденты, проводить расследование и смягчать последствия атаки. Данный подход имеет защитный характер, оставляя значительные лазейки для атакующих групп, которые могут незаметно действовать в пределах организации в течение недель, месяцев или даже лет. Этого времени достаточно, чтобы закрепиться, разыскать и похитить ценные данные или сорвать деловую операцию.

Чтобы этому помешать, важно также использовать проактивный подход. Яркий пример — Threat Hunting, «охота на угрозы».

Найти и обезвредить

Одной из задач Threat Hunting является уменьшение интервала времени между проникновением в систему и его обнаружением (dwell time). Своевременное выявление позволит ограничить потери несколькими тысячами долларов, которые уйдут на устранение последствий (remediation), вместо миллионов долларов после полной компрометации.

Сейчас большинство организаций еще не задумываются о внедрении процесса проактивного поиска угроз. Некоторые считают, что процесс поиска угроз — это когда берут уже известные индикаторы компрометации (IoC) из источников Threat Intelligence и адаптируют их к своей инфраструктуре. На самом деле этот процесс включает методы, основанные на гипотезах и знаниях о поведении атакующих, а также проверку их тактик, техник и инструментов в среде предприятия. Threat Hunting — это процесс активного поиска признаков вредоносной деятельности в корпоративной сети без предварительного знания о ней. Данный подход позволяет выявить угрозы даже без наличия известных индикаторов компрометации.

Если быстро найти признаки проникновения, можно удалить вредоносный код из систем и сетей еще до того, как злоумышленники достигнут своих целей. Выявляя злонамеренные действия атакующих на раннем этапе вторжения, организации также уменьшают уровень усилий, необходимых для восстановления, и его масштаб, тем самым существенно снижая последствия и ущерб от атаки.

Threat Hunting — это в первую очередь процесс, в ходе которого нужно понимать и знать, что нужно искать и где именно. Чтобы принимать правильные решения, члены команды Threat Hunting должны использовать не только свои знания и опыт, но также множество инструментов и баз данных, описывающих действия противника.

Жизненный цикл «хантинга»

Чтобы выстроить такой процесс, необходимо понимать жизненный цикл охоты на киберугрозы, который состоит из нескольких этапов.

Создание гипотезы

Поиск начинается с выдвижения гипотезы о том, какой тип вре‐ доносной деятельности может присутствовать в вашей среде. Для этого можно использовать базу MITRE ATT&CK, в которой содержатся как описания кампаний и действий различных группировок, так и отдельно взятые техники и тактики.

Расследование

После того, как гипотеза сформирована, ее необходимо проверить, используя различные инструменты и техники — в частности, анализ связанных данных и их визуализацию. Чем больше данных и знаний вы имеете о своей инфраструктуре, тем выше шансы на успех.

Обнаружение

Действия, которые остаются необъяснимыми, исследуются далее, чтобы определить происхождение возможной целевой атаки (APT), а также используемые злоумышленниками методы. При этом может потребоваться помощь экспертов по различным системам и привлечение владельцев этих систем.

Ответная реакция и обогащение

Как только атака устранена или предотвращена, необходимо провести модификацию и обогащение (enrichment) существующих средств защиты и конфигураций сети. Выполнять такие обновления особенно важно для того, чтобы минимизировать риск реализации подобной угрозы в следующий раз и максимально осложнить работу злоумышленников. Примерами могут послужить новые правила межсетевого экрана, систем IDS/IPS, улучшение процедуры реагирования на инциденты, обновление архитектуры безопасности и т.д.

Вот восемь советов по Threat Hunting:

1. Знайте вашу среду.
2. Думайте как атакующий.
3. Выделите для «хантинга» достаточно ресурсов.
4. Обеспечьте видимость происходящего на конечных точках.
5. Дополните эту видимость контекстом происходящего в сети.
6. Исследуйте и изучайте последние тенденции атак.
7. Создавайте контрольные списки (watchlists) для выявления совпадений по гипотезам.
8. Отслеживайте и анализируйте статистику по всем гипотезам и процессам «охоты».

--

--

--

We consult, sell and implement innovative solutions in the field of information security

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
CS Consulting

CS Consulting

We consult, sell and implement innovative solutions in the field of information security

More from Medium

The Hurdles of Threat Hunting

C2 Malware Detection with browing history

Cyberthreats listed as one of the biggest Global Risks for 2022 — here’s what can you do to help?