Must read

Threat Hunting — проактивная борьба с киберугрозами (Часть 1)

В нынешнее время бессмысленно гадать, столкнетесь ли вы с кибератакой. Вопрос лишь в том, когда это случится и будете ли вы готовы.

3 min readMar 4, 2021

Большинство действий команд ИТ‐безопасности сводятся к реагированию на инциденты. Они направлены на внедрение средств контроля безопасности, обнаружение действий атакующих с помощью систем защиты периметра, антивирусов и систем IDS/ IPS — но лишь в той мере, на какую способны технологии конкретного производителя; ответные меры принимаются только после проявления угрозы в пределах организации. Это и есть реактивный подход, когда приходится иметь дело с последствиями реализации угрозы: выполнять план реагирования на инциденты, проводить расследование и смягчать последствия атаки. Данный подход имеет защитный характер, оставляя значительные лазейки для атакующих групп, которые могут незаметно действовать в пределах организации в течение недель, месяцев или даже лет. Этого времени достаточно, чтобы закрепиться, разыскать и похитить ценные данные или сорвать деловую операцию.

Чтобы этому помешать, важно также использовать проактивный подход. Яркий пример — Threat Hunting, «охота на угрозы».

Найти и обезвредить

Одной из задач Threat Hunting является уменьшение интервала времени между проникновением в систему и его обнаружением (dwell time). Своевременное выявление позволит ограничить потери несколькими тысячами долларов, которые уйдут на устранение последствий (remediation), вместо миллионов долларов после полной компрометации.

Сейчас большинство организаций еще не задумываются о внедрении процесса проактивного поиска угроз. Некоторые считают, что процесс поиска угроз — это когда берут уже известные индикаторы компрометации (IoC) из источников Threat Intelligence и адаптируют их к своей инфраструктуре. На самом деле этот процесс включает методы, основанные на гипотезах и знаниях о поведении атакующих, а также проверку их тактик, техник и инструментов в среде предприятия. Threat Hunting — это процесс активного поиска признаков вредоносной деятельности в корпоративной сети без предварительного знания о ней. Данный подход позволяет выявить угрозы даже без наличия известных индикаторов компрометации.

Если быстро найти признаки проникновения, можно удалить вредоносный код из систем и сетей еще до того, как злоумышленники достигнут своих целей. Выявляя злонамеренные действия атакующих на раннем этапе вторжения, организации также уменьшают уровень усилий, необходимых для восстановления, и его масштаб, тем самым существенно снижая последствия и ущерб от атаки.

Threat Hunting — это в первую очередь процесс, в ходе которого нужно понимать и знать, что нужно искать и где именно. Чтобы принимать правильные решения, члены команды Threat Hunting должны использовать не только свои знания и опыт, но также множество инструментов и баз данных, описывающих действия противника.

Жизненный цикл «хантинга»

Чтобы выстроить такой процесс, необходимо понимать жизненный цикл охоты на киберугрозы, который состоит из нескольких этапов.

Создание гипотезы

Поиск начинается с выдвижения гипотезы о том, какой тип вре‐ доносной деятельности может присутствовать в вашей среде. Для этого можно использовать базу MITRE ATT&CK, в которой содержатся как описания кампаний и действий различных группировок, так и отдельно взятые техники и тактики.

Расследование

После того, как гипотеза сформирована, ее необходимо проверить, используя различные инструменты и техники — в частности, анализ связанных данных и их визуализацию. Чем больше данных и знаний вы имеете о своей инфраструктуре, тем выше шансы на успех.

Обнаружение

Действия, которые остаются необъяснимыми, исследуются далее, чтобы определить происхождение возможной целевой атаки (APT), а также используемые злоумышленниками методы. При этом может потребоваться помощь экспертов по различным системам и привлечение владельцев этих систем.

Ответная реакция и обогащение

Как только атака устранена или предотвращена, необходимо провести модификацию и обогащение (enrichment) существующих средств защиты и конфигураций сети. Выполнять такие обновления особенно важно для того, чтобы минимизировать риск реализации подобной угрозы в следующий раз и максимально осложнить работу злоумышленников. Примерами могут послужить новые правила межсетевого экрана, систем IDS/IPS, улучшение процедуры реагирования на инциденты, обновление архитектуры безопасности и т.д.

Вот восемь советов по Threat Hunting:

1. Знайте вашу среду.
2. Думайте как атакующий.
3. Выделите для «хантинга» достаточно ресурсов.
4. Обеспечьте видимость происходящего на конечных точках.
5. Дополните эту видимость контекстом происходящего в сети.
6. Исследуйте и изучайте последние тенденции атак.
7. Создавайте контрольные списки (watchlists) для выявления совпадений по гипотезам.
8. Отслеживайте и анализируйте статистику по всем гипотезам и процессам «охоты».