Linkedin-in
Обнаружение и реагирование на угрозы КС
5 золотых правил поиска угроз - ICORE
_

5 золотых правил поиска угроз

При обнаружении нарушения рабочий алгоритм включает обнаружение угроз, помещение в карантин и блокировку. Хотя все этапы могут произойти в течение первого часа после обнаружения, в некоторых случаях это уже слишком поздно.

Команды центра управления безопасностью (SOC) постоянно отслеживают новые угрозы. Чтобы отразить самые сложные угрозы, специалисты по безопасности активно «охотятся» за теми, которые ускользают от панелей управления их решений по обеспечению безопасности.

Однако продвинутые злоумышленники научились сливаться с окружением своей цели, оставаясь незамеченными в течение длительного времени.

Основываясь на многолетнем опыте, вот некоторые из основных способов поиска угроз, которые команда IBM X-Force использует для поиска этих субъектов.

Что такое поиск угроз (Threat Hunting)?

Поиск угроз — это упреждающий подход к выявлению ранее неизвестных или текущих не устраненных угроз в сети организации. Поиск угроз должен быть итеративным и управляемым человеком.

Эффективный поиск угроз требует определенного набора навыков. Успешный «охотник» за угрозами должен обладать хорошим гипотетическим мышлением и уметь строить предположения об исходных векторах и потенциальном воздействии.

Кроме того, ценными навыками для работы являются распознавание образов и дедуктивное мышление. Злоумышленники постоянно совершенствуются в поиске новых, творческих способов использования уязвимостей в операционных системах и приложениях. Вот почему «охотники» за угрозами должны искать закономерности, соответствующие тактике и необычному поведению.

Очень важно сформулировать и разработать логические теории о том, как получить доступ к сети или использовать систему для получения доступа к критически важной информации. После того, как теория создана, аналитик должен работать в обратном направлении, используя дедуктивные рассуждения, чтобы искать любые подсказки, оставленные злоумышленниками.

Кроме того, поиск угроз — это повторяющийся процесс. Хороший охотник за угрозами должен уметь быстро повторять те же самые шаги, потому что подобные атаки могут повториться снова.

Но самое главное, поиск угроз носит упреждающий характер. Чрезмерная зависимость только от предупреждений может в конечном итоге привести к туннельному видению.

Чем не является поиск угроз

По словам Нила Уайлера, глобального руководителя активных оценок угроз в IBM X-Force, не только важно определить, что такое поиск угроз, но и понять, чем он не является. Поиск угроз не является:

• Ctrl+F Индикатор компрометации (IOC) — поиск угроз не нажимает «Ctrl+F» IOC для обнаружения угроз. Вам следует изучить тактику, приемы и процедуры, которые злоумышленники используют в вашей среде. Когда охота идет, вам не нужно искать IP-адрес, имя хоста или хэш файла — эти элементы находятся ниже в пирамиде боли для поиска угроз. Вам нужно найти свидетельства того, что тактика и инструменты остаются после вас.
• Автоматизированный. Автоматизация, безусловно, может помочь после выявления угроз или интересующих наборов данных, но она не является отправной точкой.
• Новое. Поиск угроз в той или иной форме существует уже много лет, будь то поиск выбросов в журналах данных или сортировка по количеству в электронных таблицах Excel.
• Магия. Поиск угроз — это то, чем могут заниматься даже аналитики начального уровня. Вы можете знать только некоторые вещи об этом. Но если у вас пытливый ум, и вы задаете правильные вопросы, ваш опыт будет быстро развиваться.

Зачем искать угрозы?

Поиск угроз важен. Эффективный поиск угроз помогает сократить время от вторжения до обнаружения, сводя к минимуму ущерб, наносимый злоумышленниками. Чем дольше проходит время между сбоем системы и реакцией, тем больший ущерб понесет организация во время атаки.

Кроме того, поиск угроз может помочь вам:

• Находить ранее необнаруженные угрозы и сокращать время поимки (от заражения до обнаружения).
• Изучите среду безопасности, чтобы повысить скорость и точность реагирования. Это даст вам значительное преимущество перед злоумышленником.
• Улучшить общую организационную позицию. Не ждите, пока оповещение пройдет через ваш инструмент управления информацией и событиями безопасности (SIEM). Выявляйте неверные конфигурации, выявляйте пробелы и помогайте быстро уменьшать возможности для атак.

Нет ничего более ценного, чем учиться на реальных жизненных ситуациях и многолетнем практическом опыте. Если вы несколько лет занимаетесь безопасностью, то знаете, как трудно заставить аналитиков по безопасности, архитекторов и охотников за угрозами поделиться своими знаниями. Черные хакеры постоянно используют подпольные форумы для обмена своими знаниями. Так они развиваются и совершенствуют свою тактику. Так почему же мы, сила добра, не можем выработать эту привычку?

Вот несколько передовых методов поиска угроз, продемонстрированных на примере реальной истории.

Проблемные области поиска угроз

Большинство реальных историй об охоте за угрозами имеют общие черты и закономерности, которые можно обобщить в следующих проблемных областях:

• Туннельное видение — оставьте предвзятость за дверью и будьте объективны в своем расследовании. Туннельное зрение может заставить вас игнорировать присутствие злоумышленника.
• Внутренние угрозы. Не забывайте следить за поведением внутри вашей сети, даже если ваш приоритет — внешние угрозы. Самоуспокоенность в отношении внутренних угроз может привести к тому, что один забытый веб-сервер станет оружием противника.
• Плохой контроль доступа — сегментация и шифрование играют важную роль в поиске угроз. Не облегчайте задачу злоумышленникам.
• Прямая связь по IP — убедитесь, что вы правильно настраиваете клиентов виртуальной частной сети. Знайте, что находится на другом конце этого IP-адреса. Создайте фиды и привяжите их к ресурсам.
• Без изоляции хоста — ничему не доверяйте. Вы не всегда находитесь в корпоративной сети. Сегментируйте свои сети и изолируйте хосты.

 

5 золотых правил поиска угроз

Вы знаете, что искать и где искать? Вот пять правил успешного поиска угроз:

1. Соберите журналы из ключевых областей.

Журналы имеют решающее значение для поиска угроз. Собирайте журналы из ваших ключевых областей, включая коммутаторы, маршрутизаторы, брандмауэры, прокси-серверы, веб-серверы, приложения, события операционной системы, команды PowerShell, аудиты и EMET. Вам не обязательно отправлять их в SIEM, но по крайней мере рассмотрите возможность их записи на диск.

2. Мониторинг сетевых данных.

Знайте точки входа и выхода данных в вашей среде. Знайте, как настроены ваши роли в подсети, и установите направленность. Выполняйте полный захват пакетов с минимум тремя днями необработанных данных и двумя месяцами метаданных.

3. Проанализируйте данные о поведении конечных точек.

Инвентаризируйте все процессы, запланированные задачи, неожиданные службы, доступ к реестру, а также файловые и сетевые данные. Убедитесь, что вы охотитесь за Amcache и Shimcache — кладезями интересных данных. Понимание того, что выглядит нормально, поможет вам определить, когда возникает аномалия.

4. Практикуйте ситуационную осведомленность.

Что вы будете делать после того, как соберете все эти данные? Вы используете ситуационную осведомленность.

• Понимать, как выглядит нормально на ваших хостах и в сети. Создайте базовый уровень для сравнения.
• Осознайте, что является нормальным, чтобы, когда возникает аномалия, она торчала наружу, как больной палец.
• Каждый раз, когда вы что-то видите, это не значит, что это злоумышленник. Но вы кое-чему научитесь из этого опыта.

5. Оставьте предвзятое мнение за дверью.

Поиск угроз — это не волшебство. Потратьте время на то, чтобы стать лучше в том, что вы делаете. Не начинайте с IOC. Начните с вопроса: если данные покидают среду, куда они, скорее всего, пойдут? Как бы я проник снаружи, если бы я был злоумышленником?

Источник:
https://securityintelligence.com/posts/5-golden-rules-threat-hunting-x-force/

Автор:
Olga Hout
Senior Product Marketing Manager