Под Threat hunting (охотой на угрозы) принято понимать процесс проактивного обнаружения вредоносной деятельности в компьютерных сетях. Основной целью данного процесса является выявление киберпреступных атак, которые не поддаются обнаружению типовыми средствами защиты информации. В этих целях осуществляется ручной или машинный поиск и анализ индикаторов компрометации.
Благодаря активному поиску угроз можно на ранних стадиях обнаружить новые и сложные киберугрозы. Этот процесс рассматривается в качестве дополнения к уже существующей защите информационных систем организации, а не как её замена. От стандартных способов защиты «охоту на угрозы» отличает именно её проактивный характер.
Редакция CISOCLUB решила поговорить с экспертами об уникальных угрозах и кибератаках, выявленных в ходе threat hunting, об основных трудностях, с которыми эксперты сталкиваются в процессе проведения threat hunting в масштабируемых или сложных инфраструктурах, о наиболее сложных ключевых индикаторах угроз для обнаружения в рамках этого процесса, о том, как можно выстроить процесс передачи знаний между командой threat hunting и другими подразделениями, и как это помогает улучшить реагирование на инциденты безопасности в целом. Также мы задали множество других вопросов. С нами поговорили:
- Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда».
- Николай Перетягин, менеджер по продукту NGR Softlab.
- Иван Трубченко, аналитик по информационной безопасности NGR Softlab.
- Маргарита Павлова, эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар».
- Антон Шепелев, эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар».
Какие уникальные угрозы или кибератаки вам удалось выявить в ходе threat hunting, которые ранее не видели СЗИ, и какие нестандартные шаги были предприняты для их идентификации?
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»:
«Сам по себе процесс Threat Hunting-а, хотя и имеет определенный алгоритм работы для выявления угроз, тем не менее, является довольно творческим и периодически требует нестандартных шагов. Больше всего запомнились атаки, которые удалось детектировать по поведению с помощью модуля для выявления ботнет-маяков, и атака с использованием немодифицированной антивирусной библиотеки, подписанной легитимной цифровой подписью, но с модифицированным файлом настроек.
В случае с маяками быстро идентифицировать угрозы помогли фиды, собранные в рамках процесса Threat Intelligence. Сама отправка данных центрам управления ботнет осуществлялась на сервера, не попавшие в фиды, инициаторами активности были сервера, которые в фиды попали. Во втором случае угрозу удалось выявить по косвенным признакам, а для оценки распространения заражения пришлось написать powershell-скрипт, который позволил довольно быстро выявить все хосты, на которые распространился вредонос».
Как в вашей практике используются креативные или неожиданные подходы к threat hunting, которые выходят за рамки стандартных методологий, но могут показать результат в сложных ситуациях?
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «Поскольку в практике Threat Hunting, мы в значительной мере оперируем «косвенными» данными, указывающими на ту или иную угрозу, приходится дорабатывать существующие инструменты или разрабатывать новые для фильтрации, уточнения и атрибуции полученных данных. Наш подход — это не столько поиск угроз существующими инструментами, сколько комбинация аналитики и разработки, своеобразный Agile для индикаторов компрометации. Например, одновременно осуществляются доработка NDR для использования всего спектра предоставляемых им инструментов, выявления и изучения атак и разработка сигнатур для детектирования атак на бинарном уровне».
С какими основными трудностями вы сталкиваетесь при проведении threat hunting в масштабируемых или сложных инфраструктурах?
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «В больших и сложных инфраструктурах, да и в инфраструктурах поменьше, основные трудности связаны с инвентаризацией и количеством получаемых данных. Зачастую требуется несколько итераций настройки инструментов, прежде чем мы начнем выявлять действительно опасную активность».
Можете поделиться случаем, когда результаты threat hunting привели к значительным изменениям в стратегии реагирования на инциденты, и как это отразилось на общем уровне ИБ?
Иван Трубченко, аналитик по информационной безопасности NGR Softlab: «На моей практике, когда я работал в финансовой организации и участвовал в развитии поиска угроз в инфраструктуре, на уровне EDR произошла сработка «обфускация кода». В самом «алерте» детектились Powershell-скрипты, в которых разработчик применял пароли в открытом виде, без использования переменных сред.
Так как нельзя было исключать вероятность нахождения злоумышленника в периметре, команда аналитиков сформулировала рекомендации, направленные на уменьшение шансов компрометации:
- Запрос пароля при каждом запуске скрипта: $pass = Get-Credential; #pass = Read-Host «Введите пароль» —AsSecureString.
- Использование переменных окружения на уровне ОС Windows или на уровне терминала, чтобы изолировать чувствительные данные от самого скрипта и сделать их применение менее уязвимым.
- Установка переменной среды с помощью дополнительной библиотеки python-dotenv.
- Использование внешних конфигурационных файлов, например, JSON, XML, YAML и обращение к ним из скрипта.
Эти рекомендации позволили снизить риски с точки зрения информационной безопасности и уменьшить вероятность утечки данных, несанкционированного доступа к ИТ-системам и распространения вредоносного программного обеспечения».
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «В моей практике был случай, когда выявление целевой атаки с использованием легитимной антивирусной библиотеки привело к серьезной доработке процессов реагирования и сбора доказательств у заказчика.
Стали мониторить не только работу СЗИ, но и вообще значимые изменения в настройках операционных систем и используемых продуктов, был разработан регламент сохранения доказательной базы и регламент взаимодействия с полицией».
Какие ключевые индикаторы угроз вы считаете наиболее сложными для обнаружения в рамках процесса threat hunting, и как вы адаптируете свои методы для их успешного выявления?
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «На этот вопрос уже есть ответ в виде «Пирамиды боли» Дэвида Дж. Бьянко. И в целом она неплохо отражает сложность выявления угроз».
Были ли случаи, когда внедрение новых технологий (например, ИИ, машинного обучения) радикально изменило подход к threat hunting, и можете ли вы описать конкретные примеры их применения?
Антон Шепелев, эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар»: «Эксперты Solar 4RAYS применяют новые технологии для анализа отдельных журналов и точечных событий. В результате такого анализа выносится вердикт о наличии следов злоумышленника в системе. Эту работу аналитики проводят ежедневно, и она занимает значительную часть времени. За счет внедрения технологий машинного обучения можно получать релевантный ответ (аномальная активность/нормальная активность) в разы быстрее, тем самым освободив ресурс специалистов для решение других задач.
Мы также исследуем возможности использования машинного обучения для поиска вредоносной активности в инфраструктуре. Это достаточно сложная многосоставная задача, в результате которой ожидается в достаточно сжатые сроки без привлечения большого аналитического ресурса выявлять вредоносные паттерны на инфраструктуре практически любого размера. Вполне возможно, что итоговое решение будет складываться из результатов работы ML-моделей, которые выполняют несколько более мелких задач. Эти вердикты будут учитываться при заключительном анализе инфраструктуры».
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «Современный уровень развития ИИ и ML пока не может привести к радикальным изменениям подхода к Threat Hunting, и для этого есть объективные причины. Чтобы ИИ и ML дали существенный результат, в этом направлении требуется еще большая работа по формированию пулов данных для обучения инструментов, формирования индикаторов атак, для автоматизации реагирования, также требуется адаптировать инфраструктуры для работы с ИИ и ML. На текущем этапе эти инструменты скорее позволяют эволюционно улучшить механизмы поиска индикаторов атак».
Как выстроить процесс передачи знаний между командой threat hunting и другими подразделениями, и как это помогает улучшить реагирование на инциденты безопасности в целом?
Маргарита Павлова, эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар»:
«Мы регулярно обмениваемся друг с другом информацией: свежими исследованиями, расследованиями инцидентов в реальных инфраструктурах, подробностями работы нового вредоносного ПО и фишками актуальных инструментов, которые используют злоумышленники. Этот процесс всегда направлен в обе стороны, чтобы команды взаимно обогащали друг друга контекстом.
Например, если в результате исследований команда Threat hunting смогла обнаружить новый паттерн активности и написать на него детектирующую логику, то подробности работы этой логики, а также артефакты операционной системы, на которых она основана, передаются команде DFIR, которая использует данные в расследованиях. И, напротив, если расследование или Compromise Assessment выявляют неизвестный ранее паттерн TTP, он передается команде Threat hunting для более глубокого исследования. В результате такого обмена появляются новые детектирующие логики, которые отправляются в SOC, команде продуктового направления и обратно в DFIR».
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «Процесс управления найденными индикаторами компрометации и метаданными о них – это процесс Threat Intelliegnce. Его реализация – трудоемкая задача. Однако можно внедрить отдельные элементы для автоматизации реагирования.
Это создание списков индикаторов компрометации и насыщение этими списками своих СЗИ, разработка рекомендаций на основе информации, полученной в процессе Threat Hunting и передача этих рекомендаций в отделы ИБ и ИТ. Можно сказать, что практически в любой организации ИТ- и ИБ-подразделения занимаются Threat Hunting, просто этот процесс не формализован. Чтобы облегчить жизнь специалистам, можно формализовать как минимум использование его результатов».
Какие неявные или скрытые угрозы вам удавалось обнаружить с помощью анализа аномалий, и как это изменило ваше представление о стратегиях защиты?
Николай Перетягин, менеджер по продукту NGR Softlab: «Основной вид угроз, который мы обнаруживаем с помощью поведенческой аналитики в инфраструктурах заказчиков – это компрометация учетных данных. При этом сведения о подозрительных активностях пользователей, в основном, мы анализируем по данным журналов событий прикладных систем и их СУБД. К сожалению, ни антивирусные средства, ни средства защиты от несанкционированного доступа, ни другие решения, работающие по правилам (сигнатурам), не подскажут, что является для пользователя нормальным поведением, а что нет. Поэтому только этот подход может помочь точно выявить скрытую активность скомпрометированной учетной записи.
После выявления отклонений специалисты ИБ обычно ужесточают контроль над соблюдением политик безопасности, проводят разъяснительные работы с сотрудниками, которые регулярно игнорируют правила соблюдения конфиденциальности своих учетных данных.
Инсайдерская деятельность – это второй тип угроз, который мы обнаруживаем в инфраструктурах заказчиков, особенно при анализе группового поведения. Выявленные отклонения в групповом поведении позволяют более качественно проводить процедуры дополнительного контроля с использованием соответствующих систем (например, DLP, DAG, DCAP и пр.). К сожалению, СЗИ, которые работают по правилам (сигнатурам) в этом плане не такие гибкие. Для их настройки требуется предварительное определение параметров нормального поведения группы объектов, которые в некоторых решениях поведенческого анализа рассчитываются в автоматическом режиме.
Как правило, после обнаружения такого вида угроз специалисты ИБ переходят на многоуровневый подход к предотвращению утечек, полагаясь также на работу инструментов поведенческого анализа».
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «Удавалось обнаружить маяки ботнетов, сюда же можно добавить потенциально нежелательное ПО, не соответствующее стандартам ИТ- и ИБ-организации, дыры в firewall-ах, которые оставляют ИТ-команды, чтобы облегчить себе жизнь работой из дома.
Можно сказать с уверенностью, что ИТ-инфраструктура практически любой организации на бумаге и в реальности сильно отличаются, и контроль аномалий достоверно выявляет эти отличия».
Какой из методов threat hunting показал наибольшую эффективность в вашей практике? Почему?
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «Reactive – учит нас, как разобрать уже состоявшуюся атаку, pro-active – как защититься от еще несостоявшейся. И тут вопрос эффективности зависит от множества факторов:
- насколько критично пропустить атаку?
- сколько времени можно позволить себе ее не обнаруживать?
- какой размер команды можно выделить для Threat Hunting?
- сколько других ресурсов можно выделить на Threat Hunting?».
Как в ходе threat hunting удается балансировать между необходимостью быстрого реагирования и глубокой аналитикой, и какие уникальные подходы вы применяете для нахождения этого баланса?
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда»: «Я бы не назвал эти подходы уникальными – это своеобразная концепция трех «-ция»:
- Инвентаризация.
- Сегментация.
- Изоляция.
Это то, что позволяет оперативно реагировать на возникшие угрозы, и при этом не ломать бизнес-процессы компании. Атаку на демилитаризованную зону с ресурсами, которые быстро восстанавливаются, можно изучать достаточно продолжительное время, атаку на ядро информационной системы придется отражать немедленно, но потребуется сделать соответствующие копии сервисов и вредоносного ПО, чтобы изучить последствия атаки подробнее, и попытаться добыть больше информации о ней.
В общем, все зависит от возможностей, приоритизации целей и угроз, доступных инструментов».
Оригинал публикации на сайте CISOCLUB: "Threat Hunting".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.