Spis treści
Dlaczego threat hunting ma znaczenie
Threat Hunting to aktywne poszukiwanie przeciwników w infrastrukturze organizacji, bez wiedzy o ich obecności, podczas którego poszukuje się wzorców złośliwej aktywności, które nie zostały wykryte przez inne mechanizmy detekcji. Celem tego procesu jest zmniejszenie szkód wyrządzanych przez atakujących poprzez skrócenie czasu wykrycia przeciwnika, który może wynosić nawet 9 miesięcy. Istnieje wiele podejść do threat hunting. Wspólnym elementem wszystkich tych metod jest fakt, że dane są zbierane z wielu źródeł, a następnie analizowane pod kątem anomalii, które nie są obsługiwane przez SOC. W tym procesie nieocenioną bazą wiedzy, szczególnie dla osób, które dopiero rozpoczynają swoją przygodę w tym obszarze i nie wiedzą, od czego zacząć, jest baza danych TTP przygotowana przez ATT&CK MITRE. Zawiera ona wiele cennych wskazówek dotyczących działania atakujących.
Kolejnym istotnym aspektem związanym z metodologią Threat Hunting są tzw. wskaźniki kompromitacji (IoC), chociaż tutaj czasem toczy się spór, czy powinny one być częścią procesu Threat Intelligence czy Threat Hunting. Moim zdaniem jest to element, który z powodzeniem może być wdrażany przez oba zespoły, jeśli taki podział funkcjonuje w organizacji, ponieważ często zdarza się, że łowcy zagrożeń samodzielnie zdobywają informacje lub znajdują IoC powiązane z podejrzaną aktywnością. Wynika z tego, że współpraca między tymi zespołami jest bardzo ważna, aby się wzajemnie uzupełniać. Inną metodą jest wykorzystanie własnych zapytań opartych na wskazówkach z różnych poradników tematycznych oraz własnego doświadczenia i znajomości technologii i monitorowanego środowiska.
Zbieranie danych
Zbieranie danych to bardzo istotny element każdego procesu Threat Hunting, ponieważ jest to materiał, na którym pracuje każdy badacz. Rodzaj źródeł danych oraz czas ich retencji decydują o tym, jak głęboko łowca zagrożeń może zanurzyć się w poszukiwaniu śladów aktywności hakerów. A tych źródeł danych jest wiele.
Hipoteza
Pierwszym krokiem w procesie Threat Hunting jest sformułowanie hipotezy, czy grupa charakterystyczna dla naszego sektora, taka jak np. APT38 atakująca organizacje finansowe, nie jest czasem aktywna w naszej organizacji. Istnieje wiele tego typu hipotez, które pasują do kontekstu biznesowego naszej organizacji lub są związane z Threat Intelligence. Charakterystyki najpopularniejszych grup cyberprzestępców można znaleźć w bazie wiedzy ATT&CK MITRE, a informacje o zagrożeniach na stronach CIS Controls, ENISA Threats Taxonomy, CIS Alerts lub blogach poświęconych tej tematyce.
Wyłapywanie zagrożeń
Proces threat hunting może obejmować analizę statystyczną, analizę behawioralną i uczenie maszynowe. Analizy statystyczne dotyczą wykrywania anomalii, trendów lub odchyleń od wartości bazowych. Mogą być łatwo wykrywane w systemach umożliwiających łatwą konfigurację i analizę konkretnych widoków, takich jak np. Sycope – system do monitorowania ruchu sieciowego. Rysunki 3 i 4 pokazują przykłady widoków ułatwiających analizę statystyczną.
W przypadku analizy behawioralnej zagrożeń, łowcy zagrożeń próbują modelować łańcuch ataku. Przydatnymi narzędziami w tym obszarze są np.: CALDERA, Atomic Red Team lub ATT&CK Simulator.
Analiza zagrożeń i automatyzacja
W przypadku wykrycia zagrożenia i analizy potwierdzającej krytyczność danego znaleziska, kolejnym krokiem jest próba znalezienia tych zagrożeń w kontekście całej organizacji. Następnie, po odfiltrowaniu fałszywych alarmów, tworzy się mechanizm do automatycznego wykrywania tego typu zagrożeń. Takie mechanizmy detekcji, po osiągnięciu pewnej dojrzałości polegającej na skutecznym wykrywaniu zagrożeń, mogą zostać z powodzeniem przekazane do SOC, tak aby od tej pory określone zagrożenia były nadzorowane w sposób proceduralny.
Podsumowanie
Zespoły odpowiedzialne za monitoring bezpieczeństwa coraz bardziej zdają sobie sprawę, że nie istnieją systemy bezpieczeństwa, które mogą ochronić organizację przed każdym typem cyberataku, szczególnie atakami APT. Dlatego moda na tzw. Threat Hunting nie jest już tylko modą, ale szczególnie ważnym zadaniem w ramach kompleksowego procesu wykrywania i obsługi incydentów bezpieczeństwa. Jeśli więc nie masz takiego procesu w swojej organizacji, rozważ jego wprowadzenie, aby jeszcze bardziej uzmysłowić sobie, ile podejrzanych aktywności nie widzi Twój zespół ds. bezpieczeństwa. Aby poznać ten proces w kontekście monitorowania ruchu sieciowego, można skutecznie wykorzystać Sycope, np. podczas Network Threat Hunting Academy, choć nawet to nie zastąpi satysfakcji, gdy samodzielnie zaczniesz wykrywać dotąd niewidoczne anomalie i zagrożenia w sieci na podstawie tego lub innego systemu klasy Network Security Monitoring.
