Полювання на кіберзагрози

Інформаційна безпека
Критерії оцінки інформаційної безпеки

Цілісність · Доступність · Конфіденційність · Спостережність· Невідмовність

Нормативні документи

COBIT · ITIL · ISO/IEC 17799:2005 · ISO/IEC 27001:2013 ·

Забезпечення

Політика · СУІБ · КСЗІ · СЗІ

Захист інформації

Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації

Полювання на кіберзагрозу (англ. cyber threat hunting) або полювання на загрозу (англ. threat hunting) є активною діяльністю в галузі кіберзахисту. Це «процес активного та ітеративного пошуку у мережах з метою виявлення та виділення просунутих загроз, які недосяжні для наявних рішень з безпеки»[1]. Цей підхід відрізняється від традиційних заходів з управління загрозами, таких, як брандмауери, системи виявлення вторгнень (англ. intrusion detection systems, IDS), ізолювання шкідливих програм (англ. malware sandbox) та системи SIEM, які, зазвичай, передбачають розслідування після попередження про можливу загрозу або коли інцидент вже стався.

Методологія

Полювання на загрозу традиційно було ручним процесом, в ході якого аналітик з питань безпеки аналізує різноманітну інформацію про дані, використовуючи свої власні знання та знайомство з мережею, щоб сформулювати гіпотези про можливі загрози, такі, як Network Lateral Movement[en] від агентів загроз чи акторів загроз[en], але не обмежуючись цим[2]. Для більшої ефективності пошук може бути частково автоматизований або автоматичний. У такому випадку аналітик використовує програмне забезпечення, яке використовує машинне навчання та аналіз поведінки користувачів (англ. user and entity behavior analytics, UEBA), які інформують аналітика про потенційні ризики. Аналітик досліджує потенційні ризики, відстежуючи підозрілу поведінку в мережі. Таким чином, полювання є ітераційним процесом, що означає, що його потрібно постійно виконувати в циклі, починаючи з гіпотези. Гіпотеза може зосереджувати увагу на відомих експлойтах, потенційних підозрілих суб'єктах (англ. bad actor) або цінних активах та даних. Використовуючи безпекові дані, галузеві звіти та іншу аналітичну інформацію, формується гіпотеза, і команда полювання (англ. hunt team) намагається довести або спростувати свої здогадки.

У полюванні на кіберзагрози використовуються як автоматичні, так і ручні інструменти та методи[3].

Використовуються три типи гіпотез:

  • Засновані на аналітиці: «Машинне навчання та аналіз поведінки, що використовуються для розробки агрегованих оцінок ризику, також можуть слугувати гіпотезами для полювання»[4].
  • Засновані на ситуаційній обізнаності: «Аналіз основних кібер-активів (англ. Crown Jewel), критично важливих для виконання місії компанії[5], оцінки ризиків підприємства, тенденції на рівні компанії або працівників»[4].
  • Засновані на розвідувальних даних: «Звіти розвідки небезпек, канали розвідки загроз, аналіз шкідливих програм, сканування вразливостей»[4].

Аналітик досліджує свою гіпотезу, опрацьовуючи величезну кількість даних про мережу. Результати зберігаються таким чином, що вони можуть бути використані для покращення автоматичної частини системи виявлення загроз та слугують основою для майбутніх гіпотез.

Модель виявлення рівня зрілості (англ. Detection Maturity Level)[6], яка виражає показники загрози, може бути виявлена ​​на різних семантичних рівнях. Високі семантичні показники, такі, як цілі та стратегії, або тактики, методи та процедури, є більш цінними для виявлення, ніж низькі семантичні показники, такі, як мережеві артефакти (англ. network artifacts) та атомізовані індикатори, такі, як IP-адреси. Інструменти SIEM зазвичай надають лише індикатори на відносно низьких семантичних рівнях. Отже, існує необхідність розробляти інструменти SIEM, які можуть забезпечити показники загрози на більш високих семантичних рівнях[7].

Постачальники ПЗ для полювання на кіберзагрози

Список значних постачальників програмного забезпечення та послуг:

Інститут SANS[en] проводив дослідження ефективності полювання на загрози для відстеження та зриву кіберзагроз якомога раніше. Згідно з опитуванням, опублікованим у 2017 році, «60% тих, хто полює за загрозами, повідомили про помітні покращення своїх програм по інформаційній безпеці, виходячи з докладених ними до полювання зусиль, а 91 % — про покращення швидкості та точності»[8].

Індикатори

Є два типи індикаторів:

1) Індикатор компрометації (ІК) свідчить, що дія вже відбулась, і ви перебуваєте в реактивному режимі. Цей тип ІК формується зсередини, спираючись на власні дані з логів транзакцій або даних SIEM. Приклади ІК включають незвичайний мережевий трафік, незвичну привілейовану діяльність облікового запису користувача, аномалії входу в систему, збільшення обсягу читання бази даних, підозрілі зміни у системних файлах або реєстрі, незвичні запити DNS та вебтрафік, не властивий користувачам. Ці типи незвичайних дій дозволяють командам управління безпеки виявляти елементи, контрольовані зловмисниками, на ранніх етапах кібератаки.

2) Індикатор занепокоєння. За допомогою інтелектуального аналізу даних з загальнодоступних джерел (англ. Open-Source intelligence) отримати інформацію для виявлення кібератак та полювання на загрози.

Тактики, техніки та процедури

Інститут SANS вважає сталими такі моделі полювання за загрозами[9]:

  • Початкова (англ. Initial) — на рівні 0, організація процесу спирається, перш за все, на автоматичну звітність і робить малий або непостійний збір даних.
  • Мінімальна (англ. Minimal) — на етапі зростання до 1 рівня організація процесу містить пошуки індикаторів загроз, має середній або високий рівень рутинного збору даних.
  • Процедурна (англ. Procedural) — на 2-му рівні  організація слідкує за процедурами аналізу, створеними іншими, та має високий або дуже високий рівень рутинного збору даних. 
  • Інноваційна (англ. Innovative) — на 3-му рівні організація створює нові процедури аналізу даних. Має високий або дуже високий рівень рутинного збору даних. 
  • Провідна (англ. Leading) — на зрілому, 5 рівні автоматизує більшість успішних процедур аналізу даних. Має високий або дуже високий рівень рутинного збору даних.

Час затримки відповіді

Кібератакери (англ. cyberattackers) працюють непоміченими в середньому 99 днів, але отримують облікові дані адміністратора менш ніж за три дні, згідно з Mandiant M-Trends Report[10]. Дослідження також показують, що 53% випадків виявлення відбуваються  лише після повідомлення від зовнішньої сторони.

Середній час до виявлення

За даними інституту Ponemon, середня компанія витрачає на виявлення розширеної загрози 170 днів, 39 днів для зменшення загрози та 43 дні для відновлення[11].

Див. також

Примітки

  1. Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge - TechRepublic. TechRepublic. Процитовано 7 червня 2016.
  2. What is (cyber) threat hunting and where do you start? - Expel. Expel (амер.). 9 квітня 2018. Процитовано 26 травня 2018.
  3. Alsinawi, Baan. TalaTek Cyber Threat Hunting Services. TalaTek, LLC (амер.). Процитовано 12 листопада 2018.
  4. а б в Cyber Threat Hunting - Sqrrl. Sqrrl (амер.). Архів оригіналу за 29 травня 2016. Процитовано 7 червня 2016.
  5. https://www.mitre.org/publications/systems-engineering-guide/enterprise-engineering/systems-engineering-for-mission-assurance/crown-jewels-analysis
  6. Stillions, Ryan (2014). The DML Model. Ryan Stillions security blog. Ryan Stillions.
  7. Bromander, Siri (2016). Semantic Cyberthreat Modelling (PDF). Semantic Technology for Intelligence, Defense and Security (STIDS 2016).
  8. The Hunter Strikes Back: The SANS 2017 Threat Hunting Survey. SANS Institute. 1 квітня 2017. Архів оригіналу за 20 лютого 2018. Процитовано 28 травня 2018.
  9. Lee, Robert. The Who, What, Where, When and How of Effective Threat Hunting. SANS Institute. SANS Institute. Процитовано 29 травня 2018.
  10. State of Malware Detection and Prevention. Ponemon Institute. Ponemon Institute. Архів оригіналу за 14 листопада 2018. Процитовано 29 травня 2018.

Information related to Полювання на кіберзагрози