Co je Threat Hunting?
Škodlivé hrozby, ať už softwarové nebo lidské, nedeklarují svou přítomnost. Nástroje kybernetické bezpečnosti musí vyhledávat malware, vetřelce a škodlivé insidery a existuje řada technik, které lze k tomuto účelu použít.
Každý poskytovatel bezpečnostního softwaru má oblíbenou techniku a drží se jí, protože funguje. I když existuje několik různých lov hrozeb strategie, neexistuje jejich ligová tabulka – neexistuje žádná, která by byla všeobecně považována za lepší než ostatní. Podíváme se na hlavní metody detekce hrozeb a vysvětlíme si, jak fungují.
Terminologie lovu hrozeb
Jako každá disciplína IT má kybernetická bezpečnost a vyhledávání hrozeb svou vlastní terminologii. Zde jsou některé z důležitých pojmů, které byste měli znát při studiu lovu hrozeb:
- EDR – Detekce a odezva koncového boduMonitoruje koncové body (desktopy, servery, mobilní zařízení, IoT gadgety) na hrozby a implementuje automatizované reakce na detekci
- XDR – Rozšířená detekce a odezvaBalíček bezpečnostních nástrojů, které společně poskytují detekci hrozeb a automatizovanou reakci. Hlavní prvky by měla dodávat SaaS.
- IDS – Systém detekce narušeníJedná se o balíček pro vyhledávání hrozeb, který funguje buď na souborech protokolu v případě hostitelského IDS (HIDS), nebo na datech sledování živé aktivity v případě síťového IDS (NIDS).
- IPS – Systém prevence narušeníIDS s automatickými pravidly odezvy.
- SIEM – Bezpečnostní informace a správa událostíProhledává protokolové soubory a data monitorování sítě a zobrazuje výstrahu při detekci hrozeb. Jedná se o kombinaci správy bezpečnostních informací (SIM), což je HIDS, a správy bezpečnostních událostí (SEM), což je NIDS.
- SOAR – Bezpečnostní orchestrace a reakceVýměna dat mezi bezpečnostním softwarem, který vysílá buď informace o hrozbách, nebo pokyny k reakci.
- SOC – Bezpečnostní operační střediskoDatové centrum, které poskytuje monitorování a správu bezpečnostního softwaru a přidává speciální analýzu lidí.
- C TI – Cyber Threat IntelligenceÚdaje o útocích, ke kterým došlo jinde, a o tom, jak probíhaly. Může to být také varování před únikem dat nebo chatováním na hackerských stránkách, které naznačují, že je pravděpodobný bezprostřední útok na zemi, sektor, firmu nebo jednotlivce.
- IoA – Indikátor útokuZnamení, že probíhá útok. Jednalo by se o odhalení phishingového e-mailu nebo infikované přílohy e-mailu. Dalšími známkami toho, že probíhá útok, jsou pokusy o připojení RDP nebo nadměrné neúspěšné pokusy o přihlášení k účtu.
- IoC – Indikátor kompromisuPozůstatek nedávného útoku. Ty lze formulovat do sekvence faktorů, signatur malwaru a škodlivých adres. Jsou sdělovány jako zpravodajské informace o hrozbách. Malé odchylky v metodách však mohou detekci zmařit.
- TTP – Taktiky, techniky a postupyStrategie hrozeb, které jsou sdělovány jako varování v informačních kanálech hrozeb. Podrobně popisují nedávno zjištěnou aktivitu hackerské skupiny, jako je název skupiny a její metody vyšetřování a vniknutí.
- UBA – Analýza chování uživatelůSledování aktivity na účet vemene, které vytváří vzorec normálního chování. To poskytuje základ pro detekci anomálií, která hledá odchylky od standardního chování uživatelského účtu.
- UEBA – Analýza chování uživatelů a entitTotéž jako UBA, ale se záznamem standardní aktivity na zařízení, které je obvykle koncovým bodem.
Zdroje dat lovu hrozeb
Lov hrozeb může probíhat na dvou úrovních: v podnik nebo globálně . Globální vyhledávání závisí na datech nahraných z podniků.
Velké objemy dat v takových systémech lze výrazně snížit instalací předzpracování moduly na každém přispívajícím systému. Tato strategie by mohla odfiltrovat některé informace, které místní analytický stroj neidentifikuje jako potenciální indikátor. Kvalita těchto zdrojových dat tedy značně závisí na algoritmu používaném skupinou pro zpravodajství o hrozbách. Na množství má vliv také rychlost vyhledávání dat a kapacita centrální lovecké jednotky filtrování potřebné pro sběratele dat.
Hledání podnikových hrozeb závisí na třech hlavních zdrojích vstupních dat:
- Protokolovat zprávy
- Monitorování systému
- Pozorovatelnost
Všechny tři typy dat je třeba shromáždit z každé součásti systému – jak hardwaru, tak softwaru – k získání úplného obrazu o útoku.
Protokolovat zprávy
Hlavním zdrojem dat pro vyhledávání hrozeb jsou zprávy protokolu. Každý operační systém a téměř každá aplikace generuje zprávy protokolu a jejich shromažďování poskytuje bohatý zdroj informací o aktivitách systému.
Monitorování systému
Stejně jako v IT systému neustále kolují protokolové zprávy, tak i monitorovací data. Opět je potřeba jen sesbírat. Tyto informace zahrnují aktuální informace o výkonu sítě dostupné prostřednictvím Jednoduchý protokol pro monitorování sítě (SNMP). Mezi další zdroje informací, které jsou snadno dostupné s velmi malým úsilím, patří procesní data z Správce úloh ve Windows nebo ps nástroj v systémech Linux, Unix a macOS.
Pozorovatelnost
Bezserverové systémy a činnosti bez souborů se obtížněji sledují a vyžadují aktivní shromažďování dat distribuované trasování telemetrické systémy. Informace odvozené ze sledování běžících procesů lze doplnit o profilování kódu kde jsou činnosti implementovány kódovacími jazyky prostého textu. Výpisy paměti a skenování řetězců mohou také odhalit náznaky útoku prostřednictvím přítomnosti funkcí DLL, o kterých je známo, že se používají při škodlivých útocích, jako jsou nástroje pro manipulaci s pamětí a registrem.
Datové toky pro vyhledávání hrozeb
I když jsou k dispozici některé distribuované systémy vyhledávání hrozeb, zejména pro ochranu koncových bodů, tyto služby jsou obvykle centralizované. A AV nové generace využívá vyhledávání hrozeb na zařízení, ale všechny ostatní systémy, včetně nástrojů IDS, EDR, XDR a SIEM shromažďují data z více zařízení v systému do centralizovaného fondu.
Software jako služba lovci hrozeb mohou sjednotit datová jezera používaná pro všechny hostované klienty do balíčku pro detekci hrozeb pro celou službu. Tento tok dat do cloudové kolekce je také hlavním zdrojem informací zpravodajství o hrozbách zdroje.
Ve všech případech budou data shromažďována z různých typů zdrojů, jako jsou protokolové soubory nebo záznamy monitorování systému, a budou převedena do běžný formát takže tato různá rozvržení záznamů lze shromáždit do jednotného seznamu se stejnými datovými poli na stejném místě. Hledání hrozeb je implementováno jako série vyhledávání spolu s filtrováním a seskupováním dat.
Zdrojová data pro tok lovu hrozeb směrem k centrálnímu bazénu. Inteligence hrozeb , který informuje o detekci hrozeb, putuje opačným směrem – z centrálního místa ven k jednotlivým firemním účtům a poté k místním datovým procesorům, jako jsou AV zařízení. Pokyny k reakci také cestovat z centrálního systému ven do místních zařízení.
Strategie lovu hrozeb
Všechny systémy lovu hrozeb spadají do dvou kategorií strategií: na základě podpisu a na základě anomálií vyhledávání.
Hledání hrozeb na základě podpisu
Metody detekce založené na podpisu jsou nejstarší strategií používanou pro produkty kybernetické bezpečnosti. Původní antivirové systémy používaly tento přístup, který skenoval systémy na přítomnost specifických souborů, které jsou obvykle identifikovány pomocí hash signatury spíše než jejich názvů.
Přestože vyhledávání hrozeb na základě signatur je stará strategie, není zastaralá – takto fungují systémy, které pracují s informačními kanály hrozeb. The CTI feed poskytuje seznam procesů, souborů nebo adres, které je třeba hledat (TTP), a lovec hrozeb prohledá jejich datové jezero a zjistí jejich přítomnost.
Hledání hrozeb na základě informací o hrozbách se také nazývá vyšetřování řízené hypotézou. Hledání hrozeb na základě podpisu probíhá v reálný čas , skenování dat, jak přicházejí z distribuovaných kolektorů a také zpětně , prohledávat úložiště záznamů událostí. Při každém novém je potřeba zpětné vyhledávání TTP je doručena. Je tomu tak proto, že předchozí poznatky tyto útočné strategie nezahrnovaly a systém detekce narušení musí pomocí nově objevených metod zjistit, zda již nebyl systém napaden hackery.
Josh a IoC , dodávané poskytovatelem systému vyhledávání hrozeb, také implementují detekci založenou na signaturách. Tyto informační zdroje se používají k vyhledávání v živých a historických datech.
Hledání hrozeb na základě anomálií
Spíše než hledání existence něčeho, lov hrozeb založený na anomáliích identifikuje nesrovnalosti. Konkrétně hledá Změny ve vzorci činnosti v systému. Tento typ detekce je zvláště důležitý pro ochranu před převzetím účtu a hrozbami zevnitř.
Události, jako je krádež dat, nevyžadují, aby hackeři instalovali žádný nový software – zařízení, která již máte k dispozici pro autorizované uživatele, jsou dostatečně dobrá, aby pomohla zlodějům dat získat cenné informace. Analytika chování uživatelů (UBA) a analytika chování uživatelů a entit (UEBA) mají za cíl bojovat proti neoprávněnému používání autorizovaných aplikací.
Detekce založená na anomáliích musí nejprve zjistit, co je normální chování, než může zjistit odchylky. Proto se používají systémy UBA a UEBA strojové učení pro registraci základní linie pravidelné aktivity pro každého uživatele nebo zařízení. Strojové učení je disciplína Umělá inteligence (AI).
Automatická detekce versus manuální analýza hrozeb
Hledání hrozeb je neustálý proces a zahrnuje prohledávání velké objemy dat . To je úkol, pro který se počítače velmi dobře hodí. Pro všechny podniky kromě těch nejmenších je myšlenka ručního vyhledávání hrozeb jen neúmyslná.
Manuální analýza dat hraje roli při hledání hrozeb jako doplněk k neustálé automatické detekci. Nejlepší kombinací počítačové a lidské analýzy je nechat automatizovaný systém třídit data a poté označit hraniční případy pro posouzení člověkem.
Velký problém se systémy detekce hrozeb založenými na pravidlech, které zahrnují automatické odpovědi je, že mohou nesprávně přiřadit normální chování a uzamknout legitimní uživatele. UBA a UEBA byly použity k lovu hrozeb ve snaze toto omezit falešně pozitivní hlášení . Bez ohledu na to, jak jemně je detekční systém vyladěn, vždy existuje možnost, že uživatel náhle provede akci, která je součástí jeho běžné pracovní rutiny.
Přijatelnou anomálií může být málo častý úkol, který má uživatel provést, ale který systém strojového učení ještě neviděl, protože neběžel dostatečně dlouho.
Typ manuálního zásahu do systému vyhledávání hrozeb závisí na podniku pravidla bezpečnosti . Například neobvyklá a zřídka se vyskytující událost by mohla být označena jako člověk prostřednictvím vydání výstrahy jako jediné reakce. Alternativně by nastavení IPS mohlo nařídit strategii na prvním místě zabezpečení, která zablokuje účty zapojené do anomálního chování a poté ponechá posouzení aktivity a možného obrácení akce odpovědi správci.
Role bezpečnostní analytik není práce, která může být náhodně přidělena technikovi v týmu podpory. Jedná se o vysoce specializovanou dovednost a kvalifikované analytiky je těžké sehnat. Když se najdou, jsou velmi drahé. To je jeden z důvodů, proč se automatizované nástroje kybernetické bezpečnosti vyplatí koupit.
Řešením potřeby lidských odborných znalostí v oblasti kybernetické bezpečnosti je uzavřít smlouvu s a řízený lov hrozeb servis. To zahrnuje balíček bezpečnostního softwaru založený na SaaS a server pro jeho spuštění a přidává tým bezpečnostních expertů, kteří analyzují neobvyklé anomálie, které počítačový systém nedokáže kategorizovat.
Hledání hrozeb v nástrojích kybernetické bezpečnosti
Naše doporučení týkající se systémů pro vyhledávání hrozeb si můžete přečíst v Nejlepší nástroje pro lov hrozeb . Pro ilustraci toho, jak mohou různé nástroje provádět vyhledávání hrozeb jednotlivě a jako součást sady služeb, se můžeme podívat na balíčky nabízené CrowdStrike .
Nástroje kybernetické bezpečnosti CrowdStrike jsou nabízeny na platformě SaaS předpřipravené Falconem. Jednou z jejich služeb je antivirová služba nové generace a toto je jediná aplikace sady Falcon, která běží na koncových bodech namísto na cloudové platformě Falcon.
Zde je návod, jak do sebe nástroje zapadají:
- CrowdStrike Falcon Prevent – on-premiseProvádí vyhledávání hrozeb lokálně a také působí jako agent sběru dat pro cloudové systémy Falcon.
- CrowdStrike Falcon Insight – založené na clouduEDR, která koordinuje aktivity všech instancí Falcon Prevent pro podnik a prohledává nahraná data způsobem SIEM.
- CrowdStrike Falcon XDR – založené na clouduFunguje stejným způsobem jako Falcon Insight, ale také čerpá data o aktivitě z nástrojů třetích stran a může sdělovat automatizované reakce do Falcon discovery nebo jiných místních bezpečnostních systémů.
- CrowdStrike Falcon Intelligence – založené na clouduInteligence hrozeb kompilovaná CrowdStrike ze všech systémů EDR a XDR provozovaných pro klienty a zkušeností s aplikacemi třetích stran.
- CrowdStrike Falcon Overwatch – založené na clouduSpravovaná služba, která poskytuje systém Falcon Insight spolu s techniky a analytiky ke spuštění systému a poskytování manuálního vyhodnocení dat.