Polowanie na cyberzagrożenia
Polowanie na cyberzagrożenia to proaktywne działanie cyberobrony . Jest to „proces proaktywnego i iteracyjnego przeszukiwania sieci w celu wykrywania i izolowania zaawansowanych zagrożeń, które wymykają się istniejącym rozwiązaniom bezpieczeństwa”. Kontrastuje to z tradycyjnymi środkami zarządzania zagrożeniami, takimi jak zapory ogniowe , systemy wykrywania włamań (IDS), piaskownica złośliwego oprogramowania (bezpieczeństwo komputera) i systemy SIEM , które zwykle obejmują badanie danych opartych na dowodach po otrzymaniu ostrzeżenia o potencjalnym zagrożeniu zagrożenie.
Metodologie
, aby tworzyć hipotezy dotyczące potencjalnych zagrożeń, takich jak między innymi ruch boczny hakerów . Jednak aby być jeszcze bardziej skutecznym i wydajnym, polowanie na zagrożenia może być częściowo zautomatyzowane lub wspomagane maszynowo. W takim przypadku analityk korzysta z oprogramowania, które wykorzystuje uczenie maszynowe oraz analizę zachowań użytkowników i podmiotów (UEBA), aby informować analityka o potencjalnych zagrożeniach. Następnie analityk bada te potencjalne zagrożenia, śledząc podejrzane zachowania w sieci. Tak więc polowanie jest procesem iteracyjnym, co oznacza, że musi być przeprowadzane w sposób ciągły w pętli, zaczynając od hipotezy.
- Oparte na analizie: „Uczenie maszynowe i UEBA, wykorzystywane do opracowywania zagregowanych ocen ryzyka, które mogą również służyć jako hipotezy łowieckie”
- Oparte na świadomości sytuacyjnej: „Analiza klejnotów koronnych, oceny ryzyka przedsiębiorstwa, trendy na poziomie firmy lub pracownika”
- Intelligence-Driven: „Raporty z analizy zagrożeń, źródła informacji o zagrożeniach, analiza złośliwego oprogramowania, skanowanie pod kątem luk w zabezpieczeniach”
Analitycy badają swoją hipotezę, przeglądając ogromne ilości danych o sieci. Wyniki są następnie przechowywane, dzięki czemu można je wykorzystać do ulepszenia zautomatyzowanej części systemu wykrywania i służyć jako podstawa do przyszłych hipotez.
Model poziomu dojrzałości wykrywania (DML) wyraża wskaźniki zagrożenia, które można wykryć na różnych poziomach semantycznych. Wskaźniki o wysokim poziomie semantyki, takie jak cel i strategia lub taktyki, techniki i procedury (TTP), są bardziej wartościowe do zidentyfikowania niż wskaźniki o niskim poziomie semantyki, takie jak artefakty sieciowe i wskaźniki atomowe, takie jak adresy IP. [ potrzebne źródło ] Narzędzia SIEM zwykle dostarczają wskaźników na stosunkowo niskim poziomie semantycznym. Istnieje zatem potrzeba opracowania narzędzi SIEM, które mogą dostarczać wskaźników zagrożeń na wyższych poziomach semantycznych.
Wskaźniki
Istnieją dwa rodzaje wskaźników:
- Wskaźnik kompromisu — wskaźnik kompromisu (IOC) informuje, że działanie zostało wykonane i jesteś w trybie reaktywnym. Ten typ IOC odbywa się poprzez spojrzenie do wewnątrz na własne dane z dzienników transakcji i/lub danych SIEM. Przykłady IOC obejmują nietypowy ruch sieciowy, nietypową aktywność konta użytkownika uprzywilejowanego, anomalie logowania, wzrost wolumenu odczytów bazy danych, podejrzane zmiany w rejestrze lub plikach systemowych, nietypowe żądania DNS i ruch sieciowy wykazujący zachowanie inne niż ludzkie. Tego typu nietypowe działania pozwalają zespołom zarządzającym bezpieczeństwem wykryć złośliwe podmioty na wcześniejszym etapie cyberataku .
- Indicator of Concern - Korzystając z danych wywiadowczych Open Source (OSINT), dane mogą być zbierane z publicznie dostępnych źródeł i wykorzystywane do wykrywania cyberataków i polowania na zagrożenia.
Taktyki, techniki i procedury (TTP)
Instytut SANS identyfikuje następujący model dojrzałości polowania na zagrożenia:
- Początkowy — na poziomie dojrzałości 0 organizacja opiera się głównie na automatycznym raportowaniu i zbiera niewiele lub nie zbiera żadnych rutynowych danych.
- Minimalne — na poziomie dojrzałości 1 organizacja obejmuje wyszukiwanie wskaźników analizy zagrożeń. Ma średni lub wysoki poziom rutynowego zbierania danych.
- Proceduralna – na poziomie dojrzałości 2 organizacja postępuje zgodnie z procedurami analitycznymi stworzonymi przez innych. Charakteryzuje się wysokim lub bardzo wysokim poziomem rutynowego zbierania danych.
- Innowacyjność — na poziomie dojrzałości 3 organizacja tworzy nowe procedury analizy danych. Charakteryzuje się wysokim lub bardzo wysokim poziomem rutynowego zbierania danych.
- Przywództwo — na poziomie dojrzałości 4 automatyzuje większość udanych procedur analizy danych. Charakteryzuje się wysokim lub bardzo wysokim poziomem rutynowego zbierania danych.
Czas oczekiwania
Czas przebywania wskazuje cały okres incydentu bezpieczeństwa ( początkowe naruszenie bezpieczeństwa do wykrycia i pełnego oczyszczenia ) lub „średni czas do wykrycia” (od początkowego naruszenia bezpieczeństwa do wykrycia). Według Mandiant M-Trends z 2022 r. cyberprzestępcy działają niewykryci średnio przez 21 dni (spadek o 79% w porównaniu z 2016 r.), ale różni się to znacznie w zależności od regionu. Według Mandiant czas przebywania może wynosić zaledwie 17 dni (w obu Amerykach ) lub nawet 48 dni (w regionie EMEA ). Badanie wykazało również, że 47% ataków jest wykrywanych dopiero po powiadomieniu od strony zewnętrznej.
Przykładowe raporty
Przykładowe polowanie na zagrożenia
Metodologie wykrywania zagrożeń
Wewnątrz obwodu sieci
- Reactive Threat Hunting — ta metoda jest wyzwalana przez złośliwe zdarzenie, zwykle po wykryciu naruszenia danych lub kradzieży. Wysiłki zazwyczaj koncentrują się na kryminalistyce i środkach zaradczych.
- Proactive Threat Hunting — ta metoda aktywnie wyszukuje trwające złośliwe zdarzenia i działania w sieci, celem jest wykrycie trwającego cyberataku. Wysiłki są zazwyczaj skoncentrowane na wykrywaniu i naprawianiu.
Poza granicami sieci
- Polowanie na zagrożenia zewnętrzne — ta metoda proaktywnie wyszukuje złośliwą infrastrukturę cyberprzestępców w celu mapowania i przewidywania miejsc, w których mogą wystąpić cyberataki, w celu przygotowania strategii obronnych. Wysiłki zazwyczaj koncentrują się na rozpoznaniu zagrożeń cybernetycznych, mapowaniu powierzchni zagrożeń i monitorowaniu zagrożeń stron trzecich.