Как вместе работают Threat Hunting и Threat Intelligence
Threat Intelligence
Суть процесса TI заключается в том, чтобы собирать информацию о тактиках, техниках и процедурах злоумышленников и обогащать локальное решение класса Threat Intelligence Platform. Специалисты работают с данными, которые собираются за периметром компании, а целью является сработать на упреждение и донести актуальную и релевантную информацию об угрозах своим коллегам по цеху.
Уровни аналитических данных об угрозах
Согласно SANS в TI существует три уровня: тактический, операционный и стратегический.
На нижнем, тактическом уровне, обычно обмениваются детализированной, но быстро устаревающая информацией для поддержки процессов по обеспечению безопасности и реагированию на инциденты. Например, индикаторы компрометации, получаемые при обнаружении новой атаки. Заметка по поводу быстро устаревающей: истории известны случаи, когда злоумышленники не меняли свою инфраструктуру и сэмплы больше полугода, хотя уже были обнаружены многими вендорами и включены в чёрные списки.
Операционный уровень обычно включает данные о кампаниях и TTPs (тактиках, техниках и процедурах) более общего характера. Это может быть информация по атрибуции, а также о возможностях и намерениях злоумышленников.
Последний, стратегический уровень, помогает руководителям высшего звена принимать важные решения, касающиеся оценки рисков, распределения ресурсов и стратегии организации. Сюда входят тенденции в поведении киберпреступных групп, их мотивация и классификация.
IOC - индикаторы компрометации
Индикаторы компрометации (IOC) описывают инструментарий и инфраструктуру злоумышленников на языке, понятном как человеку, так и средствам защиты. Например, вот список выходных нод TOR-сети. Можете использовать его как идею для проверки гипотезы: есть ли сейчас входящие подключения в инфраструктуру с IP-адресов из этого списка?
Сколько живёт IOC
Не стоит забывать про такой параметр, как время жизни индикаторов компрометации. Ведь нередко в практике встречаются ситуации, когда пользователи не могут получить доступ к сайту, потому что домен был заблокирован на межсетевом экране по причине того, что год назад с данного домена распространялись вредоносные файлы. Бывает такое, что легитимные ресурсы взламывают, начинают распространять ВПО, домен попадает в списки индикаторов, но спустя время администраторы сайта успешно решают проблему с заражением и сайт снова становится легитимным. Осталось не забыть обновить список индикаторов, отправленных на блокировку.
Имеем, что поиск IOC в сети компании — это неотъемлемая часть процесса поиска киберугроз. При ответе на вопрос о компрометации инфраструктуры необходимо будет искать ретроспективно по событиям в SIEM, чтобы найти следы индикаторов компрометации, зафиксированные ранее в инфраструктуре. TI в киберразведке является поставщиком данных, а TH их использует для решения штатных задач.
Тактики, техники и процедуры кибератак
Противники имеют в своём распоряжении множество ресурсов. У них есть своя инфраструктура, свой инструментарий, любимые техники и подходы. Эти данные команда Threat Intelligence и ищет, собирая информацию о противнике. Также целесообразно отслеживать, фиксировать и группировать информацию о наших изощрённых противниках для создания их профилей. На основе этих профилей мы можем представить, как злоумышленник будет атаковать нашу инфраструктуру, и, соответственно, можем сделать вывод, как её эффективно защищать. В конце концов, именно в этом и состоит задача детектирования на основе разведданных. И, помимо индикаторов компрометации, нам как аналитикам команды поиска киберугроз интересен поведенческий момент в составленных профилях. А именно — какие тактики, техники и процедуры (ТТР) использует тот или иной злоумышленник.
Наблюдение за тенью
Слежка за какой-то группировкой и анализ её поведения в инцидентах аналогичны наблюдению за чьей-то тенью. Что вы увидите — зависит от множества факторов, таких как время суток, угол наклона солнца и т. д. После учёта этих переменных вы начинаете замечать нюансы в движении этой тени, особенности, которые отличают эту тень от других. В конце концов вы узнаёте о движении этой тени так много, что сможете выделить её из толпы теней. Однако вы никогда не будете уверены, что тень принадлежит конкретному человеку. В этот момент для наших целей это не имеет значения. Если что-то выглядит как утка и крякает как утка, значит, оно и атакует как утка. Действительно ли на другом конце сетевого кабеля каждый раз находится один и тот же человек (или даже группа), не имеет значения, если построенный профиль позволяет предсказывать будущую активность и обнаруживать её.
Поиск угроз часто оказывается неэффективным, если у вашей команды нет эффективного анализа угроз. Действенная разведка является ключевым фактором, помогающим организации обнаруживать современные атаки и защищаться от них.
Нередко специалисты используют матрицу ATT&CK от MITRE, так как на сегодняшний день это самая подробная база знаний о всевозможных техниках злоумышленников и руководство по поиску доказательств их применения. Матрица фокусируется на тактиках, техниках и процедурах, которые используют атакующие для достижения своих целей.
Нередко специалисты используют матрицу ATT&CK от MITRE, так как на сегодняшний день это самая подробная база знаний о всевозможных техниках злоумышленников и руководство по поиску доказательств их применения. Матрица фокусируется на тактиках, техниках и процедурах, которые используют атакующие для достижения своих целей.
Итоги
Понимая жизненный цикл атаки, аналитик поиска киберугроз на основе данных TI-аналитики ищет следы проникновения злоумышленников, чтобы сообщить об этом в IR. Но это плоский взгляд, более объёмная картина показана на рисунке ниже:
Здесь схематично изображены три процесса с различными этапами, которые взаимосвязаны между собой. Threat Intelligence поставляет Threat Hunting релевантные инфраструктуре данные об IOC и TTP, а в свою сторону получает обратную связь. Threat Hunting в свою очередь поставляет процессу Incident Response выявленные подозрения на инцидент информационной безопасности, а в свою сторону получает обратную связь. Incident Reponse в рамках процесса реагирования и получения новых данных отправляет их в Threat Intelligence за дополнительным контекстом, TI в свою очередь его предоставляет.
Команда разведки киберугроз вооружит аналитиков TH ответами на следующие вопросы:
Где искать: куда заглянуть, чтобы подтвердить или опровергнуть компрометацию сети?
Что искать: артефакты на хосте и в сети, следы вредоносного ПО, ключи реестра, различные утилиты и т. д.
Кого искать: какие группировки с наибольшей вероятностью могут атаковать нашу сеть и какие данные их интересуют?
Большинство данных можно почерпнуть из отчётов российских и зарубежных вендоров, а также используя решения класса Threat Intelligence Platform.
Где искать: куда заглянуть, чтобы подтвердить или опровергнуть компрометацию сети?
Что искать: артефакты на хосте и в сети, следы вредоносного ПО, ключи реестра, различные утилиты и т. д.
Кого искать: какие группировки с наибольшей вероятностью могут атаковать нашу сеть и какие данные их интересуют?
Большинство данных можно почерпнуть из отчётов российских и зарубежных вендоров, а также используя решения класса Threat Intelligence Platform.
Курсы по Threat Hunting и Threat Intelligence в Inseca
Освойте направление Threat Hunting за 5 недель и получите навыки выявления аномалий в инфраструктуре с помощью работы с гипотезами. Курс включает практику в реальных threat hunting системах и работу с актуальными кейсами. Подходит специалистам с опытом в IT/ИБ от 1 года, которые хотят стать аналитиками команды поиска киберугроз, аналитикам Threat Intelligence, аналитикам SOC (2-3 линия) и специалистам CIRT.
Или пройдите обучение поThreat Intelligence за 6 недель и научитесь выстраивать системный анализ киберугроз с применением современных инструментов и практик. Курс реализуется при участии BI.ZONE и CyberThreatTech, включает практику в реальных threat intelligence системах и работу с актуальными кейсами. Подходит специалистам ИТ/ИБ, SOC и аналитикам, желающим углубиться в методы киберразведки и выйти на новый профессиональный уровень.