Охота за киберугрозами

Охота за киберугрозами – это активная деятельность по киберзащите . Это «процесс упреждающего и итеративного поиска в сетях для обнаружения и изоляции сложных угроз, которые обходят существующие решения безопасности». ^[1] Это контрастирует с традиционными мерами управления угрозами, такими как брандмауэры , системы обнаружения вторжений (IDS), песочница для вредоносных программ (компьютерная безопасность) и системы SIEM , которые обычно включают в себя исследование доказательных данных после того, как было получено предупреждение о потенциальной угрозе. угроза. ^[2]^[3]

Методологии

Обзор

В последние годы в мире наблюдается тревожный рост числа и серьезности кибератак, утечек данных, заражения вредоносным ПО и случаев онлайн-мошенничества. По данным компании SonicWall, занимающейся кибербезопасностью и искусственным интеллектом, количество атак программ-вымогателей во всем мире выросло на 105%. крупные корпорации по всему миру стали жертвами громких утечек данных, при этом средняя стоимость утечки данных сейчас оценивается в 4,24 миллиона долларов По данным IBM, . ^[4]

Методики поиска киберугроз

Охота за угрозами традиционно представляет собой ручной процесс, в ходе которого аналитик безопасности анализирует различную информацию о данных, используя свои собственные знания и знакомство с сетью, чтобы создать гипотезы о потенциальных угрозах, таких как, помимо прочего, горизонтальное перемещение субъектов угроз . ^[5] Однако, чтобы быть еще более эффективным и действенным, поиск угроз можно также частично автоматизировать или использовать с помощью машин. В этом случае аналитик использует программное обеспечение, которое использует машинное обучение и аналитику поведения пользователей и объектов (UEBA), чтобы информировать аналитика о потенциальных рисках. Затем аналитик исследует эти потенциальные риски, отслеживая подозрительное поведение в сети. Таким образом, поиск — это итеративный процесс, а это означает, что он должен выполняться непрерывно в цикле, начиная с гипотезы.

На основе аналитики: «Машинное обучение и UEBA, используемые для разработки агрегированных оценок риска, которые также могут служить в качестве охотничьих гипотез».
Ситуационная осведомленность: «Анализ драгоценности короны, оценка корпоративных рисков, тенденции на уровне компании или сотрудников»
На основе аналитики: «Отчеты об угрозах, каналы данных об угрозах, анализ вредоносных программ, сканирование уязвимостей».

Аналитики исследуют свою гипотезу, просматривая огромные объемы данных о сети. Затем результаты сохраняются, чтобы их можно было использовать для улучшения автоматизированной части системы обнаружения и послужить основой для будущих гипотез.

Модель уровня зрелости обнаружения (DML) ^[6] Выражает индикаторы угрозы, которые могут быть обнаружены на разных смысловых уровнях. Высокие семантические индикаторы, такие как цель и стратегия или тактика, методы и процедуры (TTP), более ценны для выявления, чем низкие семантические индикаторы, такие как сетевые артефакты и атомарные индикаторы, такие как IP-адреса. ^[7]^[8] Инструменты SIEM обычно предоставляют индикаторы только на относительно низких семантических уровнях. Поэтому существует необходимость в разработке инструментов SIEM, которые смогут предоставлять индикаторы угроз на более высоких семантических уровнях. ^[9]

Индикаторы

Существует два типа индикаторов:

Индикатор компрометации . Индикатор компрометации (IOC) сообщает вам, что действие произошло и вы находитесь в реактивном режиме. Этот тип IOC выполняется путем анализа ваших собственных данных из журналов транзакций и/или данных SIEM. Примеры IOC включают необычный сетевой трафик, необычную активность учетной записи привилегированного пользователя, аномалии входа в систему, увеличение объемов чтения базы данных, подозрительные изменения реестра или системных файлов, необычные запросы DNS и веб-трафик, демонстрирующий нечеловеческое поведение. Подобные необычные действия позволяют группам администрирования безопасности обнаруживать злоумышленников на более ранних этапах процесса кибератаки .
Индикатор обеспокоенности: с помощью разведки с открытым исходным кодом (OSINT) можно собирать данные из общедоступных источников и использовать их для обнаружения кибератак и поиска угроз.

Тактика, методы и процедуры (TTP)

Институт SANS определяет модель зрелости поиска угроз следующим образом: ^[10]

Начальный. На уровне зрелости 0 организация в основном полагается на автоматизированную отчетность и практически не занимается сбором рутинных данных .
Минимальный — на уровне зрелости 1 организация включает поиск показателей аналитики угроз. Он имеет умеренный или высокий уровень рутинного сбора данных.
Процедурный. На уровне зрелости 2 организация следует процедурам анализа, созданным другими. Он имеет высокий или очень высокий уровень регулярного сбора данных.
Инновационный. На уровне зрелости 3 организация создает новые процедуры анализа данных. Он имеет высокий или очень высокий уровень регулярного сбора данных.
Лидерство — на уровне зрелости 4 автоматизирует большинство успешных процедур анализа данных. Он имеет высокий или очень высокий уровень регулярного сбора данных.

Время пребывания

Время задержки указывает либо на весь период инцидента безопасности ( от первоначального взлома до обнаружения и полной очистки ), либо на «среднее время обнаружения» (от первоначального взлома до обнаружения). Согласно отчету Mandiant M-Trends за 2022 год, кибератаки действуют незамеченными в среднем 21 день (сокращение на 79% по сравнению с 2016 годом), но этот показатель сильно варьируется в зависимости от региона. ^[11] По мандианту, время пребывания ^[12] может составлять всего 17 дней (в Северной и Южной Америке ) или до 48 дней (в регионе EMEA ). ^[11] Исследование также показало, что 47% атак обнаруживаются только после уведомления от внешней стороны.

Примеры отчетов

Seedworm: группа компрометирует государственные учреждения, нефтегазовую отрасль, неправительственные организации, телекоммуникационные компании и ИТ-компании

Пример поиска угроз

Охота на угрозы с использованием брандмауэров DNS и обогащения данных

Методики поиска угроз

Внутри периметра сети

Реактивный поиск угроз. Этот метод запускается вредоносным событием, обычно после обнаружения утечки или кражи данных. Усилия обычно сосредоточены на судебно-медицинской экспертизе и исправлении ситуации.
Превентивный поиск угроз. Этот метод активно выявляет текущие вредоносные события и действия внутри сети. Цель состоит в том, чтобы обнаружить происходящую кибератаку. Усилия обычно сосредоточены на обнаружении и устранении нарушений.

За пределами периметра сети

Охота за внешними угрозами. Этот метод активно ищет инфраструктуру злонамеренных субъектов угроз, чтобы составить карту и предсказать, где могут возникнуть кибератаки, чтобы подготовить защитные стратегии. Усилия обычно сосредоточены на разведке киберугроз, картировании поверхностей угроз и мониторинге сторонних рисков.

См. также

Ссылки

^ «Охота на киберугрозы: как эта стратегия обнаружения уязвимостей дает аналитикам преимущество — TechRepublic» . Техреспублика . Проверено 7 июня 2016 г.
^ «Цепочка убийств MITRE» . Проверено 27 августа 2020 г.
^ «Платформа анализа угроз для борьбы с киберпреступниками» . Проверено 17 февраля 2019 г.
^ «Будущее кибербезопасности и искусственного интеллекта: защита вашего цифрового мира» . Голубые большие данные . Проверено 13 октября 2023 г.
^ «Аналитика киберугроз (CTI) в двух словах» . Medium.com . Проверено 27 июля 2020 г.
^ Стиллионс, Райан (2014). «Модель DML» . Блог Райана Стиллионса по безопасности .
^ Бьянко, Дэвид (17 января 2014 г.). «Пирамида боли» . Detect-respond.blogspot.com . Проверено 1 июля 2023 г.
^ Бьянко, Дэвид. «Пирамида боли» . Институт САНС . Проверено 1 июля 2023 г.
^ Бромандер, Сири (2016). «Семантическое моделирование киберугроз» (PDF) . Семантические технологии для разведки, обороны и безопасности (STIDS 2016).
^ Ли, Роберт. «Кто, что, где, когда и как осуществлять эффективный поиск угроз» . Институт САНС . Проверено 29 мая 2018 г.
^ Перейти обратно: ^а ^б «Мандианские M-тренды 2022» (PDF) . Мандиант . стр. 7, 9, 12, 16. Архивировано из оригинала 13 мая 2022 г. Проверено 16 мая 2022 г.
^ В отчете Mandiant M-Trends время пребывания «рассчитывается как количество дней, в течение которых злоумышленник находится в среде жертвы до того, как он будет обнаружен» , что соответствует «среднему времени обнаружения».

[1] «Охота на киберугрозы: как эта стратегия обнаружения уязвимостей дает аналитикам преимущество — TechRepublic» . Техреспублика . Проверено 7 июня 2016 г.

[2] «Цепочка убийств MITRE» . Проверено 27 августа 2020 г.

[3] «Платформа анализа угроз для борьбы с киберпреступниками» . Проверено 17 февраля 2019 г.

[4] «Будущее кибербезопасности и искусственного интеллекта: защита вашего цифрового мира» . Голубые большие данные . Проверено 13 октября 2023 г.

[5] «Аналитика киберугроз (CTI) в двух словах» . Medium.com . Проверено 27 июля 2020 г.

[6] Стиллионс, Райан (2014). «Модель DML» . Блог Райана Стиллионса по безопасности .

[7] Бьянко, Дэвид (17 января 2014 г.). «Пирамида боли» . Detect-respond.blogspot.com . Проверено 1 июля 2023 г.

[8] Бьянко, Дэвид. «Пирамида боли» . Институт САНС . Проверено 1 июля 2023 г.

[9] Бромандер, Сири (2016). «Семантическое моделирование киберугроз» (PDF) . Семантические технологии для разведки, обороны и безопасности (STIDS 2016).

[10] Ли, Роберт. «Кто, что, где, когда и как осуществлять эффективный поиск угроз» . Институт САНС . Проверено 29 мая 2018 г.

[Mandiant_M-Trends_Report-11] Перейти обратно: ^а ^б «Мандианские M-тренды 2022» (PDF) . Мандиант . стр. 7, 9, 12, 16. Архивировано из оригинала 13 мая 2022 г. Проверено 16 мая 2022 г.

[12] В отчете Mandiant M-Trends время пребывания «рассчитывается как количество дней, в течение которых злоумышленник находится в среде жертвы до того, как он будет обнаружен» , что соответствует «среднему времени обнаружения».

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]