Шесть шагов к успешному хантингу

Мир ИБ зачастую напоминает игру в кошки-мышки. Пока вендоры модернизируют свои СЗИ для более эффективной нейтрализации атак, злоумышленники уже изобретают и начинают использовать новые тактики и техники. Согласно отчету Data Breach Investigations Report от компании Verizon, сложные угрозы могут скрываться в сети месяцами, на протяжении которых атакующие незаметно крадут ценную информацию или компрометируют данные. Когда традиционные инструменты мониторинга обнаруживают эти угрозы и генерируют алерт, зачастую бывает уже слишком поздно.

Хантинг за угрозами может помочь решить эти проблемы. Специалисты по хантингу не ждут алерта, а целенаправленно ищут следы компрометации, исходя из предположения, что злоумышленники уже проникли в сеть.

В данной статье рассказывается, что такое хантинг, почему он так важен и как внедрить эффективные стратегии проактивного поиска угроз с помощью платформы SentinelOne.

Что такое хантинг?

Некоторые специалисты подразумевают под хантингом «реагирование на инциденты компьютерной безопасности непосредственно до их обнаружения». Другие же считают, что хантинг — это «обнаружение угроз с помощью инструментов реагирования на инциденты» или даже «проверка предположений о взломе в реальной ИТ-среде».

Для команды SentinelOne хантинг – это процесс поиска и обнаружения угроз в корпоративной сети и на конечных устройствах до того, как будет полностью реализована атака или злоумышленники достигнут своих целей, обойдя установленные СЗИ.

Специалисты по хантингу не полагаются лишь на защитные решения для обнаружения атакующих.

В отличие от команд SOC и команд по реагированию на инциденты, «охотники» не только реагируют на угрозы — они их активно ищут. Процесс хантинга заключается в выдвижении гипотез о существовании потенциальных угроз. Эти гипотезы затем подтверждаются или опровергаются на основании анализа полученных данных.

Хантинг совсем не похож на реагирование на выявленные инциденты или цифровую форензику. Цель двух последних практик — определить, что произошло в сети, когда взлом был обнаружен. Хантинг, напротив, направлен на поиск угроз, которые могли проскользнуть мимо СЗИ незамеченными.

Хантинг также отличается от пентестинга и оценки уязвимости сети, которые имитируют атаку и помогают узнать, что может произойти в случае взлома. Специалисты по хантингу же исходят из того, что злоумышленник уже находится в сети, и ищут индикаторы компрометации, следы латерального движения и другие явные признаки атаки.

Почему нужно использовать хантинг?

В среднем киберпреступники проводят в сети 191 день, прежде чем их обнаружат. Этого времени более чем достаточно, чтобы нанести ущерб.

Проще говоря, если специально не искать злоумышленников в сети, то можно никогда и не узнать, что они там находятся. Что если киберпреступники возьмут контроль над системой до того, как ИБ-специалисты обнаружат их присутствие? Чтобы не переживать об этом, как раз и нужна эффективная программа хантинга.

Хантинг — это итеративный, адаптивный и методичный процесс с активным участием ИБ-специалистов. Он эффективно сокращает масштабы потенциального ущерба и риски для организации в целом, поскольку его проактивность позволяет оперативнее реагировать на инциденты безопасности. При этом вероятность того, что злоумышленник сможет навредить системам и данным организации, значительно уменьшается.

Благодаря хантингу организация становится менее зависима от внешних вендоров СЗИ, которые могут не очень хорошо знать, как уcтроена сеть организации или как себя ведут ее пользователи, в отличие от собственной команды для проактивного поиска угроз.

Наконец, хантинг способствует изучению своих сетей, систем, приложений и пользователей.

Знание собственной специфики всех этих компонентов крайне важно для построения надежной системы киберзащиты.

Шесть шагов к созданию эффективного процесса хантинга

Как создать идеальный и эффективный процесс поиска угроз? Дело в том, что идеального процесса не существует. Инициатива по внедрению практик хантинга должна представлять собой итеративную комбинацию процессов, инструментов и методов, которые постоянно модернизируются и адаптируются в соответствии с требованиями организации. Ниже приведены шесть шагов, которые помогут разработать эффективный процесс проактивного поиска угроз.

1. Собираем правильные данные

Без данных нет хантинга, и точка!

Любой успешный хантинг за угрозами начинается с наличия правильных данных, которые позволяют на правильные вопросы. Без правильных данных вы не сможете провести успешный и содержательный хантинг. Собираемые телеметрические данные должны охватывать широкий спектр действий и поведения на различных ОС и служить основой для всех операций хантинга. Телеметрия устройств должна включать такие данные, как паттерны сетевого трафика, хэши файлов, процессы, действия пользователей, сетевую активность, файловые операции, данные о действиях по активным сессиям, системные журналы и журналы событий, запрещенные соединения и активность периферийных устройств.

Однако одних необработанных данных недостаточно: у них должен быть контекст. Очень важно знать, какие данные нужно комбинировать, коррелировать и обогащать. В идеале нужны инструменты, которые дают четкое представление о вышеперечисленных данных и автоматически контекстуализируют и коррелируют различные события в единый детект. Это сводит ручной перебор сырых лог-файлов к минимуму.

Технология SentinelOne Storyline в реальном времени коррелирует события в связанный детект и дополняет их контекстной информацией, помогая аналитиком получить полную историю того, что произошло в корпоративной среде.

Каждый автономный агент Sentinel выстраивает модель инфраструктуры конечной точки и ее текущего поведения. Каждое событие истории является частью соответствующего сторилайна. Благодаря этому можно в точности понять, что произошло на конечном устройстве и почему это произошло. SentinelOne автоматически коррелирует взаимосвязанные действия в единые алерты, которые дают информацию на уровне целой кампании злоумышленника, а не на уровня отдельных действий. Это помогает сократить количество операций, выполняемых вручную, справиться с усталостью от алертов и значительно снизить квалификационные требования к аналитикам SOC, позволяя даже менее опытным коллегам приносить пользу.

Storyline — сценарий развития атаки в интерфейсе SentinelOne

2. Определяем, какие процессы являются нормой в вашей корпоративной среде

Специалистам по хантингу нужно иметь точное представление о профиле организации и ее бизнес-процессах, которые могут привлечь злоумышленников, например, найм персонала или приобретение новых активов и компаний.

Важнейший компонент хантинга – сбор данных и их анализ для определения «нормы» и выявления аномалий в сети. Чтобы украсть учетные данные, в ходе фишинговых кампаний злоумышленники часто пытаются выдать себя за обычных пользователей. В связи с этим для расследования подозрительных случаев запроса доступа к файлам или входа в систему будет полезно знать, как обычно ведут себя пользователи.

Зная это, а также то, какие корпоративные данные представляют ценность для злоумышленников и где они находятся, можно выдвигать гипотезы, например: «Пытается ли злоумышленник украсть данные, расположенные в определенной локации?» Чтобы проверить эту гипотезу, можно собрать данные, которые отвечают на вопрос «Какие пользователи получали доступ к этой локацию впервые за последние х дней?»

В поведенческом движке SentinelOne, работающем на основе искусственного интеллекта, используются передовые методы анализа данных, которые позволяют отличить обычные повседневные ИТ-операции от реальных угроз.

Благодаря этому аналитики видят полную картину и дополнительный контекст, который помогает понять стандартное поведение пользователей и выявить аномальное. Алерт генерируется при обнаружении повторяющихся действий, например, неоднократных попыток войти в систему из страны, которая типично не является нормальной для вашей среды, что может указывать на атаку с перебором паролей. Это позволяет обнаруживать угрозы и охотиться за ними быстрее и точнее. SentinelOne позволяет хранить исторические данные от 14 до 365 и более дней, делая их доступными для запросов практически в реальном времени. Таким образом, команда по хантингу может анализировать данные за большие промежутки времени.

3. Выдвигаем гипотезу

Часто хантинг начинается с получения данных от источника информации, который содержит индикаторы компрометации (IoC), хэши, IP-адреса, доменные имена, артефакты сети или хостов, которые содержатся, например, в фидах киберразведки. Хантинг также может быть спровоцирован инцидентом: при любом происшествии нужно выяснить, когда и как оно произошло. Однако не все угрозы являются известными. Существует очень много неизвестных угроз, поэтому в хантинге нельзя полагаться только на данные об известных инцидентах.

В хантинге, основанном на гипотезе, сначала выдвигается гипотеза, или обоснованное предположение о какой-либо активности, которая может иметь место в корпоративной среде. Открытые инструменты и фреймворки, например, MITRE ATT&CK, достаточно эффективны для этого, если знать, что искать.

Это приводит нас к ключевому шагу хантина: формированию и проверке гипотезы. Выдвигая предположения, специалисты по хантингу обычно полагаются на инструменты и фреймворки, данные соцсетей и киберразведки, а также на свой опыт. Вот некоторые стандартные вопросы, которые может задать специалист: «Если бы я хотел взломать эту конкретную сеть, как бы я это сделал? К чему попытался бы получить доступ? Каковы были бы мои цели?». И несколько других вопросов: «Почему в корпоративной сети происходит зашифрованная передача данных по HTTPS или FTP в страны Южной Америки?» или «Почему так много DNS-запросов с одной машины?»

Для разработки гипотез можно использовать следующие источники:

  • Фреймворк MITRE ATT&CK: обширная база знаний о тактиках, техниках и процедурах злоумышленников. Изучение техник MITRE и их имитация в тестовой среде могут служить базой для разработки гипотез.
  • Отчеты киберразведки: полезные сведения о техниках и процедурах, основанные на реальных инцидентах безопасности. Систематический анализ таких отчетов помогает выдвигать множество гипотез для хантинга.
  • Twitter, тематические блоги и конференции: новые техники осуществления атак, которые только начинают использоваться киберпреступниками, зачастую впервые упоминаются в блогах и на конференциях. Своевременно изучая эту информацию, специалисты по хантингу смогут подготовиться к атаке до того, как новая техника получит широкое распространение.
  • Тестирование на проникновение: злоумышленники, как правило, используют те же инструменты, что и опытные пентестеры. Таким образом, изучение практик пентеста — это кладезь знаний для формирования гипотез.

Запатентованный модуль SentinelOne Deep Visibility позволяет быстро и итеративно запрашивать телеметрические данные с конечных точек и переключаться между ними для проверки гипотез.

SentinelOne автоматически коррелирует все связанные с угрозой процессы, файлы, треды, события и многое другое. Например, какой-то процесс вносит изменения в другой путем инъекции кода. При выполнении запроса можно в деталях увидеть все взаимодействия между исходным, целевым и родительским процессами. Это позволяет быстро понять первопричину угрозы и весь ее контекст, взаимосвязи и относящуюся к ней активность. Аналитики также могут использовать исторические данные для анализа развития APT-кампаний во времени и эффективной генерации гипотез.

Удобный язык хантинга позволяет быстро создавать глубокие запросы для анализа. Одним из лучших инструментом для команд по хантингу стал фреймворк MITRE ATT&CK. SentinelOne позволяет быстро и легко выполнять хантинг по техникам, тактикам и процедурам из базы MITRE ATT&CK. Для начала поиска нужно лишь ввести идентификатор MITRE ID интересующей нас техники.

Можно также использовать библиотеку запросов для хантинга, подобранную аналитиками SentinelOne на основании данных из множества открытых, платных и специализированных источников.

Эти обобщенные запросы возникли из гипотез, подтвержденных исследованиями. Например, запуск неуправляемой оболочки PowerShell и ее скриптов без цифровой подписи — это аномалия для большинства ИТ-сред, обычно требующая дополнительного расследования. Приведенные выше примеры не являются вредоносными сами по себе, но они вписываются в процесс хантинга, так как представляют отклонение от нормы.

Библиотека хантинговых запросов SentinelOne

4. Расследуем и анализируем потенциальные угрозы

Следующий шаг после создания гипотезы — изучить различные инструменты и техники, что позволит обнаружить новые образцы вредоносного поведения и раскрыть TTP злоумышленников. Если предположение оказалось верным и в сети была найдена угроза, специалист по хантингу должен незамедлительно проверить ее природу, степень воздействия и масштаб.

Безусловно, хантинг начинается с человека, но инструменты, такие как SentinelOne, повышают эффективность расследования. Благодаря технологии Storyline модуль Deep Visibility позволяет оперативнее находить угрозы. Каждый автономный агент Sentinel отслеживает активность на хостах и их текущее поведение. Storyline ID — это идентификатор, присваиваемый группе связанных событий на конечной точке. При обнаружении аномального события, которое может представлять угрозу, можно ввести Storyline ID и быстро найти все связанные с ним процессы, файлы, треды, события и другие данные за один запрос.

Благодаря Storyline, модуль Deep Visibility предоставляет полные и контекстуализированные данные. Они помогают сразу увидеть первопричину угрозы и весь ее контекст, взаимосвязи и относящуюся к ней активность.

Storyline позволяет специалистам по хантингу полностью разобраться в том, что произошло на конечной точке, и увидеть полную цепочку событий, экономя время команд ИБ.

5. Оперативно реагируем и устраняем угрозы

После обнаружения нового набора TTP необходимо эффективно отреагировать и устранить угрозу.

Для нейтрализации атаки должны быть предприняты как краткосрочные, так и долгосрочные меры. Основная цель краткосрочного реагирования — немедленно остановить атаку и не допустить ущерб от возможной угрозы. Однако также очень важно определить причину угрозы. Это позволит повысить киберустойчивость организации и избежать подобных атак в будущем.

С SentinelOne аналитики могут принять все необходимые меры для реагирования на угрозу и ее устранения в один клик.

Действия по устранению угрозы SentinelOne
Действия по устранению угрозы SentinelOne

Одним щелчком мыши можно откатить назад действия злоумышленника или выполнить другие доступные операции по устранению последствий атаки. Функция отката автоматически восстанавливает файлы, удаленные или поврежденные программами-вымогателями, до их незараженного состояния без необходимости перезаливки образов.

Устранение последствий атаки в SentinelOne
Устранение последствий атаки в SentinelOne

Угроза может быть добавлена в группу исключений или отмечена как устраненная. Также можно добавить примечания, объясняющие причину принятых решений. Полноценный удаленный shell (Full Remote Shell) помогает службам ИБ быстро расследовать атаки, собирать форензику и восстанавливать систему после взлома независимо от того, где находятся скомпрометированные конечные точки. Эта возможность исключает неопределенность и значительно сокращает время простоя после атаки.

Полноценный удаленный шел

SentinelOne также может заблаговременно обнаруживать угрозы с помощью автоматизированных алгоритмов машинного обучения и ИИ. Они детально проверяют файлы, документы, электронную почту, учетные данные, браузеры, полезные нагрузки и запоминающие устройства, не используя сигнатуры, и таким образом помогают предупредить атаки. Они также могут автоматически изолировать устройство от сети при обнаружении на нем потенциальной угрозы или атаки.

6. Обогащаем и автоматизируем для будущих событий

Наконец, успешный хантинг формирует базу для улучшения и обогащения автоматизированной аналитики. Последний этап хантинга — применение полученных в ходе него знаний для доработки и улучшения EDR-систем. Таким образом, защита организации усиливается на глобальном уровне благодаря знаниям, полученным при расследовании.

Продвинутые техники хантинга будут стараться автоматизировать как можно больше шагов. Например, мониторинг поведения пользователей и его сравнение с собой для выявления аномалий гораздо эффективнее, чем выполнение отдельных запросов. Однако на практике обычно необходимо применять оба варианта. Это легко реализуемо при использовании таких решений, как SentinelOne, включающих большой набор нативных API для интеграции с СЗИ организации.

Платформа SentinelOne разработана для снижения нагрузки на команду ИБ во всех отношениях. По этой причине в ней есть инструменты, позволяющие настраивать и запускать собственные автоматические запросы для хантинга.

Настраиваемые правила обнаружения Storyline Auto-Response (STAR) позволяют превратить запросы Deep Visibility в автоматизированные правила хантинга, которые при обнаружении совпадений будут генерировать алерты и запускать выбранные меры реагирования. STAR позволяет гибко настраивать правила для алертов в соответствии со спецификой корпоративной инфраструктуры, что помогает оптимизировать систему оповещения и приоритизацию событий.

SentinelOne также может автоматически устранять угрозы на основе политик, назначенных в отношении подозрительных и вредоносных угроз, или изолировать конечные точки от сети. Алерты генерируются практически сразу же и отображаются в журнале событий в консоли управления. Их можно отправлять по Syslog, а сам журнал использовать для приоритизации угроз и интеграции с SIEM.

После выполнения запроса в Deep Visibility и расследования можно выбрать меры автореагирования, которые будут применяться при обнаружении угрозы, соответствующей запросу. Таким образом, решение SentinelOne можно настроить для автоматической и круглосуточной защиты инфраструктуры от любых угроз в соответствии с потребностями организации. Чтобы обойти превентивные СЗИ, злоумышленники автоматизируют выполнение своих техник, тактик и процедур. В свою очередь, командам ИБ тоже нужно автоматизировать свои процессы, чтобы успевать за развитием современных атак.

Заключение

Внедрение хантинга может дать организации множество преимуществ, включая проактивное выявление инцидентов, более быстрое реагирование на них и улучшенную систему безопасности. Хантинг призван сократить объем работы загруженных аналитиков и в то же время не дать команде SOC отстать от известных и неизвестных злоумышленников. SentinelOne прост в использовании, обеспечивает мониторинг, оперативность и контекстное понимание происходящего. Благодаря этому хантинг становится более эффективным, чем когда-либо прежде.

Хотите узнать больше о SentinelOne?

Закажите расчет стоимости, презентацию или тестирование SentinelOne прямо сейчас.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/