Określenie Threat Hunting, czyli „polowanie na zagrożenia”, odnosi się do praktyki stosowanej wewnątrz dużych organizacji, gdzie zakłada się, że zawsze możemy być w trakcie trwającego złożonego ataku i musimy za wszelką cenę wykryć go na jak najwcześniejszym stadium, dowolną metodą. Jest to ważne założenie, ponieważ wyrafinowane zagrożenia mogą ominąć zautomatyzowane zabezpieczenia i pozostać nieuchwytne. Chociaż zautomatyzowane narzędzia bezpieczeństwa oraz analitycy SOC poziomu 1 i 2 powinni być w stanie poradzić sobie z około 80% zagrożeń, nadal powinniśmy wykryć i obsłużyć pozostałe 20% – zgodnie z zasadą Pereto. W sumie wystarczy nawet 1% najbardziej wyrafinowanych ataków, które zostaną niezauważone, by wyrządzić ogromne szkody. Skuteczny Threat Hunting pomaga skrócić czas od włamania do wykrycia, zmniejszając ilość szkód wyrządzonych przez atakujących.
Jak wiemy z raportów, cyberprzestępcy często czają się tygodnie, a nawet miesiące w sieci organizacji, zanim zostaną wykryci lub sami się ujawnią. Cierpliwie czekają, aby wykraść informacje lub zdobyć dane uwierzytelniające, żeby odblokować dalszy dostęp, przygotowując grunt pod poważne naruszenie bezpieczeństwa albo całkowitą kompromitację. Następnie, po ataku, im dłuższy czas między awarią systemu a wdrożeniem reakcji, tym więcej może to kosztować organizację.
Jak jest realizowany Threat Hunting?
Skuteczny program Cyber Threat Hunting opiera się na ilości i jakości danych w środowisku informatycznym. Innymi słowy, organizacja musi najpierw mieć wdrożony system bezpieczeństwa przedsiębiorstwa, gromadzący dane. Zebrane z niego informacje dostarczają cennych wskazówek dla łowców zagrożeń.
Threat Hunterzy wprowadzają czynnik ludzki do bezpieczeństwa przedsiębiorstwa, uzupełniając zautomatyzowane systemy. Są to wykwalifikowani specjaliści ds. bezpieczeństwa IT, którzy wyszukują, rejestrują, monitorują i neutralizują zagrożenia, zanim spowodują one poważne problemy. Idealnie byłoby, gdyby byli to analitycy bezpieczeństwa z działu IT firmy, którzy dobrze znają jej strukturę informatyczną i operacje.
Sztuka polowania na zagrożenia pozwala znaleźć i odkryć nieznane wcześniej artefakty ze środowiska. Wykracza poza tradycyjne technologie wykrywania, takie jak SIEM czy EDR. Łowcy zagrożeń przeczesują dostępne dane ze wszystkich systemów często w surowej postaci. Wyszukują ukryte złośliwe oprogramowanie lub osoby atakujące i szukają wzorców podejrzanej aktywności, które AI mogło przeoczyć lub które zostały uznane za wyjaśnione. Pomagają również załatać system bezpieczeństwa przedsiębiorstwa, aby zapobiec powtarzaniu się tego typu cyberataków.
Rodzaje Threat Huntingu
Threat Hunterzy zwykle zaczynają swoje poszukiwania od hipotezy opartej na danych bezpieczeństwa lub wyzwalaczu konkretnego alertu. Hipoteza lub wyzwalacz służą zarówno jako początek poszukiwań, jak i trampolina do bardziej dogłębnego zbadania potencjalnych zagrożeń. Dochodzenie i poszukiwanie zagrożeń możemy podzielić na kilka kategorii:
Structured Hunting
Zorganizowane polowanie opiera się na wskaźniku ataku (IoA) oraz taktykach, technikach i procedurach (TTP) atakującego. Wszystkie takie polowania zorganizowane i oparte są na TTP cyberprzestępców. W związku z tym analityk może zwykle zidentyfikować aktora odpowiedzialnego za zagrożenie, zanim jeszcze atakujący zdąży wyrządzić szkody w środowisku. Ten typ polowania wykorzystuje bardzo często platformę MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK), zarówno strukturę PRE-ATT&CK, jak i macierz Enterprise.
Unstructured Hunting
Nieustrukturyzowane polowanie jest inicjowane na podstawie wyzwalacza-alarmu, jednego z wielu wskaźników kompromitacji (IoC). Ten wyzwalacz często skłania analityka do szukania wzorców przed i po wykryciu. Kierując się swoim podejściem i metodyką, doświadczony Threat Hunter może badać zdarzenia wstecz tak daleko, jak pozwalają na to przechowywanie danych i wcześniej powiązane incydenty.
Situational Drived Hunting
Hipoteza sytuacyjna wywodzi się z wewnętrznej oceny ryzyka przedsiębiorstwa lub analizy trendów i słabych punktów charakterystycznych dla danego środowiska IT. Tropy zorientowane na aktorów pochodzą z danych o atakach ze źródeł publicznych, które po przejrzeniu ujawniają najnowsze TTP obecnych cyberzagrożeń. Łowca zagrożeń może następnie wyszukać te specyficzne zachowania w środowisku.
Modele wykorzystywane w Threat Huntingu
Intel-based Hunting
Threat Hunting oparty na modelach Threat Intelligence to reaktywny model działania, który wykorzystuje IoC ze źródeł informacji o zagrożeniach. Stamtąd polowanie odbywa się zgodnie z predefiniowanymi regułami ustanowionymi przez SIEM i analizę zagrożeń.
Polowania oparte na CTI mogą wykorzystywać wartości hashy, adresy IP, nazwy domen, sieci lub artefakty o hoście dostarczane przez platformy udostępniania danych wywiadowczych, takie jak zespoły reagowania CERT. Zautomatyzowany alert można wyeksportować i wprowadzić do SIEM jako ustrukturyzowane wyrażenie informacji o zagrożeniu (STIX) oraz zaufaną automatyczną wymianę informacji wywiadowczych (TAXII). Gdy SIEM otrzyma alert oparty na IoC, łowca zagrożeń może zbadać złośliwą aktywność przed i po ostrzeżeniu, aby zidentyfikować wszelkie zagrożenia w środowisku.
Hypothesis Hunting
Model polowania bazujący na hipotezie to z kolei model proaktywny, wykorzystujący bibliotekę TH. Jest zgodny ze strukturą MITRE ATT&CK i korzysta z globalnych podręczników wykrywania do identyfikowania zaawansowanych grup trwałych zagrożeń i ataków złośliwego oprogramowania.
Polowania oparte na hipotezach wykorzystują IoA i TTP atakujących. Łowca identyfikuje cyberprzestępców w oparciu o środowisko, domenę i zachowania związane z atakami, aby stworzyć hipotezę zgodną z ramami MITRE. Po zidentyfikowaniu zachowania łowca zagrożeń monitoruje wzorce działań w celu wykrycia, rozpoznania i wyizolowania zagrożenia. W ten sposób łowca może proaktywnie wykrywać cyberprzestępców, zanim zdążą wyrządzić szkody w środowisku.
Custom Hunting
Polowanie niestandardowe opiera się na świadomości sytuacyjnej i metodologiach polowań opartych na konkretnej branży. Identyfikuje anomalie w narzędziach SIEM i EDR, które można dostosować do wymagań klienta.
Polowania niestandardowe lub sytuacyjne są oparte na wymaganiach klientów z danej branży lub proaktywnie przeprowadzane w oparciu o sytuacje, np. geopolityczne, i ataki ukierunkowane. Takie działania mogą opierać się zarówno na modelach z danych wywiadowczych, jak i hipotezach, z wykorzystaniem informacji IoA i IoC.
Threat Hunting vs Threat Intelligence
Polowanie na zagrożenia wykorzystuje informacje zebrane przez Threat Intelligence, które stanowią podstawę ogólnosystemowych poszukiwań cyberprzestępców. Innymi słowy, Threat Hunting zaczyna się tam, gdzie kończy się Threat Intelligence. Co więcej, udane polowanie może wykryć zagrożenie, które nie zostało jeszcze zauważone w środowisku naturalnym, czyli takie, którego CTI nie zidentyfikuje.
Ponadto polowanie wykorzystuje Threat Intelligence jako trop lub pierwszą hipotezę dotyczącą ataku. Mogą to być artefakty pozostawione na komputerze przez złośliwe oprogramowanie, dziwny adres IP, e-maile phishingowe lub nieprawidłowy ruch sieciowy.