TH - что такое, и как внедрить

Greyman · 30.12.2020, 17:42

Здравствуйте, уважаемые читатели! Не секрет, что безопасность виртуальной сети - проблема, которая беспокоит всех работников сферы IT. Некоторые компании внедрили у себя процесс под названием threat hunting (TH), но результаты недавних исследований неутешительны. По данным SANS 2019 Threat Hunting Survey, больше половины организаций используют ТН не по назначению. Сотрудники лишь реагируют на оповещения, которая дает система, и больше ничего не предпринимают. Подобные действия относятся к сфере управления событиями и оповещениями (event and alert management), а никак не к TH. Сегодня мы поговорим о том, как правильно использовать ТН в работе, ведь его основное предназначение - поиск виртуальных взломщиков.

TH - что такое, и как внедрить

Под словосочетанием “threat hunting” скрывается система проактивного поиска следов взлома виртуальной сети. Также оно выявляет наличие вредоносных программ, которые оказались не по зубам Вашей стандартной системе защиты. Воспользовавшись ТН, Вам не придется томиться в ожидании, пока сработает защитный сенсор. Вы можете отправиться на поиски хакеров самостоятельно. Для этого аналитику требуется разработать предположение (гипотезу), каким образом злоумышленники смогли проникнуть в систему. Получив вводные данные, ТН начинает проверять гипотезу на достоверность.

Для успешного внедрения threat hunting Вам нужно учитывать ряд принципов:

Сотрудник, который будет работать с ТН, должен априори предполагать, что в систему уже проникли злоумышленники. Его задача - лишь найти следы компрометации.
Также придется каждый раз самостоятельно придумывать гипотезу о том, каким образом система могла быть взломана. ТН выполняет лишь проверку предположения.
Все поисковые мероприятия должны проводиться императивно. Проще говоря, как только закончиалсь провекра одной гипотеза, аналитик должен выдвинуть и начать проверять следующую.

А нужен ли ТН лично Вам?

При правильном использовании threat hunting способен сослужить Вам хорошую службу. Дело в том, что стандартные автоматические средства защиты, как правило, не могут распознать высокоорганизованные целевые хакерские атаки. Причина проста: действия взломщиков обычно растянуты по времени, поэтому системы безопасности не в состоянии сделать корреляцию всех фаз атаки. При этом, я злоумышленники детально продумывают способы проникновения в сеть, разрабатывают алгоритм действий после получения доступа. Тщательное планирование помогает хакерам не совершать никаких подозрительных манипуляций и не привлекать внимание охранной системы.
Кроме того, виртуальная взломщики постоянно совершенствуют свои навыки, разрабатывают или приобретают новый инструментарий, поэтому им вполне под силу обойти стандартные средства защиты.

Чаще всего целевым атакам подвергаются компании, виртуальные сети которых уже были взломаны ранее. По данным FireEye M-Trends, эта цифра составляет 64%. То есть, больше половины организаций, ставших жертвами виртуальных взломщиков, через какое-то время снова попадают “под обстрел”, а значит - находятся в зоне риска. ТН помогает обнаружить следы чужого присутствия на самых ранних стадиях, пока хакеры ещё не успели натворить бед. Система помогает службе безопасности:

Значительно уменьшить время обнаружения факта несанкционированного вторжения в сеть.
Оптимизировать процесс использования TI (threat intelligence) в целом (если в процессе разработки гипотезы будут использованы соответствующие индикаторы);
Постоянно обновлять и актуализировать информацию о защищаемой виртуальной сети.

Специалист по TH - каким он должен быть?

В идеале, неплохо было бы выделить в компании специальный ТН-отдел. Его сотрудников будет правильно назвать аналитиками или специалистами по threat hunting. Но это мы с Вами представили идеальную картинку, а в реальности задачи TH-команды в компании обычно выполняет SOC. По мнению SANS, TH-аналитик должен иметь , как минимум, такие навыки (расположены в порядке убывания значимости):

Базовые знания относительно сетевых коммуникаций и внутрисетевой активности.
Умение анализировать слепки оперативной памяти.
Навыки реагирования на инциденты.
Навыки киберразведки и анализа вредоносного ПО.

Помимо этого, специалист должен быть осведомлён об основных тактиках и инструментах, которыми пользуются кибернарушители. А ещё он должен уметь автоматизировать рутинные задачи, иметь хорошо развитую интуицию и в целом быть “в теме”, чтобы выдвигать адекватные гипотезы для поиска.

Как разработать гипотезу для ТН-поиска

Как мы говорили выше, при проведении threat hunting аналитик исходит из того, что злоумышленники уже вторглись в сеть. Для начала ему нужна обозначить границы поиска следов взлома. Определить конкретную точку место можно с помощью гипотезы - предположения о том, как именно произошло вторжение.

Сформулировав гипотезу, специалист приступает к проверке. Если результат нулевой, он разрабатывает новую гипотезу, и так далее. Если аналитик нашел следы взлома, начинается расследование.

Как же выдвинуть гипотезу? Вы можете воспользоваться интуицией или взять в помощь другие источники. К примеру:

TI-индикаторы.
TTPs. Аббревиатура расшифровывается как “техники, тактики и процедуры атакующих”. Инфу на этот счет можно найти в базе [Ссылки могут видеть только зарегистрированные пользователи. ].
Сбор данных с автоматизированных средств обработки информации об инфраструктуре. Анализ поможет Вам выявить аномалии.

Сведения, полученные после проверки более ранних гипотез.

Таким образом, при правильном использовании ТН способна обеспечить Вашей виртуальной сети весьма солидную защиту. Используйте её в дополнение к стандартным системам безопасности, чтобы надежно защитить информацию от хакеров. Желаем удачи в работе!

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид