Охота на киберугроз - это активная деятельность по киберзащите. Это «процесс упреждающего и итеративного поиска в сетях для обнаружения и изоляции сложных угроз, которые обходят существующие решения безопасности». [1] Это контрастирует с традиционными мерами управления угрозами, такими как брандмауэры , системы обнаружения вторжений (IDS), песочница вредоносных программ (компьютерная безопасность) и системы SIEM , которые обычно включают исследование данных, основанных на доказательствах, после того , как появилось предупреждение. потенциальной угрозы. [2] [3]
Методологии
Охота за угрозами традиционно представляет собой ручной процесс, в котором аналитик безопасности просматривает различную информацию о данных, используя свои собственные знания и знакомство с сетью, для создания гипотез о потенциальных угрозах, таких как, но не ограничиваясь, боковым движением участников угроз . [4] Однако, чтобы быть еще более эффективным и действенным, поиск угроз может быть частично автоматизирован или автоматизирован. В этом случае аналитик использует программное обеспечение, которое использует машинное обучение и аналитику поведения пользователей и организаций (UEBA), чтобы информировать аналитика о потенциальных рисках. Затем аналитик исследует эти потенциальные риски, отслеживая подозрительное поведение в сети. Таким образом, поиск - это итеративный процесс, а это означает, что он должен выполняться непрерывно в цикле, начиная с гипотезы.
- На основе аналитики: «Машинное обучение и UEBA, используемые для разработки агрегированных оценок риска, которые также могут служить в качестве охотничьих гипотез».
- На основе ситуационной осведомленности: «Анализ Crown Jewel, оценка рисков предприятия, тенденции на уровне компании или сотрудников»
- На основе аналитики: «Отчеты об угрозах, каналы аналитики угроз, анализ вредоносных программ, сканирование уязвимостей».
Аналитик исследует свою гипотезу, просматривая огромные объемы данных о сети. Затем результаты сохраняются, чтобы их можно было использовать для улучшения автоматизированной части системы обнаружения и в качестве основы для будущих гипотез.
Модель уровня зрелости обнаружения (DML) [5] выражает индикаторы угроз, которые могут быть обнаружены на разных семантических уровнях. Высоко семантические индикаторы, такие как цель и стратегия или тактика, методы и процедура (TTP), более ценны для идентификации, чем низкие семантические индикаторы, такие как сетевые артефакты и атомарные индикаторы, такие как IP-адреса. [ необходима цитата ] Инструменты SIEM обычно предоставляют индикаторы только на относительно низком семантическом уровне. Следовательно, существует необходимость в разработке инструментов SIEM, которые могут предоставлять индикаторы угроз на более высоких семантических уровнях. [6]
Индикаторы
Есть два типа индикаторов:
- Индикатор компрометации - индикатор компрометации (IOC) сообщает вам, что действие произошло, и вы находитесь в реактивном режиме. Этот тип IOC выполняется путем просмотра ваших собственных данных из журналов транзакций или данных SIEM. Примеры IOC включают необычный сетевой трафик, необычную активность учетной записи привилегированного пользователя, аномалии входа в систему, увеличение объемов чтения базы данных, подозрительные изменения реестра или системных файлов, необычные запросы DNS и веб-трафик, демонстрирующий нечеловеческое поведение. Подобные необычные действия позволяют группам администрирования безопасности обнаруживать злоумышленников на более раннем этапе процесса кибератаки .
- Индикатор обеспокоенности - с помощью разведки с открытым исходным кодом (OSINT) можно собирать данные из общедоступных источников для использования для обнаружения кибератак и поиска угроз.
Тактика, методы и процедуры (ТТП)
Институт SANS определяет модель зрелости охоты за угрозами следующим образом: [7]
- Начальный - на уровне зрелости 0 организация полагается в первую очередь на автоматическую отчетность и мало или совсем не занимается сбором рутинных данных.
- Минимальный - на уровне зрелости 1 организация выполняет поиск индикаторов аналитики угроз. У него средний или высокий уровень регулярного сбора данных.
- Процедурные - на уровне зрелости 2 организация следует процедурам анализа, созданным другими. Он имеет высокий или очень высокий уровень регулярного сбора данных.
- Инновационный - на уровне зрелости 3 организация создает новые процедуры анализа данных. Он имеет высокий или очень высокий уровень регулярного сбора данных.
- Ведущий - на уровне зрелости 4 автоматизирует большинство успешных процедур анализа данных. Он имеет высокий или очень высокий уровень регулярного сбора данных.
Время пребывания
Согласно отчету Mandiant M-Trends, кибератаки действуют незамеченными в среднем 99 дней, но получают учетные данные администратора менее чем за три дня. [8] Исследование также показало, что 53% атак обнаруживаются только после уведомления от внешней стороны. [9]
Среднее время до обнаружения
По данным Ponemon Institute, в 2016 году в среднем компании требовалось 170 дней на обнаружение серьезной угрозы, 39 дней на устранение и 43 дня на восстановление. [10]
Примеры отчетов
Пример поиска угроз
Смотрите также
Рекомендации
- ^ «Охота на киберугроз: как эта стратегия обнаружения уязвимостей дает аналитикам преимущество - TechRepublic» . TechRepublic . Проверено 7 июня 2016 .
- ^ "MITRE Kill Chain" . Проверено 27 августа 2020 .
- ^ «Платформа разведки угроз о войне против киберпреступников» . Проверено 17 февраля 2019 .
- ^ «Анализ киберугроз (CTI) в двух словах» . Проверено 27 июля 2020 .
- ^ Stillions, Райан (2014). «Модель DML» . Блог о безопасности Райана Стиллиона . Райан Стиллионз.
- ^ Бромандер, Сири (2016). «Семантическое моделирование киберугроз» (PDF) . Семантические технологии для разведки, обороны и безопасности (STIDS 2016).
- ^ Ли, Роберт. «Кто, что, где, когда и как эффективный поиск угроз» . Институт SANS . Институт SANS . Проверено 29 мая 2018 .
- ^ «Отчет M-Trends» . Mandiant . Проверено 28 мая 2018 .
- ^ «Охота на угрозы (TH)» (PDF) . одна безопасность.
- ^ «Состояние обнаружения и предотвращения вредоносных программ» . Институт Понемон . Институт Понемон . Проверено 29 мая 2018 .