Lov kybernetických hrozeb - Cyber threat hunting

Lov kybernetických hrozeb je aktivní činnost kybernetické obrany. Jedná se o „proces proaktivního a iterativního prohledávání sítí s cílem detekovat a izolovat pokročilé hrozby, které se vyhýbají stávajícím bezpečnostním řešením.“[1] To je v rozporu s tradičními opatřeními pro řízení hrozeb, jako je firewally, systémy detekce narušení (IDS), malware pískoviště (zabezpečení počítače) a SIEM systémy, které obvykle zahrnují vyšetřování údajů založených na důkazech po došlo k varování před možnou hrozbou.[2][3]

Metodiky

Lov hrozeb byl tradičně manuální proces, ve kterém bezpečnostní analytik prošel různými datovými informacemi pomocí svých vlastních znalostí a znalostí sítě a vytvořil hypotézy o potenciálních hrozbách, jako jsou mimo jiné: Boční pohyb podle Herci hrozeb.[4] Aby byl však ještě efektivnější a efektivnější, může být lov ohrožení částečně automatizovaný nebo strojově asistovaný. V tomto případě analytik používá software, který využívá strojové učení a analýza chování uživatelů a entit (UEBA) informovat analytika o možných rizicích. Analytik poté vyšetřuje tato potenciální rizika a sleduje podezřelé chování v síti. Lov je tedy iterační proces, což znamená, že musí být neustále prováděn ve smyčce, počínaje hypotézou.

  • Na základě analytiky: „Strojové učení a UEBA se používají k vývoji agregovaných skóre rizik, která mohou sloužit také jako lovecké hypotézy“
  • Řízení situace: „Analýza Crown Jewel, hodnocení podnikových rizik, trendy na úrovni společnosti nebo zaměstnance“
  • Inteligence řízená: „Hlášení o ohrožení, zdroje ohrožení, analýza malwaru, prověřování zranitelnosti“

Analytik zkoumá jejich hypotézu procházením obrovského množství dat o síti. Výsledky jsou poté uloženy, aby je bylo možné použít ke zlepšení automatizované části detekčního systému a jako základ pro budoucí hypotézy.

Model úrovně zralosti detekce (DML) [5] vyjadřuje indikátory hrozeb lze detekovat na různých sémantických úrovních. Vysoce sémantické indikátory, jako je cíl a strategie, nebo taktika, techniky a postupy (TTP), jsou cennější k identifikaci než nízké sémantické indikátory, jako jsou síťové artefakty a atomové indikátory, jako jsou IP adresy.[Citace je zapotřebí ] SIEM nástroje obvykle poskytují pouze indikátory na relativně nízké sémantické úrovni. Je proto nutné vyvinout nástroje SIEM, které mohou poskytovat indikátory hrozeb na vyšších sémantických úrovních.[6]

Indikátory

Existují dva typy indikátorů:

  1. Ukazatel kompromisu - Indikátor kompromisu (IOC) vám říká, že došlo k akci a že jste v reaktivním režimu. Tento typ IOC se provádí pohledem dovnitř na vaše vlastní data z protokolů transakcí nebo dat SIEM. Příklady IOC zahrnují neobvyklý síťový provoz, neobvyklou aktivitu privilegovaných uživatelských účtů, anomálie přihlášení, zvýšení objemů čtení databáze, podezřelé změny v registru nebo systémových souborech, neobvyklé požadavky DNS a webový provoz, který ukazuje nelidské chování. Tyto typy neobvyklých činností umožňují týmům správy zabezpečení odhalit škodlivé subjekty dříve v systému Windows kybernetický útok proces.
  2. Ukazatel znepokojení - používání Open-source inteligence (OSINT) lze data shromažďovat z veřejně dostupných zdrojů, které se použijí pro detekci kybernetických útoků a lov hrozeb.

Taktiky, techniky a postupy (TTP)

Institut SANS identifikuje model zralosti lovu hrozeb následovně:[7]

  • Počáteční - Na úrovni 0 se organizace spoléhá především na automatizované vykazování a provádí malý nebo žádný rutinní sběr dat.
  • Minimální - Na úrovni 1 organizace zahrnuje vyhledávání indikátorů inteligence hrozeb. Má střední nebo vysokou úroveň rutinního sběru dat.
  • Procedurální - Na úrovni 2 dospěje organizace podle analytických postupů vytvořených ostatními. Má vysokou nebo velmi vysokou úroveň rutinního sběru dat.
  • Inovativní - Na úrovni 3 organizace vytváří nové postupy analýzy dat. Má vysokou nebo velmi vysokou úroveň rutinního sběru dat.
  • Přední - na úrovni 4 zralosti automatizuje většinu úspěšných postupů analýzy dat. Má vysokou nebo velmi vysokou úroveň rutinního sběru dat.

Doba setrvání

Kybernetičtí útočníci jsou nezjištěni průměrně 99 dní, ale podle zprávy Mandiant M-Trends získají přihlašovací údaje správce za méně než tři dny.[8] Studie také ukázala, že 53% útoků je objeveno až po oznámení od externí strany.[9]

Střední doba do detekce

V roce 2016 podle Ponemonova institutu trvalo průměrné společnosti 170 dní, než detekovala pokročilou hrozbu, 39 dní ke zmírnění a 43 dní k zotavení.[10]

Ukázkové zprávy

Příklad lovu hrozeb

Viz také

Reference

  1. ^ „Hledání kybernetických hrozeb: Jak tato strategie detekce zranitelnosti poskytuje analytikům výhodu - TechRepublic“. TechRepublic. Citováno 2016-06-07.
  2. ^ „MITER Kill Chain“. Citováno 2020-08-27.
  3. ^ „Platforma pro rozbor hrozeb o válce proti počítačovým zločincům“. Citováno 2019-02-17.
  4. ^ „Cyber ​​Threat Intelligence (CTI) v kostce“. Citováno 2020-07-27.
  5. ^ Stillions, Ryan (2014). „Model DML“. Bezpečnostní blog Ryan Stillions. Ryan Stillions.
  6. ^ Bromander, Siri (2016). „Sémantické modelování kybernetických útoků“ (PDF). Sémantická technologie pro inteligenci, obranu a bezpečnost (STIDS 2016).
  7. ^ Lee, Robert. „Kdo, co, kde, kdy a jak účinného lovu hrozeb“. Institut SANS. Institut SANS. Citováno 29. května 2018.
  8. ^ „Hunting Threat (TH)“ (PDF). jedna bezpečnost.
  9. ^ „Stav detekce a prevence malwaru“. Ponemon Institute. Ponemon Institute. Citováno 29. května 2018.