От гипотезы к инсайту: пора ли внедрять Threat Hunting?

Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикла публикаций о ключевых аспектах функционирования SOC. Очередная статья посвящена Threat Hunting – проактивному поиску угроз.

Автор: Владислав Бурцев, руководитель отдела анализа киберугроз в BI.ZONE

Что такое Threat Hunting?

Threat Hunting (TH) – это проактивный итеративный процесс, в рамках которого специалисты формулируют гипотезы и исследуют данные, чтобы найти в них известные паттерны активности злоумышленников и выявить новые.

Процесс состоит из четырех этапов:

1. Создание гипотезы.
2. Исследование событий, подпадающих под ее логику.
3. Выявление новых паттернов, а также тактик, техник и процедур (TTPs) злоумышленников.
4. Совершенствование детектирующей логики и обогащение событий.

Проактивность TH заключается в поиске событий, на которые не сработали правила корреляции и средства защиты информации. В результате Threat Hunting позволяет:

• создавать детектирующий контент;
• обогащать данные Threat Intelligence (TI);
• автоматизировать проверки гипотез;
• выявлять атаки на раннем этапе.

Идеи для поиска гипотез

Новые идеи для формирования гипотез можно брать из материалов об уже случившихся атаках (отчеты TI, DFIR и т. д.). Эти данные позволяют охотиться за тем, что фактически используют атакующие. Но подход, при котором мы исследуем только то, что уже было, оставляет нас позади злоумышленников. Поэтому мы также черпаем идеи для гипотез из исследований (как собственных, так и от наших коллег), анализа новых инструментов и векторов эксплуатации.

Отличия Threat Hunting от написания правил корреляции

Threat Hunting позволяет более гибко подойти к поиску подозрительных действий: то, что не может быть реализовано в качестве правил корреляции из-за большого количества ложноположительных срабатываний, может быть учтено в процессе TH. Это позволяет эффективно использовать ресурсы аналитиков, не сокращая зоны видимости SOC.

В BI.ZONE мы используем подход, основанный на взаимодействии команд SOC, TI и EDR. Гипотезы формируются на основе актуального для компании ландшафта угроз, который описывает команда TI. Для проверки гипотез мы используем телеметрию BI.ZONE EDR. Если собираемых данных недостаточно для верификации, команда EDR обогащает телеметрию нужными событиями. Это позволяет не только эффективно подтверждать гипотезы в рамках TH, но и создавать дополнительные правила корреляции.

Для кого актуален Threat Hunting?

На этот вопрос поможет ответить Hunting Maturity Model, придуманная экспертом по кибербезопасности Дэвидом Бьянко. Он выделил пять уровней зрелости организаций. В зависимости от качества собираемых данных, используемых инструментов, а также навыков аналитиков, можно понять, насколько актуален TH для конкретной компании.

1. Начальный уровень. Организации этого уровня опираются в основном на автоматизированные алерты СЗИ (IPS/IDS, AV). Телеметрия с хостов собирается на минимальном уровне, необходимом, чтобы отслеживать срабатывания СЗИ. Даже если такая компания озаботится Threat Hunting, возможность полноценно заниматься им будет сильно ограничена. При таком уровне зрелости TH не нужен.
2. Минимальный уровень. В таких организациях также полагаются на автоматизированные алерты при реагировании, но уже регулярно собирают телеметрию с различных источников, а также активно используют данные TI для принятия решений. Аналитики могут извлечь ключевые индикаторы из различных отчетов и провести поиск по историческим данным, чтобы выяснить, встречались ли исследуемые угрозы в прошлом. Это первый уровень, на котором TH может быть актуален.
3. Процедурный уровень. Такие компании способны изучать и применять детектирующую логику, разработанную другими, и могут вносить в нее незначительные изменения, но пока не способны самостоятельно создавать правила детектирования. Организации с этим уровнем зрелости обычно собирают большой объем данных с хостов. Аналитики регулярно отсматривают телеметрию на предмет срабатывания правил корреляции. Это наиболее распространенный уровень, при котором в организации активно занимаются TH.
4. Инновационный уровень. Вместо того чтобы полагаться на детекты, разработанные другими, организации на этом уровне, как правило, сами разрабатывают детектирующую логику. Аналитики создают повторяемые процедуры, которые документируются и регулярно выполняются. На этом и следующем уровне можно говорить о полностью сформировавшемся процессе TH.
5. Лидирующий уровень. От предыдущего уровня такие компании отличает автоматизация. Любой успешный хант превращается в автоматическое обнаружение. Это позволяет аналитикам не повторять одни и те же запросы, а сосредоточиться на улучшении существующих процессов TH или создании новых.

Заключение

Threat Hunting актуален для организаций, в которых есть зрелый SOC с налаженными процессами глубокого анализа данных из разных источников.

Проактивный поиск помогает выйти за рамки стандартных инструментов безопасности: это способ выявить угрозы, которые сложно обнаружить автоматизированными средствами. За счет постоянных итераций, проверки гипотез и обогащения данными TI, Threat Hunting усиливает защиту и позволяет обнаружить атаки еще до того, как они нанесут ощутимый ущерб.

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcpqnQo