Инциденты в области кибербезопасности продолжают представлять значительную угрозу для организаций любого размера, и крайне важно внедрить эффективный процесс поиска угроз для оперативного обнаружения таких инцидентов и реагирования на них. Поиск угроз — это упреждающий подход, который включает в себя поиск индикаторов компрометации (IOC) и потенциальных угроз в сети и системах организации.
В этой статье рассматривается процесс поиска угроз и его роль в быстром реагировании на инциденты кибербезопасности. В исследовании подчеркивается важность упреждающего подхода к поиску угроз, включая использование передовых технологий анализа угроз и машинного обучения. В нем также рассматриваются ключевые этапы процесса поиска угроз, такие как планирование, сбор и анализ данных и реагирование на угрозы.
Кроме того, в документе оцениваются различные методы и методологии поиска угроз, включая анализ на основе сигнатур и поведения, а также преимущества и ограничения каждого подхода. В исследовании также рассматриваются проблемы, с которыми сталкиваются в процессе поиска угроз, такие как сложность современных ИТ-сред, нехватка квалифицированных специалистов по кибербезопасности и высокая стоимость передовых средств безопасности.
Вступление
В современную цифровую эпоху инциденты в области кибербезопасности представляют значительную угрозу для организаций всех размеров и отраслей. Злоумышленники постоянно ищут новые способы проникновения в систему безопасности и получения несанкционированного доступа к конфиденциальным данным. В ответ организации должны проявлять инициативу в обнаружении и устранении этих угроз, чтобы защитить свои сети, системы и данные. Поиск угроз — это новый процесс, который позволяет организациям осуществлять упреждающий поиск киберугроз, которые обходят существующие меры безопасности. Выявляя угрозы и устраняя их до того, как они смогут нанести ущерб, поиск угроз может помочь предотвратить кибератаки и защитить конфиденциальные данные. В этом документе будет рассмотрен процесс поиска угроз для быстрого реагирования на инциденты кибербезопасности, включая инструменты и методы, используемые для выявления и устранения угроз, а также преимущества и проблемы, связанные с таким подходом.
Сущность и цель поиска угроз
Поиск угроз — это превентивное, повторяющееся и ориентированное на человека выявление киберугроз, которые являются внутренними для ИТ-сети и обходят существующие меры безопасности.
Основная цель TH — сократить время, необходимое для поиска следов злоумышленников, которые уже скомпрометировали ИТ-среду. Выявив эти следы как можно скорее, можно свести к минимуму влияние нарушений на организацию. Пробелы в выявлении нарушений — важное понятие в контексте достижения этой цели.
Таким образом, всегда будет существовать разрыв между тем, что может обнаружить организация, и способностью квалифицированного злоумышленника избежать обнаружения. Возможности злоумышленника будут разными для каждого злоумышленника, и возможности обнаружения будут разными для каждой организации. Хотя у злоумышленников обычно есть возможность избежать обнаружения, в какой-то момент они могут запустить механизмы обнаружения, либо потому, что эти механизмы обнаружения эволюционировали, либо из-за человеческого фактора.
Хорошая программа TH направлена на отслеживание поведения злоумышленников и постоянное сокращение пробелов в выявлении нарушений. В частности, поиск угроз фокусируется на действиях, которые могут остаться незамеченными. TH фокусируется на событиях, которые выходят за рамки традиционных возможностей обнаружения, и может обнаруживать пропущенные или неверно истолкованные события, которые могут быть использованы для улучшения обнаружения и дальнейшего обучения аналитиков информационной безопасности.
Основная часть
Процесс поиска угроз включает в себя сбор и анализ данных из различных источников для выявления потенциальных угроз и уязвимостей. Затем эта информация используется для разработки плана реагирования на любые инциденты безопасности, которые могут возникнуть.
Процесс поиска угроз обычно включает в себя следующие этапы:
- Определите масштаб охоты: Первым шагом в процессе поиска угроз является определение масштаба охоты. Это включает в себя идентификацию систем, приложений и данных, которые наиболее важны для операций организации, и определение типов угроз, которые с наибольшей вероятностью повлияют на эти активы.
- Сбор данных: После определения области следующим шагом является сбор данных из различных источников, таких как сетевые журналы, системные журналы и журналы активности пользователей. Затем эти данные анализируются для выявления любых аномалий или закономерностей, которые могут указывать на потенциальную угрозу.
- Анализ данных: Данные, собранные на предыдущем шаге, анализируются с использованием различных инструментов и методов, таких как алгоритмы машинного обучения, для выявления потенциальных угроз. Это может включать в себя сопоставление данных из нескольких источников для выявления закономерностей, которые могут быть невидимы из одного источника данных.
- Определение потенциальных угроз: После анализа данных потенциальные угрозы идентифицируются и расставляются по приоритетам в зависимости от их серьезности и потенциального влияния на деятельность организации.
- Реагирование на угрозы: После выявления потенциальных угроз разрабатывается план реагирования на них. Это может потребовать принятия немедленных мер по смягчению угрозы, таких как блокирование доступа к сети или изоляция зараженных систем. Это может также включать разработку долгосрочной стратегии устранения первопричины угрозы и предотвращения будущих инцидентов.
- Извлекайте уроки из процесса: Наконец, оценивается процесс поиска угроз для определения областей, требующих улучшения. Это может включать в себя обзор источников данных и используемых инструментов, выявление новых источников данных, которые могут оказаться полезными, и доработку плана реагирования для устранения любых выявленных недостатков.
В целом, процесс поиска угроз является важнейшим компонентом любой эффективной стратегии кибербезопасности. Активно выявляя угрозы и устраняя их, организации могут свести к минимуму последствия инцидентов безопасности и снизить риск утечки данных и других кибератак.
Чтобы более подробно рассказать о процессе поиска угроз для быстрого реагирования на инциденты в области кибербезопасности, важно понять некоторые ключевые концепции и используемые методы:
- Анализ угроз: Анализ угроз является важнейшим компонентом процесса поиска угроз. Это включает в себя сбор и анализ данных из различных источников, включая аналитику с открытым исходным кодом, мониторинг dark web и собственные каналы анализа угроз. Эта информация используется для выявления возникающих угроз и уязвимостей, которые могут быть нацелены на организацию.
- Машинное обучение и искусственный интеллект: Алгоритмы машинного обучения и искусственный интеллект (ИИ) используются для анализа больших объемов данных и выявления закономерностей, которые могут указывать на потенциальные угрозы. Эти технологии могут быть использованы для автоматизации многих аспектов процесса поиска угроз, таких как анализ данных и обнаружение аномалий.
- Обнаружение и реагирование на конечные точки (EDR): Инструменты обнаружения и реагирования на конечные точки (EDR) предназначены для мониторинга конечных точек, таких как ноутбуки, настольные компьютеры и серверы, на наличие признаков потенциальных угроз. Эти инструменты собирают и анализируют данные о системной активности, такие как изменения файлов, сетевые подключения и выполнение процессов, для выявления подозрительного поведения.
- Анализ сетевого трафика (NTA): Инструменты анализа сетевого трафика (NTA) используются для мониторинга сетевого трафика на наличие признаков потенциальных угроз. Эти инструменты собирают и анализируют данные о сетевой активности, такие как перехват пакетов и данные о потоке, для выявления подозрительного поведения.
- Непрерывный мониторинг: Поиск угроз — это непрерывный процесс, который требует постоянного мониторинга систем и данных организации. Это может включать настройку оповещений для уведомления служб безопасности о потенциальных угрозах или использование автоматизированных инструментов для мониторинга систем на предмет подозрительной активности.
Порядок проведения охоты на угрозу
Согласно подходу ведущей американской компании в области кибербезопасности и аналитики больших данных — Sqrrl, в целом весь процесс TH можно свести к четырем основным этапам, которые повторяются циклически.
Этот подход называется «Цикл поиска» и предназначен для того, чтобы избежать потенциально неэффективных бизнес-процессов и создать формализованный процесс. Согласно подходу Sqrrl, целью TH должно быть преодоление цикла как можно быстрее и эффективнее. Чем эффективнее выполняются итерации, тем лучше у вас получается автоматизировать новые процессы и переходить к поиску новых угроз.
Этап 1 — Создание гипотезы
Процесс TH начинается с постановки вопросов о том, как злоумышленник может получить доступ к сети организации.
Затем эти вопросы необходимо разделить на конкретные и поддающиеся измерению гипотезы, которые определяют, какие угрозы могут присутствовать в сети и как их можно идентифицировать.
Гипотезы не могут быть сгенерированы с помощью инструментов, вместо этого они должны быть получены из наблюдений специалиста, основанных на анализе киберугроз, ситуационной осведомленности или знании предметной области.
Больше методов, а большее количество источников данных расширяет возможности для этого. Гипотезы, как правило, сосредоточены на выявлении конкретного источника угрозы, инструмента или техники.
Этап 2 — Исследование с использованием инструментов и методов
Как только наблюдения привели к разработке гипотез, они должны быть проверены с использованием всех соответствующих инструментов и методов, доступных специалистам. Видимость данных должна быть максимальной за счет расширения охвата сбора данных в централизованном хранилище, а типы собираемых данных должны включать репрезентативные журналы основных сетевых ресурсов организации, инфраструктуры и средств безопасности.
Этап 3 — Определение тактики, методов и процедур
Прохождение второго этапа с помощью инструментов позволяет выявить новые вредные паттерны поведения и TTP. Этот этап является одним из самых важных во всем цикле.
Пробел в выявлении нарушений возникает из-за способности злоумышленников обходить механизмы обнаружения. Поскольку возможности обнаружения продолжают развиваться и расширяться, киберпреступники будут находить новые способы обойти эти меры. Таким образом, со временем типы злоумышленников будут эволюционировать, чтобы гарантировать, что они смогут избежать обнаружения и действовать незамеченными в ИТ-среде.
Этап 4 — Расширение аналитики
Четвертый этап цикла формирует основу для информирования и обогащения автоматизированной аналитики. Ни при каких обстоятельствах нельзя пропускать угрозы, важно автоматизировать их с помощью аналитики, чтобы команда TH могла продолжать фокусироваться на следующих процедурах.
Это может быть сделано различными способами, включая разработку поиска по умолчанию для регулярного выполнения, создание новой аналитики с использованием таких инструментов, как Sqrrl, Apache Spark, R или Python, или даже предоставление обратной связи управляемому алгоритму машинного обучения, который подтверждает, что выявленный паттерн поведения является ненормальным и вредным. Расширение аналитики может принять более простую форму — предоставить новый индикатор компромисса для сравнения или написать новое правило SIEM для реактивного обнаружения. Чем быстрее автоматизируется TH, тем меньше повторений потребуется от специалистов и тем быстрее их навыки можно будет использовать для проверки новых гипотез. Следует также позаботиться о том, чтобы любые автоматизированные технологические процессы были надежными и продолжали приносить пользу. После автоматизации каждый аналитический процесс должен быть протестирован на точность, что может быть выполнено с помощью метрик.
Вывод
В заключение, поиск угроз — это упреждающий подход к кибербезопасности, который включает сбор и анализ данных из различных источников для выявления потенциальных угроз и уязвимостей. Выявляя угрозы и устраняя их до того, как они нанесут ущерб, организации могут свести к минимуму последствия инцидентов безопасности и защитить свои системы и данные от кибератак. Процесс поиска угроз включает в себя определение масштабов поиска, сбор и анализ данных, выявление потенциальных угроз, разработку плана реагирования и оценку процесса для определения областей, требующих улучшения. Ключевые концепции и методы, задействованные в процессе поиска угроз, включают анализ угроз, машинное обучение и искусственный интеллект, обнаружение конечных точек и реагирование на них (EDR), анализ сетевого трафика (NTA) и непрерывный мониторинг. Внедряя комплексную стратегию поиска угроз, организации могут опережать потенциальные угрозы и быстро и эффективно реагировать на любые инциденты в области кибербезопасности, которые могут возникнуть.
Литература:
1 Hunting Cyber Criminals: A Hacker's Guide to Online Intelligence Gathering Tools and Techniques by Vinny Troia (2017).
2 The Threat Hunter's Handbook: A Practical Guide to Threat Hunting by Marcus J. Carey and Jennifer Jin (2018)
3 Threat Hunting in the Cloud: Defending AWS, Azure and Other Cloud Platforms Against Cyberattacks by Roger Hale and Jay Beale (2019).
4 Threat Hunting for Dummies by Aaron Lint, Joshua Shilko, and Jamison Utter (2019).
5 The Practice of Network Security Monitoring: Understanding Incident Detection and Response by Richard Bejtlich (2020).
6 Threat Hunting and Incident Response: An Intelligence-Driven Approach by Mike Sheward and Aaron Weller (2021).
7 Mastering Cybersecurity Incident Response: Detect, investigate, and respond to advanced cybersecurity attacks and threats by Bryce Galbraith and Alex Tilley (2022).
