Полювання на кіберзагрозу англ cyber threat hunting або полювання на загрозу англ threat hunting є активною діяльністю в

Полювання на кіберзагрозу (англ. cyber threat hunting) або полювання на загрозу (англ. threat hunting) є активною діяльністю в галузі кіберзахисту. Це «процес активного та ітеративного пошуку у мережах з метою виявлення та виділення просунутих загроз, які недосяжні для наявних рішень з безпеки». Цей підхід відрізняється від традиційних заходів з управління загрозами, таких, як брандмауери, системи виявлення вторгнень (англ. intrusion detection systems, IDS), ізолювання шкідливих програм (англ. malware sandbox) та системи SIEM, які, зазвичай, передбачають розслідування після попередження про можливу загрозу або коли інцидент вже стався.

Інформаційна безпека

Критерії оцінки інформаційної безпеки

Цілісність · Доступність · Конфіденційність · (Спостережність)· Невідмовність

Нормативні документи

COBIT · ITIL · · (ISO/IEC 27001:2013) ·

Забезпечення

Політика · СУІБ · КСЗІ · СЗІ

Захист інформації

Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації

Методологія

Полювання на загрозу традиційно було ручним процесом, в ході якого аналітик з питань безпеки аналізує різноманітну інформацію про дані, використовуючи свої власні знання та знайомство з мережею, щоб сформулювати гіпотези про можливі загрози, такі, як ^[en] від агентів загроз чи ^[en], але не обмежуючись цим. Для більшої ефективності пошук може бути частково автоматизований або автоматичний. У такому випадку аналітик використовує програмне забезпечення, яке використовує машинне навчання та аналіз поведінки користувачів (англ. user and entity behavior analytics, UEBA), які інформують аналітика про потенційні ризики. Аналітик досліджує потенційні ризики, відстежуючи підозрілу поведінку в мережі. Таким чином, полювання є ітераційним процесом, що означає, що його потрібно постійно виконувати в циклі, починаючи з гіпотези. Гіпотеза може зосереджувати увагу на відомих експлойтах, потенційних підозрілих суб'єктах (англ. bad actor) або цінних активах та даних. Використовуючи безпекові дані, галузеві звіти та іншу аналітичну інформацію, формується гіпотеза, і (англ. hunt team) намагається довести або спростувати свої здогадки.

У полюванні на кіберзагрози використовуються як автоматичні, так і ручні інструменти та методи.

Використовуються три типи гіпотез:

Засновані на аналітиці: «Машинне навчання та аналіз поведінки, що використовуються для розробки агрегованих оцінок ризику, також можуть слугувати гіпотезами для полювання».
Засновані на ситуаційній обізнаності: «Аналіз основних (англ. Crown Jewel), критично важливих для виконання місії компанії, , тенденції на рівні компанії або працівників».
Засновані на розвідувальних даних: «Звіти розвідки небезпек, канали розвідки загроз, аналіз шкідливих програм, .

Аналітик досліджує свою гіпотезу, опрацьовуючи величезну кількість даних про мережу. Результати зберігаються таким чином, що вони можуть бути використані для покращення автоматичної частини системи виявлення загроз та слугують основою для майбутніх гіпотез.

Модель (англ. Detection Maturity Level), яка виражає показники загрози, може бути виявлена на різних семантичних рівнях. Високі , такі, як цілі та стратегії, або тактики, методи та процедури, є більш цінними для виявлення, ніж низькі семантичні показники, такі, як (англ. network artifacts) та , такі, як IP-адреси. Інструменти SIEM зазвичай надають лише індикатори на відносно низьких семантичних рівнях. Отже, існує необхідність розробляти інструменти SIEM, які можуть забезпечити на більш високих семантичних рівнях.

Постачальники ПЗ для полювання на кіберзагрози

Список значних постачальників програмного забезпечення та послуг:

IBM
SentinelOne
Elastic [1]
R9B
1E
Panda Adaptive Defense
Alert Logic
Bulletproof
Carbon Black
SISA EOT
Cisco Threat Hunting
Corelight
Countercept (by MWR InfoSecurity)
CounterCraft
CrowdStrike
Cyberbit
Cybereason
Cyberoo
Cynet
CSIQ
Darktrace
Endgame, Inc.
Expel
ExtraHop Networks
FireEye
Haystacks Technology
Infocyte HUNT (by Infocyte)
Mantix4
Microsoft
ONE eSecurity
Paladion Networks
RANK Software Inc
RSA NetWitness® Platform
S21Sec
Secdo^{[недоступне посилання з вересня 2019]}
Secureworks Targeted Threat Hunting
TalaTek Cyber Threat Hunting
Texial Cyber Security
TIP (Threat Intelligence Platform)
Vectra Networks Inc.
Verint

^[en] проводив дослідження ефективності полювання на загрози для відстеження та зриву кіберзагроз якомога раніше. Згідно з опитуванням, опублікованим у 2017 році, «60% тих, хто полює за загрозами, повідомили про помітні покращення своїх програм по інформаційній безпеці, виходячи з докладених ними до полювання зусиль, а 91 % — про покращення швидкості та точності».

Індикатори

Є два типи індикаторів:

1) Індикатор компрометації (ІК) свідчить, що дія вже відбулась, і ви перебуваєте в реактивному режимі. Цей тип ІК формується зсередини, спираючись на власні дані з логів транзакцій або даних SIEM. Приклади ІК включають незвичайний мережевий трафік, незвичну привілейовану діяльність облікового запису користувача, аномалії входу в систему, збільшення обсягу читання бази даних, підозрілі зміни у системних файлах або реєстрі, незвичні запити DNS та вебтрафік, не властивий користувачам. Ці типи незвичайних дій дозволяють командам управління безпеки виявляти елементи, контрольовані зловмисниками, на ранніх етапах кібератаки.

2) Індикатор занепокоєння. За допомогою інтелектуального аналізу даних з загальнодоступних джерел (англ. Open-Source intelligence) отримати інформацію для виявлення кібератак та полювання на загрози.

Тактики, техніки та процедури

Інститут SANS вважає сталими такі моделі полювання за загрозами:

Початкова (англ. Initial) — на рівні 0, організація процесу спирається, перш за все, на автоматичну звітність і робить малий або непостійний збір даних.
Мінімальна (англ. Minimal) — на етапі зростання до 1 рівня організація процесу містить пошуки індикаторів загроз, має середній або високий рівень рутинного збору даних.
Процедурна (англ. Procedural) — на 2-му рівні організація слідкує за процедурами аналізу, створеними іншими, та має високий або дуже високий рівень рутинного збору даних.
Інноваційна (англ. Innovative) — на 3-му рівні організація створює нові процедури аналізу даних. Має високий або дуже високий рівень рутинного збору даних.
Провідна (англ. Leading) — на зрілому, 5 рівні автоматизує більшість успішних процедур аналізу даних. Має високий або дуже високий рівень рутинного збору даних.

Час затримки відповіді

Кібератакери (англ. cyberattackers) працюють непоміченими в середньому 99 днів, але отримують облікові дані адміністратора менш ніж за три дні, згідно з Mandiant M-Trends Report. Дослідження також показують, що 53% випадків виявлення відбуваються лише після повідомлення від зовнішньої сторони.

Середній час до виявлення

За даними інституту Ponemon, середня компанія витрачає на виявлення розширеної загрози 170 днів, 39 днів для зменшення загрози та 43 дні для відновлення.

Див. також

Примітки

Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge - TechRepublic. TechRepublic. Процитовано 7 червня 2016.
What is (cyber) threat hunting and where do you start? - Expel. Expel (амер.). 9 квітня 2018. Процитовано 26 травня 2018.
Alsinawi, Baan. TalaTek Cyber Threat Hunting Services. TalaTek, LLC (амер.). Процитовано 12 листопада 2018.
. Sqrrl (амер.). Архів оригіналу за 29 травня 2016. Процитовано 7 червня 2016.
https://www.mitre.org/publications/systems-engineering-guide/enterprise-engineering/systems-engineering-for-mission-assurance/crown-jewels-analysis
Stillions, Ryan (2014). The DML Model. Ryan Stillions security blog. Ryan Stillions.
Bromander, Siri (2016). Semantic Cyberthreat Modelling (PDF). Semantic Technology for Intelligence, Defense and Security (STIDS 2016).
. SANS Institute. 1 квітня 2017. Архів оригіналу за 20 лютого 2018. Процитовано 28 травня 2018.
Lee, Robert. The Who, What, Where, When and How of Effective Threat Hunting. SANS Institute. SANS Institute. Процитовано 29 травня 2018.
. Mandiant. Архів оригіналу за 30 травня 2018. Процитовано 28 травня 2018.
. Ponemon Institute. Ponemon Institute. Архів оригіналу за 14 листопада 2018. Процитовано 29 травня 2018.

[1] Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge - TechRepublic. TechRepublic. Процитовано 7 червня 2016.

[2] What is (cyber) threat hunting and where do you start? - Expel. Expel (амер.). 9 квітня 2018. Процитовано 26 травня 2018.

[3] Alsinawi, Baan. TalaTek Cyber Threat Hunting Services. TalaTek, LLC (амер.). Процитовано 12 листопада 2018.

[:0-4] . Sqrrl (амер.). Архів оригіналу за 29 травня 2016. Процитовано 7 червня 2016.

[5] ttps://www.mitre.org/publications/systems-engineering-guide/enterprise-engineering/systems-engineering-for-mission-assurance/crown-jewels-analysis

[6] Stillions, Ryan (2014). The DML Model. Ryan Stillions security blog. Ryan Stillions.

[7] Bromander, Siri (2016). Semantic Cyberthreat Modelling (PDF). Semantic Technology for Intelligence, Defense and Security (STIDS 2016).

[8] . SANS Institute. 1 квітня 2017. Архів оригіналу за 20 лютого 2018. Процитовано 28 травня 2018.

[9] Lee, Robert. The Who, What, Where, When and How of Effective Threat Hunting. SANS Institute. SANS Institute. Процитовано 29 травня 2018.

[Mandiant_M-Trends_Report-10] . Mandiant. Архів оригіналу за 30 травня 2018. Процитовано 28 травня 2018.

[11] . Ponemon Institute. Ponemon Institute. Архів оригіналу за 14 листопада 2018. Процитовано 29 травня 2018.