Threat hunting – tine-te aproape de atacatori

Ce este threat hunting?

Threat hunting este o metodologie al carei obiectiv este detectarea si izolarea amenintarilor cibernetice avansate care au reusit sa evite masurile de securitate existente si sa patrunda in retea, urmand sa atace o tinta, sa compromita un sistem sau sa exfiltreze informatii. Threat hunting este o metodologie care trebuie aplicata permanent, intrucat riscul de a fi atacat este permanent. Echipa de SecOps trebuie sa preia alertele generate de unelte precum SIEM si sa le investigheze, facand ipoteze cu privire la un potential atac cibernetic. In urma acestui proces, knowledge base-ul si contextul de securitate al organizatiei se imbogateste, indiferent daca ipoteza propusa initial se confirma sau nu.

Analistii de securitate propun trei tipuri de metodologii de threat hunting:

  • prima metodologie se bazeaza pe indicatori atomici specifici, precum adrese IP, domeniu DNS, hash-ul unui fisier. Acesti indicatori sunt derivati din surse de threat intelligence. Vendorii de platforme de securitate analizeaza traficul din Internet si reusesc sa compuna liste cu astfel de indicatori pe care le livreaza apoi catre solutiile lor de securitate pentru a putea identifica pe baza unor tipare posibilele atacuri. O astfel de metodologie este foarte eficienta impotriva amenintarilor de tip „out in the wild”, care sunt deja cunoscute si care deja sunt folosite in mod activ de hackeri. Impotriva amenintarilor de tip „0-day”, o astfel de metodologie nu ofera prea multa liniste unei organizatii. Threat hunting-ul pe baza de indicatori de compromis este usor de facut intrucat de multe ori tot ce trebuie facut este de cautat prin logurile sistemelor de securitate pentru o anumita valoare. Iar un sistem de tip SIEM sau SOAR ofera o singura interfata de unde se poate face aceasta cautare in intregul ecosistem de securitate al organizatiei.
  • a doua metodologie este bazata pe tacticile, tehnicile si procedurile executate de hackeri (TTP-uri). Adesea, hackerii folosesc tehnici si tactici complexe si bine puse la punct pentru a crea ceea ce se numeste ATP-uri (Advanced Persistent Threats). Un ATP este doesebit de periculos intrucat se poate infiltra in reteaua unei organizatii fara a declansa vreo alarma si poate ramane in interior o perioada indelungata de timp. Detectarea unui ATP necesita o abordare sistematica bazata pe intelegerea in detaliu a atacului. Cei de la Lockheed Martin descriu etapele unui atac de securitate pe baza unui model cunoscut sub numele de „Cyber Kill Chain”:

– reconnaissance: colectarea de informatii despre tinta vizata (scanare de porturi, identificare versiuni de aplicatii, adrese de email, repository de GitHub, etc.)

– weaponization: identificarea unei vulnerabilitati si construirea unui payload care sa o exploateze (o eroare in codul sursa al unui software, driver, site web, etc. care care permite operatiuni de tipul RCE – Remote Code Execution)

– delivery: livrarea payload-ului malitios catre tinta vizata (inserarea unui URL malitios, anexarea unui document care contine un virus, etc.)

– exploatation: executarea payload-ului malitios pe sistemul victimei

– installation: pentru persistenta, atacatorii de obicei instaleaza si un backdoor pe sistemul compromis pentru a putea avea acces oricand doresc

– command and control: atacatorii stabilesc o conexiune intre sistemul compromis si serverele lor cu scopul de a livra malware aditional sau cu scopul de a sustrage date si fisiere din sistemul compromis

– actions on objectives: aceasta este etapa in care atacatorii isi indeplinesc obiectivele si „monetizeaza” atacul (executarea ransomware-ului si cererea de rascumparare pentru datele „ostatice”)

Recunoasterea cat mai din timp a unui ATP este vitala pentru a stopa atacul sau pentru a minimiza efectele acestuia. Corelarea evenimentelor din retea este principalul mod prin care analistii de securitate pot detecta un atac de securitate. Din nou, o platforma de securitate de tip SIEM sau SOAR usureaza foarte mult aceasta munca si elimina alertele de fals pozitiv care ar consuma timp pretios intr-o situatie de criza prin analizarea lor manuala.

  • a treia metodologie ia in calcul modul in care o aplicatie sau un proces se executa pe un sistem, mai exact comportamentul manifestat. Solutiile de monitorizare supravegheaza aplicatiile si procesele si daca apar abateri de la normal, vor ridica o alerta catre echipa de SecOps. O astfel de metodologie poate identifica atacuri pentru care inca vendorii de securitate inca nu au reusit sa creeze indicatorii necesari pentru detectie. De exemplu, atunci cand se deschide un anumit fisier .docx anexat unui email, acesta incearca sa execute o comanda wget inPowerShell care download-eaza software aditional din Internet.

Este evident ca ne dorim sa fim cu un pas inaintea hackerilor si sa putem fi protejati inca dinainte ca atacul sa fie lansat asupra noastra. Insa, o solutie de securitate care sa ofere 100% protectie in toate situatiile nu exista. Este suficient ca o singura persoana sa dea click pe link-ul nepotrivit pentru a cadea victime. Iar acesta este motivul numarul unu pentru care exista pe piata un numar atat de mare de vendori de securitate si un numar si mai mare de produse si platforme de securitate. Astazi, organizatiile sunt obligate sa aiba oameni specializati in threat hunting care sa isi insuseasca metodologiile de mai sus si sa ajute organizatie in detectia cat mai rapida si proactiva a atacurilor de securitate.

Mihai Dumitrascu, Sr Systems Engineer