07.11.2016

Threat Hunting в деятельности SOC

Threat Hunting - это процесс проактивного поиска и обнаружения угроз, которые не обнаруживаются традиционными защитными мерами, такими как МСЭ, IDS, SIEM. В противовес традиционным автоматизированным решениям Threat Hunting - это преимущественно ручной процесс с элементами автоматизации, в рамках которого аналитик, опираясь на свои знания и квалификацию просеивают большие объемы информации в поисках признаков компрометации, соответствующих первоначально определенной гипотезе. Это еще одно отличие Threat Hunting от обычных средств кибербезопасности, которые работают в соответствии с предопределенными шаблонами (решающими правилами) и автоматизируют поиск того, что уже известно. Threat Hunting ищет в тех же самых источниках данных то, что еще неизвестно, но вероятно произошло согласно гипотезе аналитика, который либо находит ей подтверждение, либо отметает, как несостоявшуюся, переходя к следующей гипотезе. Если вернуться к уже упомянутым мной "окну Джохари" и теории "Черного лебедя", то Threat Hunting помогает искать угрозы именно в неизвестной зоне, самой сложной в окне Джохари.

Threat Hunting - это не новая концепция, не продукт и не серебряная пуля. Стандартов для Threat Hunting также никаких не существует, как и лучших практик. По сути речь идет о расширении традиционных механизмов поиска следов злоумышленника (можно сказать и целенаправленных угроз), которые не ищутся имеющимися средствами автоматизации задач кибербезопасности (IDS, AV, SIEM и т.п.). Особенно активно данная тема стала развиваться в контексте центров мониторинга безопасности (SOC), в которых Threat Hunting является одним из множества реализуемых процессов. Он же показывает разницу между SIEM и SOC.

Что из себя сегодня представляет платформа для Threat Hunting? По сути это набор уже известных решений и технологий - SIEM, Threat Intelligence Platform, OSINT и, возможно, иные источники данных для анализа. Одним из примеров такой платформы можно назвать Cisco OpenSOC, о котором я уже писал на Хабре. Среди других платформ можно назвать ELK, RITA, ONI, Splunk, Hadoop, Sqrrl.

Задача аналитика в рамкахThreat Hunting - собрать все возможные данные с узлов, с сети, с средств защиты, с систем контроля доступа, от HR, из источников OSINT и применить к ним различные техники, позволяющие увидеть невидимое - визуализацию (вот пример такого инструмента), статистический анализ, машинное обучение и т.п. На выходе мы получим (если гипотеза аналитика верна) необходимые доказательства. Учитывая используемые техники, мы должны четко понимать, что является у нас нормой, а что отклонением от эталонного поведения (аномалией), которое и покажет нам угрозу, необнаруженную другими средствами защиты.


Threat Hunting может быть организован как с дополнительной информацией (с Intelligence) и без оной (с Zero-Intelligence). В первом случае вы получаете эту дополнительную информацию (хеши файлов, IP-адреса, названия файлов, ключи реестра и другие IoC) из внешних источников (IOCBucket, Abuse.ch, VirusTotal, ThreatGrid, AlienVault, EmerhingThreats и др.), ищете ее на локальном или удаленном узле с помощью различных инструментов (Yara,  CrowdResponse, rastrea2r и т.п.) и потом применяете меры реагирования. Без дополнительной информации искать что-то достаточно сложно и требуется обладать высокой квалификацией и знаниями по исследуемой системе. Также можно использовать и различный инструментарий, облегчающий вам жизнь. Например, утилита Autorun из набора Sysinternals позволяет вам проанализировать все, что у вас автоматически запускается на компьютере, снять с этих файлов хеши и отправить на VirusTotal для проверки. Понятно, что Threat Hunting с Zero-Intelligence является высшим пилотажем и может определять действительно серьезный SOC от временной конторы, которая решила срубить денег на горячей теме и установив у себя open source SIEM, назвала все это SOCом.


Помнится в конце 90-х я учился в SANS на курсах по анализу сетевого трафика. Сетевых IDS тогда на рынке еще почти не было и то, что мы изучали по сути и являлось Threat Hunting’ом. Нам давали сетевые дампы и мы должны были в них отыскать признаки тех или иных атак. Позже эта задача была целиком автоматизирована с помощью сетевых IDS. Так и с Threat Hunting. Есть уже вышедшие на плато своей продуктивности технологии, а есть еще вещи, которые сложно автоматизировать и которые приходится делать в ручном режиме с активным вовлечением человека. Threat Hunting относится именно к ним.

2 коммент.:

Александр Бодрик комментирует...

Забавно, новое словосочетание для старой активности:) Как-то все забыли что эксплуатация IDS подразумевает и анализ сетевого трафика, и создание своих сигнатур. Благо, предустановленных сигнатур достаточно что бы завалить алертами большинство служб ИБ. Где уж тут трафик смотреть да свои сигнатуры делать

Алексей Лукацкий комментирует...

Разница существенная. TH ищет по совокупности данных, а не только для одного источника как IDS. И второе. IDS ищет по уже ИЗВЕСТНЫМ сигнатурам, а TH ищет то, что неизвестно