Как правильно организовать процесс поиска злоумышленников

Согласно результатам исследования SANS 2019 Threat Hunting Survey, 57% компаний, рапортующих о внедрении у себя процесса threat hunting (TH), просто реагируют на оповещения средств автоматизированной защиты, но по сути это относится к области управления событиями и оповещениями (event and alert management), а не к TH.

В статье речь пойдет о том, что такое TH, как искать и проверять гипотезы и какие преимущества дает внедрение правильных процессов TH. Подробно рассмотрим, какие инструменты помогут в проведении «охоты», а также на практике покажем пользу описанного подхода.

Что такое threat hunting
Threat hunting — проактивный поиск следов взлома или функционирования вредоносных программ, которые не обнаружены стандартными средствами защиты. Аналитик не ждет, пока сработают сенсоры систем защиты, а целенаправленно ищет следы компрометации. Для этого он вырабатывает и проверяет предположения, как злоумышленники могли проникнуть в сеть. Такие проверки должны быть последовательными и регулярными.

Правильное внедрение процесса должно учитывать принципы:

Сотрудник, осуществляющий TH, априори предполагает, что система уже взломана. Его цель — найти следы проникновения.

Для поиска нужна гипотеза о том, как именно система была скомпрометирована, и ее дальнейшая проверка.

Поиск должен осуществляться итеративно, то есть после проверки очередной гипотезы, аналитик выдвигает новую и продолжает поиск.

Зачем проводить threat hunting
Традиционные средства автоматизированной защиты пропускают сложные целевые атаки. Причина в том, что такие атаки часто распределены во времени, поэтому средства безопасности не могут провести корреляцию двух фаз атаки. При этом злоумышленники тщательно продумывают векторы проникновения и разрабатывают сценарии действий в инфраструктуре. Это позволяет им не совершить демаскирующих действий и выдавать свою активность за легитимную. Злоумышленники постоянно совершенствуют свои знания, покупают или разрабатывают новый инструментарий.

Особенно актуальны вопросы выявления целевых атак для организаций, которые были ранее взломаны. Согласно отчету FireEye M-Trends, 64% ранее скомпрометированных организаций вновь подверглись атаке. Получается, что больше половины взломанных компаний все еще находятся в зоне риска. Значит, нужно применять меры для раннего выявления фактов компрометации — этого можно добиться с помощью TH.

TH помогает командам ИБ:

сократить время обнаружения взлома;
наладить весь процесс использования TI (threat intelligence), если при выдвижении гипотезы поиска используются TI-индикаторы;
актуализировать знания о защищаемой инфраструктуре.
Каким должен быть специалист по TH
При правильной организации процесса должна быть выделена отдельная структурная единица — отдел threat hunting. Сотрудников отдела будем называть аналитиками или специалистами по TH. Однако в российских компаниях зачастую функции TH-команды выполняет SOC. Согласно SANS, профиль навыков специалиста по TH соответствует диаграмме на рис. 1 (деления указывают уровень навыка, где 0% — абсолютное незнание области, а 100% — высококлассный эксперт в области).

12 возможностей VM-серии NGFW
Серия виртуальных NGFW защищает ваши приложения и данные с помощью функций безопасности следующего поколения, которые обеспечивают детальную визуализацию, контроль и предотвращение угроз на уровне приложений. Функции автоматизации и централизованного управления позволяют встроить безопасность в ваш процесс разработки приложений как в приватном, так и в публичном ЦОД. Какие основные задачи решает виртуальный NGFW:

Визуализация работы приложений для принятия решения по упорядочиванию их использования. VM NGFW определяет приложения на всех портах, что дает актуальную информацию о среде виртуализации и позволяет запрещать несанкционированные приложения.

Применение сегментирования по белым спискам приложений для обеспечения безопасности и соответствия требованиям стандартов Центрального Банка, PCI DSS, GDPR, ФЗ-152. Современные хакеры легко проникают на рабочее место сотрудника, а затем перемещаются по корпоративной сети, подвергая риску критически важные приложения и конфиденциальные данные, где бы они ни были. Использование сегментирования и ограничения сотрудникам доступа по приложениям позволяет контролировать работу приложений в различных подсетях, блокировать перемещение злоумышленника между ними и обеспечивать соответствие нормативным требованиям.

Предотвращение перемещения несанкционированных данных и приложений по открытым портам. Атаки, как и многие динамические приложения, могут использовать для подключения любой порт, что делает традиционные механизмы фильтрации по портам неэффективными. VM NGFW позволяет использовать защиту от угроз, разработанную Palo Alto Networks: антивирус, песочницу WildFire®, IPS, контроль DNS и блокирование передачи различных типов файлов.

Контроль доступа к приложениям с помощью пользовательских аккаунтов и групп: интеграция с широким спектром систем, таких как Microsoft Exchange, Actve Directory® и LDAP, позволяет задать белый список приложений для конкретных пользователей в качестве дополнительного элемента политики безопасности.

При развертывании на рабочих станциях и мобильных устройствах встроенного механизма GlobalProtect ™ возможно расширить корпоративные политики безопасности на удаленных пользователей независимо от их места работы: дома, в отеле или на даче.

Panorama™ обеспечивает единое централизованное управление физической и виртуальной защитой в любых облачных средах. Удобные функции поиска и корреляции событий в едином централизованном хранилище журналов и создание отчетов обеспечивают визуализацию приложений, работы пользователей и контроля за обрабатываемыми файлами.

Защита контейнеров для сред Kubernetes. VM NGFW защищает контейнеры, работающие в Google Kubernetes® Engine и Azure® Kubernetes Service, с той же подробной визуализацией и предотвращением угроз, как и в среде GCP® и Microsoft Azure. Защита контейнеризации дает возможность командам безопасности контролировать операции, блокировать несанкционированную активность и ускорить реагирование на потенциальные угрозы. IPS, WildFire и фильтрация URL-адресов могут быть использованы для защиты кластеров Kubernetes от известных и неизвестных угроз. Panorama позволяет автоматизировать обновления политик по мере добавления или удаления сервисов Kubernetes, обеспечивая безопасность в соответствии с постоянно меняющимися управляемыми средами Kubernetes.

Автоматическое включение новых функций безопасности и обновления политик. VM-Series NGFW включает в себя несколько функций автоматизации, которые позволяют вам интегрировать безопасность в ваш процесс разработки приложений.

Автоматическая настройка NGFW позволяет обеспечить межсетевой экран нужной конфигурацией и лицензиями, подключить устройство к системе Panorama для централизованного управления.

Обновления политики безопасности при изменении сетевой среды возможны при использовании полностью документированного REST API и встроенных в NGFW динамических групп адресов (DAG). Любой NGFW в сети получает информацию о новых свойствах IP-адресов в виде тегов, и на их основе может динамически обновить политику безопасности. Участие администратора не требуется.

Удобно использовать шаблоны настроек и сервисы провайдера облачных вычислений вместе со сторонними утилитами, такими как Terraform® и Ansible®, чтобы полностью автоматизировать развертывание VM NGFW и обновлять политики безопасности.

Масштабируемость производительности и гарантированная доступность защиты в облаке. В виртуализации или облачных средах требования к масштабируемости и обеспечению доступности могут быть реализованы с использованием традиционного подхода с двумя устройствами в кластере или с контролем доступности на основе работы систем автоматизации самого облака. В публичных облаках мы рекомендуем использование облачных сервисов, таких как шлюзы приложений, балансировщики нагрузки и скрипты автоматизации для решения задач масштабируемости и доступности.

Скорость внедрения
Сейчас Palo Alto Networks предлагает бесплатно скачать и установить у себя виртуальный NGFW и настроить в нем сервис GlobalProtect, позволяющий сделать удаленное подключение для сотрудников через шлюз на базе IPSEC, SSL VPN и также бесклиентский VPN для доступа к внутренним приложениям через веб-браузер c поддержкой HTML5. Готовые конфигурации NGFW с готовыми настройками также предоставляются бесплатно на базе шаблонов конфигураций IronSkillet.