Блог

Threat Hunting: охота на угрозы в действии

Под Threat hunting (охотой на угрозы) принято понимать процесс проактивного обнаружения вредоносной деятельности в компьютерных сетях. Основной целью данного процесса является выявление киберпреступных атак, которые не поддаются обнаружению типовыми средствами защиты информации. В этих целях осуществляется ручной или машинный поиск и анализ индикаторов компрометации.
Благодаря активному поиску угроз можно на ранних стадиях обнаружить новые и сложные киберугрозы. Этот процесс рассматривается в качестве дополнения к уже существующей защите информационных систем организации, а не как её замена. От стандартных способов защиты «охоту на угрозы» отличает именно её проактивный характер.
Редакция CISOCLUB решила поговорить с экспертами об уникальных угрозах и кибератаках, выявленных в ходе threat hunting, об основных трудностях, с которыми они сталкиваются в процессе проведения threat hunting. На вопросы журналистов ответили и представители NGR Softlab.
Можете поделиться случаем, когда результаты threat hunting привели к значительным изменениям в стратегии реагирования на инциденты?

Иван Трубченко, аналитик по информационной безопасности NGR Softlab:
«На моей практике, когда я работал в финансовой организации и участвовал в развитии поиска угроз в инфраструктуре, на уровне EDR произошла сработка «обфускация кода». В самом «алерте» детектились Powershell-скрипты, в которых разработчик применял пароли в открытом виде, без использования переменных сред.
Так как нельзя было исключать вероятность нахождения злоумышленника в периметре, команда аналитиков сформулировала рекомендации, направленные на уменьшение шансов компрометации:
  • Запрос пароля при каждом запуске скрипта: $pass = Get-Credential; #pass = Read-Host «Введите пароль» —AsSecureString.

  • Использование переменных окружения на уровне ОС Windows или на уровне терминала, чтобы изолировать чувствительные данные от самого скрипта и сделать их применение менее уязвимым.

  • Установка переменной среды с помощью дополнительной библиотеки python-dotenv.

  • Использование внешних конфигурационных файлов, например, JSON, XML, YAML и обращение к ним из скрипта.
Эти рекомендации позволили снизить риски с точки зрения информационной безопасности и уменьшить вероятность утечки данных, несанкционированного доступа к ИТ-системам и распространения вредоносного программного обеспечения».
Какие неявные или скрытые угрозы вам удавалось обнаружить с помощью анализа аномалий, и как это изменило представление о стратегиях защиты?
Николай Перетягин, менеджер по продукту NGR Softlab:
«Основной вид угроз, который мы обнаруживаем с помощью поведенческой аналитики в инфраструктурах заказчиков – это компрометация учетных данных. При этом сведения о подозрительных активностях пользователей, в основном, мы анализируем по данным журналов событий прикладных систем и их СУБД. К сожалению, ни антивирусные средства, ни средства защиты от несанкционированного доступа, ни другие решения, работающие по правилам (сигнатурам), не подскажут, что является для пользователя нормальным поведением, а что нет. Поэтому только этот подход может помочь точно выявить скрытую активность скомпрометированной учетной записи.
После выявления отклонений специалисты ИБ обычно ужесточают контроль над соблюдением политик безопасности, проводят разъяснительные работы с сотрудниками, которые регулярно игнорируют правила соблюдения конфиденциальности своих учетных данных.
Инсайдерская деятельность – это второй тип угроз, который мы обнаруживаем в инфраструктурах заказчиков, особенно при анализе группового поведения. Выявленные отклонения в групповом поведении позволяют более качественно проводить процедуры дополнительного контроля с использованием соответствующих систем (например, DLP, DAG, DCAP и пр.). К сожалению, СЗИ, которые работают по правилам (сигнатурам) в этом плане не такие гибкие. Для их настройки требуется предварительное определение параметров нормального поведения группы объектов, которые в некоторых решениях поведенческого анализа рассчитываются в автоматическом режиме.
Как правило, после обнаружения такого вида угроз специалисты ИБ переходят на многоуровневый подход к предотвращению утечек, полагаясь также на работу инструментов поведенческого анализа».
Прочитать статью целиком можно на сайте CISOCLUB.