THREAT HUNTING КАК ПРОЦЕСС SOC «SOC В РОССИИ», МАРТ 2017 Sergey Soldatov, Head of SOC
THREAT HUNTING КАК ПРОЦЕСС SOC«SOC В РОССИИ», МАРТ 2017
Sergey Soldatov, Head of SOC
ПЛАН
Причины актуальности
Контекст угроз
Два подхода к обнаружению
ТН в процессах SOC
ПРИЧИНЫ АКТУАЛЬНОСТИ
Выше зависимость от ИТ
Выше уровень безопасности
– Выше сложность атаки
Больше рисков в области ИТ (мотивация)
Выше стоимость атаки
Процессы и организация
Разведка и подготовка
Профессионализм атакующих
Много векторов, технологий, инструментов
Скрытность
Атакующий:
- Пентест
- Нет права на ошибку
КОНТЕКСТ УГРОЗЫ
Антифоренсика
Бестелесность
Применение легальных
инструментов и технологий
Многоэтапность
Свежие, загадочные ТТР (горизонтальные перемещения,
закрепление, пр.)
http://reply-to-all.blogspot.ru/2017/03/blog-post.html
КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Постоянный сбор артефактов
Детекты на память
Контекст среды, Исследования,
Неточные сигнатуры
Хранение сырых данных
Исследования
Антифоренсика
Бестелесность
Применение легальных
инструментов и технологий
Многоэтапность
Свежие, загадочные ТТР (горизонтальные перемещения,
закрепление, пр.)
КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Предотвращение
Своевременное
обнаружение
Реакция и
восстановление
Ресурсы атакующего –
безграничны!
http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html
ДВА ПОДХОДА К ОБНАРУЖЕНИЮ
МОНИТОРИНГ (ALERTING):
Реактивно – обнаружение
известного
Уничтожает после поиска
сигнатуры
ПОИСК УГРОЗ (HUNTING):
Проактивно – обнаружение
неизвестного
Хранит все данные – многократная
проверка («Машина времени»)
Вендор
ITWIRAlerting
Гипотеза HuntingMA
DF
Alerting IRВендор
ITW
http://reply-to-all.blogspot.ru/2016/07/blog-post.html
ВЗАИМНОЕ ДОПОЛНЕНИЕ
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
ОбнаружениеСбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Сбор общей
информации
Дамп
памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Threat hunting:
• Поиск неизвестных угроз
• Угроз использование легитимных инструментов
• Сбор данных для расследования
SOC:
• Обнаружение
известных угроз
(Alerting)
• Контроль работы
превентивных мер
КАК И ПОЧЕМУ ЭТО РАБОТАЕТ
Дан
ны
е
Детекты*
Поведение
процессов
События ОС
Микрокорреляция:
Все технологии в составе EP со
всеми базами
Репутация
Макрокорреляция, гипотезы:
Все знания о ТТР:
Внутренние исследования GReAT, AMR,
TARG, SOC, SSR
Анализ защищенности
Расследование инцидентов (DF, MA, IR)
Мониторинг SOC
По
ст
оя
нн
ое с
ов
ер
шен
ст
во
ван
ие
http://reply-to-all.blogspot.ru/2016/10/bis-summit.html
TH В ПРОЦЕССАХ SOC
Инвентаризация
Управление уязвимостями
Анализ угроз
Повышение осведомленности
Обнаружение атак
Управление инцидентами
Реагирование на инциденты
Анализ результатов и совершенствование
…
Обнаружение
необнаруживаемого
автоматически
ПОГОВОРИМ?Sergey Soldatov, CISA, CISSP
Head of Security Operations Center