Современный SOC представляет хорошо слаженную «фабрику», в которой функционирует множество важных и неотъемлемых процессов.
Одним из таких процессов является Threat Hunting. Прежде чем вести о нем повествование, договоримся об определении.
Будем понимать под Threat Hunting – проактивный поиск следов проникновения злоумышленника или функционирования вредоносных программ в информационной системе.
Определившись с предметом обсуждения, приступим к его описанию.
Во-первых, необходимо понять, на что направлен этот процесс и для чего он нужен?
Ответ на этот вопрос скрыт в определении. Threat Hunting – это тот процесс итеративного и проактивного поиска неопределяемых угроз. Это значит, что анализ событий в сети происходит не на основе срабатывания тех или иных средств защиты, а направлен на пристальное изучение имеющихся артефактов (логов, трафика, и т.д.) с целью выявления возможной деятельности злоумышленника.
Отличительной особенностью Threat Hunting является синтез результата на основе практически «сырой» информации.
Приступая к анализу, аналитик формулирует гипотезу, которая содержат в себе тезис о пути компрометации информационной системы в целом или ее отдельной компоненты. После чего ищется доказательство этой гипотезы. Фактически необходимо составить карту возможных действий злоумышленника и найти следы его присутствия в защищаемой сети.
Ключевым итогом Threat Hunting является доказательство или опровержение выдвинутой гипотезы. При чем обнаружения злоумышленника в сети зачастую аналитиком синтезируются индикаторы компрометации, которые затем используются для автоматического анализа средствами защиты.
Указанные действия достаточно трудоемки и требуют высокой компетенции аналитика в связи с тем, что автоматически формируемых оповещений от средств защиты принципиально нет.
Здесь необходимо сказать о втором важном свойстве Threat Hunting – о его предназначении.
Threat Hunting в первую очередь направлен на выявление сложных атак (о них можно почитать здесь), распределенных по времени и использующих незаметное (зачастую легитимное) для средств защиты программное обеспечение.
Threat Hunting требует наличия зрелых процессов информационной безопасности.
При этом фактически основоположник появления Threat Hunting David J. Bianco выделяет 5 уровней зрелости Threat Hunting.
Ключевым выводом из данной классификации является необходимость организация непрерывного процесса «охоты».
Сам процесс «охоты» можно представить в виде цикла
Процесс Threat Hunting инициируется «формулированием гипотезы», которая должна содержать вопроса «Как злоумышленник может скомпрометировать сеть?» и «Что он для этого может сделать?». При чем целесообразно формулировать отдельную гипотезу для каждого из возможных векторов действий злоумышленника. При этом в качестве исходных данных для гипотезы могут использоваться различные источники
На втором этапе происходит «проверка гипотезы» путем анализа имеющейся информации, применения различных техник и процедур. На данном этапе в зависимости от уровня процесса Threat Hunting могут использоваться различные инструменты и методы.
Этап «выявления новых индикаторов компрометации» является ключевым. На нем осуществляется верификация действий злоумышленника, выстраивается цепочка его действий и выявляются используемые тактики, техники и процедуры. На основании чего синтезируется новое знание об индикаторах компрометации. Также, при нахождение факта компрометации, инициируется проведение расследования инцидента.
На последнем этапе осуществляется «документирование результата» с целью возможности использования нового знания для обогащения баз знаний средств защиты информации. При этом под документированием необходимо понимать представление результата «охоты» в виде, понятном для средства защиты. Кроме того, распространение результатов Threat Intelligence осуществляется в том числе посредством Threat Intelligence.
Threat Hunting является достаточно «дорогим» процессом как с точки зрения времени, так и с точки зрения требований к компетенции аналитиков. Вместе с тем данная «дороговизна» компенсируется недопущением реализации рисков. Однако, еще раз повторимся, внедрению Threat Hunting должно предшествовать выстраивание иных процессов.
На рисунке представлен один из подходов к оценке зрелости SOC.
Threat Hunting следует внедрять тогда, когда он действительно необходим и когда к этому готов сам SOC (т.е. люди, процессы, технологии).
Таким образом, Threat Hunting является эффективным, но сложным методом противодействия кибер угрозам. Уровень входа в этот процесс весьма высок. В связи с этим целесообразно доверить эту задачу компетентным и опытным специалистам.