Cyber Threat Hunting
Cyber Threat Hunting jest to aktywne wyszukiwanie zagrożeń zazwyczaj w sieci wewnętrznej organizacji jak również Internecie (cyber threat intelligence). Celem takiego podejścia jest wykrycie istniejących, aktywnych zagrożeń takich jak działania intruza – uwzgledniając w tym również wewnętrzne ataki (zagrożenia wewnętrzne) wykonywane na przykład przez pracownika działającego na szkodę przedsiębiorstwa (m.in. szpiegostwo gospodarcze).
Weryfikacja polega głównie na badaniu anomalii, w postaci analizy ruchu sieciowego na przykład zapytań DNS (m.in. DGA), analizy logów m.in. pod kątem IOC i komunikacji z C&C (określane również jako C2) oraz wielu innych – przede wszystkim własnych źrodeł danych pochodzących z CTI.
Możliwa jest również analiza samych systemów jednak ze względu na możliwość oszukiwania systemowych sygnałów przez złośliwe oprogramowanie typu rootkit – zazwyczaj nie jest to wiarygodne źródło informacji – o ile systemy wykrywania/logowania nie zostały wdrożone przed infekcją (np. na poziomie build`a systemu).
Możemy także monitorować stacje klienckie pod kątem aktywności użytkownika, w ten sposób wykrywając szczególnie niepowołane działania zachodzące między procesami, takie które mogą świadczyć o uruchomieniu przykładowo złośliwego oprogramowania z wiadomości e-mail (możliwość przeciwdziałania atakom APT).
Wykrywanie intruzów tą metodą jest wysoce skuteczne, ponieważ jest to swojego rodzaju proaktywna informatyka śledcza. W threat huntingu od paru lat wykorzystowana jest tzw. piramida bólu (ang. The Pyramid of Pain), określająca jakie informacje powinny być analizowane oraz jak trudno jest je pozyskać – jednocześnie jest ona dobrym przykładem dla naszych kompetencji w tej dziedzinie cyberbezpieczeństwa:
- Wartości skrótów (ang. hash), adresy IP, nazwy domen
– informacje automatycznie kolekcjonowane przez nasz system CTI; - Artefakty sieciowe oraz systemowe
– wiedza, która wynika z naszego doświadczenia w informatyce śledczej; - Narzędzia hakerskie
– wiedza, która wynika z naszego doświadczenia w testach penetracyjnych; - Taktyki, techniki i procedury (TTPs), metody działań cyberprzestępców
– wiedza, która wynika z naszego doświadczenia w red teamingu.
Adam Ziaja jest autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (ISBN 9788301193478) poruszającej tematykę informatyki śledczej i reagowania na incydenty (DFIR), wydanej przez Wydawnictwo Naukowe PWN.