Threat hunting нь кибер аюулгүй байдал, cyber threat-тэй салшгүй холбоотой сэдэв болоод удаж байна. Гэхдээ зарим хүмүүс threat hunting гэж юу болох, түүнийг хэрэгжүүлэхийн тулд ямар дэд бүтцийг бий болгох, threat hunter нь өөрөө ямар ур чадвартай байх вэ гэдэг дээр мэдээлэл тутмаг байдаг учраас энэ сэдвийн талаар мэдээлэл хүргэж байна.
Тодорхойлолт
Threat hunting-г энгийнээр тодорхойлбол: Танай байгууллагын аюулгүй байдлын төхөөрөмжүүдийг чинь нэгэнт даваад /evaded/ ороод ирсэн хортой код, APT-г идэвхтэйгээр /proactive/ хайх явцыг хэлж байгаа юм. Хайхдаа human-driven буюу автомат түүлээр биш заавал хүн төвтэй байх ёстой.
Яагаад threat hunting-г бүрэн автоматжуулж болдоггүйн шалтгаан нь танайд байршуулсан NGFW, IPS, antivirus гэх мэт системүүдийг чинь нэгэнд даваад ороод ирчихсэн зүйлийг хайж байгаа учраас тэр.
Threat hunt VS Incident response
Ихэнх хүмүүс threat hunter-уудыг, incident response team-тэй ижилхэн гэж ойлгоод байдаг. Гэхдээ ажил үүргийн хувьд нэлээд ялгаатай, магадгүй хүний нөөц багатай байгууллагад энэ хоёр үүргийн давхар гүйцэтгэх тохиолдол байж болно. Threat hunter нь сервер, систем, сүлжээний лог, activity дээр байнга, өдөр тутам шинжилгээ хийн халдлагад өртсөн object-ыг олдог ба яг л эргүүлийн цагдаа шиг гэсэн үг, ямар нэгэн гэмт хэрэг гараагүй байсан ч гудамжаар эргүүл хийж л байдаг тэгээд яг гэмт хэрэг болоход газар дээр нь маш хурдан гэмт хэрэгтнийг барьдагтай ижил.
Threat hunter хаана, ямар халдлагад өртсөн байгаа талаар incident response team-д мэдээллэнэ. Харин incident response team халдлага өртсөн системийг тусгаарлах, ямар өгөгдөл алдсан, ямар төрлийн халдлага байсан, системийг хэрхэн буцаан хэвийн үйл ажиллагаанд оруулах вэ, хэрхэн энэ төрлийн халдагаас урьдчилан сэргийлэх вэ зэрэг арга хэмжээг авдаг. Яг л гал команд шиг гэсэн үг, өөрөөр хэлбэл эргүүлийн цагдаа хаана гал гарч байгааг мэдээллэхэд гал командынхан хэрхэн цаг алдалгүй, хохирол багатай галыг унтраах вэ гэж ажилладагтай ижилхэн юм. Энэ цуврал блогийн үргэлжлэл болоод "incident response team, incident response plan"-ны талаарх нийтлэл орох учраас дэлгэрэнгүй тайлбарлалгүй үлдээе.
Threat hunting-ын ач холбогдол
Халдагч этгээд target байгууллагын сүлжээн нэвтрэн орсноос эхлэн тухайн байгууллагын аюулгүй байдлын төхөөрөмж эсвэл ажилтанд халдлага гэж танигдан устгагдах хүртэлх хугацааг dwell time гэх бөгөөд Mandiant-ын судалгаагаар дундаж нь 56 өдөр гэдэг бол Crowdstrike-ын судалгаагаар дундаж нь 95 өдөр гэж тодорхойлжээ. 56 өдөр нь дундаж тоо бөгөөд зарим байгууллага халдлагад өртөөд нууц мэдээллүүдээ алдсан ч мэдэлгүй өнгөрөх эсвэл мэдсэн ч сөрөг арга хэмжээ авах хүний нөөцгүйгээсээ болоод юу ч хийж чадахгүй өнгөрөх тохиолдол ч бий. Тэгэхээр threat hunting нь энэ 56 - 96 хоногийн хугацааг боломжит хамгийн бага түвшинд барихад туслах юм.
Threat hunting-ын ач холбогдол
Байгууллагын бүтэц, онцлогоосоо шалтгаалаад хэрхэн хэрэгжүүлэх аргачлал нь өөр өөр байж болох ч доорх үндсэн зарчмууд заавал тусгагдсан байдаг.
-
What we have
Хамгийн түрүүнд asset list буюу хөрөнгийн бүртгэлийг гаргана. Ингэснээр танай байгууллад хаана, ямар төхөөрөмж байгаа түүнийг хэн, хэрхэн ашигладаг нь тодорхтой болно. Өөрөөр хэлбэл Чи юутай вэ гэдгээ мэдэхгүй бол яаж хамгаалахаа бас мэдэхгүй гэсэн үг. -
Where to look
Threat hunting-ын хамгийн чухал цөм нь цуглуулсан лог, түүн дээр хийгдсэн анализ дээр тогтдог. Бид нэгэнт хөрөнгийн бүртгэлээ гаргачихсан учраас дараагийн алхам нь хаанаас, ямар логуудыг цуглуулах вэ гэдгээ шийднэ. Аль болох олон source-оос лог цуглуулах тусам халдлагыг таних магадлалыг өсгөж байдаг. Их хэмжээний лог цуглуулсан учраас түүн дээр хийгдэх шинжилгээ нь big data, machine learning суурьтай байх шаардлага үүсдэг ба энэ чиглэлээр хөгжүүлсэн opensource HELK platform-ыг туршиж үзэх боломжтой.
https://github.com/Cyb3rWard0g/HELK
Өмнө дурьсанчлан threat hunting-г бүрэн автоматжуулах боломжгүй ч threat hunter нь олон төрлийн analytic ашиглан боловсруулан шүүж авсан өгөгдөл дээрээ өөрийн туршлага дээр үндэслэн халдлага байж болзошгүй activity дээр таамаглал дэвшүүлж түүнийгээ лавшруулан шалгаж явсаар халдлагыг илрүүлнэ. Өөрөөр хэлбэл бүх логийг гараар шалгахгүйгээр analytic ашиглан 10000 логоос 100 лог болтол нь шүүж false positivie-г багасгаад түүн дээр шинжилгээ хийдэг гэсэн үг.
Зөвхөн security event-үүдийг цуглуулаад байхаас илүүтэйгээр тэдгээр логуудтай хамааралтай нэмэлт лог, өгөгдлийг enrich хийн нэмж өгснөөр халдлага илрүүлэхэд тань туслах болно. Жишээлбэл LDAP-аас авсан хэрэглэгчийн лог дээр ERP системийн access control, role-ыг агуулсан data-гаар баяжуулснаар өөрийн эрхээ зөвшөөрөлгүй нэмэгдүүлсэн хэрэглэгчийн үйлдлийг илрүүлэх боломжтой болох гэх мэт. Мөн encrich-ын эсрэг үйлдэл болох log tuning буюу анализд ашиглагдахгүй хэрэггүй зай эзлээд байгаа логуудыг филтерлэн хасдаг байх нь бас чухал.
-
What to look
Threat hunter-уудын хамгийн чухал эзэмших ёстой зүйл нь known normal буюу өөрийн чинь хянаж буй систем чинь энгийн үедээ ямар ямар логуудыг үүсгэж байдгийг сайн мэддэг байх, ингэснээр abnormal буюу халдлагад өртсөн үедээ ямар лог үүсгэхийг анзаарах чадвартай болно.
Халдагч этгээд байгууллагын сүлжээ, системийн мэдээлэл цуглуулах /reconnaissance/, аль нэг системэр дамжин нэвтрэн орох /exploit/, тэр системээрээ дамжин өөр системүүдийг эзлэх /lateral movement/, өгөгдөл хулгайлах /data exfiltration/ гээд халдлага хийсэн аргачлалуудыг хамруулсан бүтэн циклийг TTP буюу Tactik,Technique & Procedure гэнэ.
Threat hunter нь халдлагуудын төрөл, үйлдэгдэх дараалал, ашигладаг түүлүүдийн талаар нарийн мэдлэгтэй байх шаардлагатай бөгөөд эдгээрийн талаарх нэгдсэн мэдээллийг Mitre ATT&CK-ын knowledge base-ээс авах боломжтой.
-
Likelihood of attack
Бодит амьдрал дээр ихэнх байгууллагаруу targeted халдлагад тийм ч олон орж ирээд байдаггүй гэхдээ хэзээ нэг өдөр халдлага орж ирэхэд бүх зүйл бэлтгэлтэй, системүүд зөв тохиргоотой, threat hunter-ууд хангалтай хэмжээний туршлагатай байхын тулд бодит халдлагын симулатор хувилбарыг ашиглан дадлага хийж болдог ба үүнийг adversary simulation гэнэ.
Дараах симуляторуудыг ашиглан өөрсдийн хөгжүүлсэн аналитикаа сайжруулах, халдлагын үеийн аль step дээр нь лог дутуу авч байгаагаасаа болоод илрүүлж чадахгүй байна гээд маш олон сайжруулалтуудыг хийх боломжтой.
https://github.com/NextronSystems/APTSimulator
https://github.com/scythe-io/community-threats
https://github.com/mitre/caldera
Threat hunting-ын талаар энд бичсэн зүйлсээс илүү дэлгэрэнгүй мэдээллийг доорх 2 номоос авах боломжтой.
https://www.threathunting.net/files/huntpedia.pdf
https://www.threathunting.net/files/hunt-evil-practical-guide-threat-hunting.pdf
Threat hunting-ын ач холбогдол
Хэрвээ та threat hunting талаар судлаж эхэлж байгаа эсвэл танай байгууллага цөөн ажилтантай бол opensource системүүд ашиглаад логууд дээрээ шинжилгээ хийгээд явахад хүндрэл гарахгүй байх харин ажилтны тоо 300 болон түүнээс их буюу enterprice орчинд monitoring хийх системүүдийн тоо их, цугларч буй логийн хэмжээ өдөрт хэдэн GB-аар хэмжигддэг болоод ирэх үед яалтачгүй commercial product ашиглах шаардлага үүсдэг. Учир нь маш олон төрлийн системийн логийг нэг форматад оруулах, өдөр бүр маш хэмжээний лог дээр анализ хийх шаардлага үүсдэг, байнга шинэ TTP-ын талаар судалгаа хийх болдог гээд хүний нөөц, ур чадварын асуудал үүснэ.
Дараагийн блог сэдвүүд
Бид threat detection төрөлд цуврал байдлаар Threat hunting, EDR, Threat Intelligence, SIEM зэрэг сэдвүүдээр нийтлэл тавих болно.