Шта је лов на претње?
Било да су засноване на софтверу или на људима, злонамерне претње не декларишу своје присуство. Алати за сајбер безбедност морају да траже малвер, уљезе и злонамерне инсајдере и постоји низ техника које се могу користити у ту сврху.
Сваки добављач безбедносног софтвера има омиљену технику и они се придржавају ње јер функционише. Иако постоји неколико различитих лов на претње стратегије, не постоји њихова лигашка табела - не постоји ниједна која се универзално сматра бољом од осталих. Погледаћемо главне методе откривања претњи и објаснити како функционишу.
Терминологија лова на претње
Као и свака ИТ дисциплина, сајбер безбедност и лов на претње имају своју терминологију. Ево неких важних појмова које треба да знате када проучавате лов на претње:
- ЕДР – Детекција крајње тачке и одговорНадгледа крајње тачке (десктопове, сервере, мобилне уређаје, ИоТ гаџете) на претње и примењује аутоматизоване одговоре на откривање
- КСДР – Проширено откривање и одговорПакет безбедносних алата који се комбинују да обезбеде откривање претњи и аутоматизовани одговор. Главне елементе треба да испоручи СааС.
- ИДС – Систем за детекцију упадаОво је пакет за тражење претњи који ради или на фајловима евиденције у случају ИДС-а заснованог на хосту (ХИДС) или на подацима за праћење активности уживо у случају ИДС-а заснованог на мрежи (НИДС).
- ИПС – Систем за спречавање упадаИДС са аутоматским правилима одговора.
- СИЕМ – Безбедносне информације и управљање догађајимаПретражује датотеке евиденције и податке за праћење мреже и подиже упозорење о откривању претњи. Ово је комбинација управљања безбедносним информацијама (СИМ), што је ХИДС, и управљања безбедносним догађајима (СЕМ), што је НИДС.
- СОАР – Безбедносна оркестрација и одговорРазмена података између безбедносног софтвера који емитује или информације о претњи или упутства за одговор.
- СПЦ – Безбедносно-оперативни центарДата центар који обезбеђује праћење и управљање безбедносним софтвером, додајући специјалистичке људске анализе.
- Ц ТИ – обавештајни подаци о сајбер претњамаПодаци о нападима који су се догодили на другим местима и како су се одвијали. То такође може бити упозорење на цурење података или брбљање на хакерским сајтовима који указују на скори напад на земљу, сектор, предузеће или појединца.
- ИоА – Индикатор нападаЗнак да је напад у току. Ово би било откривање пхисхинг е-поште или зараженог прилога е-поште. Покушај РДП везе или прекомерни неуспели покушаји пријаве за налог су други знаци да је напад у току.
- ИоЦ – Индикатор компромисаОстатак недавног напада. Они се могу формулисати у низ фактора, потписа злонамерног софтвера и злонамерних адреса. Они се саопштавају као обавештајни подаци о претњи. Међутим, мале варијације у методама могу осујетити откривање.
- ТТП – Тактике, технике и процедуреСтратегије претњи које се саопштавају као упозорења у фидовима обавештајних података о претњама. Они детаљно наводе недавно откривену активност хакерске групе, као што су назив групе и њихове методе истраге и уласка.
- УБА – Аналитика понашања корисникаПраћење активности по налогу вимена који успоставља образац нормалног понашања. Ово пружа основу за откривање аномалија, која тражи одступање од стандардног понашања корисничког налога.
- УЕБА – Аналитика понашања корисника и ентитетаИсто као УБА, али са записом стандардне активности на уређају, који је обично крајња тачка.
Извори података за лов на претње
Лов на претње се може одвијати на два нивоа: у предузеће или глобално . Глобалне претраге се ослањају на податке отпремљене од предузећа.
Велике количине података укључене у такве системе могу се значајно смањити инсталирањем претходна обрада модула на сваком систему који доприноси. Ова стратегија би могла да филтрира неке информације које локални аналитички механизам не идентификује као потенцијални индикатор. Дакле, квалитет ових изворних података у великој мери зависи од алгоритма који користи група за обавештавање претњи. Брзина претраживања података и капацитет централне ловачке јединице такође утичу на количину филтрирање потребни сакупљачима података.
Лов на претње предузећа ослања се на три главна извора за улазне податке:
- Дневник порука
- Мониторинг система
- Опсервабилити
Све три врсте података морају се прикупити из сваке компоненте система – и хардвера и софтвера – да би се стекла потпуна слика напада.
Дневник порука
Главни извор података за лов на претње долази из дневник порука. Сваки оперативни систем и скоро свака апликација генерише поруке дневника и њихово прикупљање пружа богат извор информација о активностима система.
Мониторинг система
Као што поруке дневника стално круже у ИТ систему, тако су и подаци за праћење. Опет, само треба да се прикупи. Ове информације укључују информације о перформансама мреже уживо доступне преко Једноставан протокол за праћење мреже (СНМП). Други извори информација који су лако доступни уз врло мало труда укључују процесне податке из Таск Манагер у Виндовс-у или пс услужни програм за Линук, Уник и мацОС.
Опсервабилити
Системе без сервера и активности без датотека је теже пратити и са њима је потребно активно прикупљање података дистрибуирано праћење телеметријски системи. Информације изведене из праћења покренутих процеса могу се допунити профилисање кода где се активности реализују језицима за кодирање обичног текста. Думпови меморије и скенирање стрингова такође могу открити индикације напада кроз присуство ДЛЛ функција за које се зна да се користе у злонамерним нападима, као што су услужни програми за манипулацију меморијом и регистрима.
Токови података за лов на претње
Иако су доступни неки дистрибуирани системи за тражење претњи, углавном за заштиту крајњих тачака, ове услуге су обично централизоване. А АВ следеће генерације користи лов на претње на уређају, али сви други системи, укључујући ИДС, ЕДР, КСДР и СИЕМ алате, прикупљају податке са више уређаја на систему у централизовани скуп.
Софтвер као услуга ловци на претње могу да обједине језера података која се користе за све хостоване клијенте у пакет за откривање претњи на нивоу услуге. Овај ток података у збирку облака је такође главни извор информација за који се користи обавештајни подаци о претњи храни.
У свим случајевима, подаци ће бити прикупљени из различитих врста извора, као што су датотеке евиденције или записи о надзору система, и преведени у заједнички формат тако да се ти различити распореди записа могу сакупити у јединствену листу са истим пољима података на истој локацији. Лов на претње се спроводи као низ претрага заједно са филтрирањем и груписањем података.
Изворни подаци за лов на претње ток ка централном базену. Обавештајни подаци о претњи , који информише откривање претњи, путује у другом правцу – од централне локације до појединачних корпоративних налога, а затим до локалних процесора података, као што су АВ засновани на уређајима. Инструкције за одговор такође путују од централног система ка локалним уређајима.
Стратегије лова на претње
Сви системи за лов на претње спадају у две категорије стратегије: на основу потписа и на основу аномалија претраге.
Лов на претње на основу потписа
Методе детекције засноване на потпису су најстарија стратегија која се користи за производе за сајбер безбедност. Оригинални антивирусни системи су користили овај приступ, који је скенирао системе на присуство одређених датотека, које се обично идентификују хеш потписом, а не њиховим именима.
Иако је лов на претње заснован на потписима стара стратегија, није застарела – тако функционишу системи који раде са изворима података о претњама. Тхе ЦТИ феед обезбеђује листу процеса, датотека или адреса које треба тражити (ТТП) и ловац на претње скенира своје језеро података у потрази за њиховим присуством.
Проналажење претњи засновано на обавештајним подацима о претњи се такође назива истрага заснована на хипотезама. Лов на претње заснован на потписима јавља се у реалном времену , скенирање података како стижу од дистрибуираних сакупљача и такође ретроспективно , прегледајући складишта записа догађаја. Ретроспективна претрага је потребна кад год је нова ТТП се испоручује. То је зато што претходни увиди нису укључивали ове стратегије напада и систем за откривање упада треба да открије да ли је систем већ био компромитован од стране хакера, користећи новооткривене методе.
Јосх и ИоЦс , коју испоручује провајдер система за лов на претње, такође имплементира детекцију засновану на потпису. Ови извори информација се користе за претрагу живих и историјских података.
Лов на претње заснован на аномалијама
Уместо да тражи постојање нечега, лов на претње заснован на аномалијама идентификује неправилности. Конкретно, тражи Промене у обрасцу активности у систему. Ова врста детекције је посебно важна за заштиту од преузимања налога и инсајдерских претњи.
Догађаји као што је крађа података не захтевају од хакера да инсталирају нови софтвер – објекти које већ имате на располагању за овлашћене кориснике су довољно добри да помогну крадљивцима података да извуку вредне информације. Аналитика понашања корисника (УБА) и аналитику понашања корисника и ентитета (УЕБА) имају за циљ борбу против неовлашћеног коришћења овлашћених апликација.
Детекција заснована на аномалијама прво мора да утврди шта је нормално понашање пре него што може да уочи одступања. Стога, УБА и УЕБА системи користе Машинско учење да региструјете основну линију редовних активности за сваког корисника или уређај. Машинско учење је дисциплина Вештачка интелигенција (АИ).
Аутоматско откривање наспрам ручне анализе претњи
Лов на претње је сталан процес и укључује претрагу велике количине података . Ово је задатак за који су рачунари веома погодни. За све осим за најмањи посао, идеја о ручном тражењу претњи није само почетница.
Ручна анализа података има улогу у лову на претње као допуну сталној аутоматизованој детекцији. Најбоља комбинација компјутеризоване и људске анализе је пустити аутоматизовани систем да сортира податке, а затим означи граничне случајеве ради људске процене.
Велики проблем са системима за откривање претњи заснованим на правилима који укључују аутоматизовани одговори је да могу погрешно да приписују нормално понашање и да блокирају легитимне кориснике. УБА и УЕБА су примењене на лов на претње у покушају да се ово смањи лажно позитивно извештавање . Без обзира на то колико је фино подешен систем детекције, увек постоји могућност да ће корисник изненада извршити радњу која је део његове редовне радне рутине.
Прихватљива аномалија може бити редак задатак који се очекује од корисника, али који систем машинског учења раније није видео јер не ради довољно дуго.
Врста ручне интервенције у систему лова на претње зависи од предузећа безбедносна политика . На пример, необичан догађај који се ретко дешава могао би се назвати човеком путем издавања упозорења као јединог одговора. Алтернативно, подешавања ИПС-а могу да захтевају стратегију која је на првом месту за безбедност која блокира налоге укључене у аномално понашање, а затим оставља процену активности и могућих преокрет акције одговора администратору.
Улога безбедносни аналитичар није посао који се може насумично доделити техничару у тиму за подршку. Ово је високо специјализована вештина и тешко је доћи до квалификованих аналитичара. Када се нађу, веома су скупи. Ово је један од разлога зашто се вреди купити аутоматизовани алати за сајбер безбедност.
Решење за потребу за људском експертизом у сајбер безбедности је уговор а управљани лов на претње услуга. Ово укључује пакет безбедносног софтвера заснованог на СааС-у и сервер за његово покретање и додаје тим стручњака за безбедност који ће анализирати оне необичне аномалије које рачунарски систем не може да категоризује.
Лов на претње у алатима за сајбер безбедност
Наше препоруке о системима за лов на претње можете прочитати у Најбољи алати за лов на претње . За илустрацију тога како различити алати могу појединачно и као део пакета услуга да врше лов на претње, можемо погледати пакете које нуди ЦровдСтрике .
ЦровдСтрике-ови алати за сајбер безбедност се нуде са Фалцон-а са СааС платформом. Једна од њихових услуга је антивирусна услуга следеће генерације и ово је једина апликација Фалцон пакета која ради на крајњим тачкама уместо на Фалцон цлоуд платформи.
Ево како се алати уклапају заједно:
- ЦровдСтрике Фалцон Превент – он-премисесЛокално врши лов на претње и такође делује као агент за прикупљање података за Фалцон системе засноване на облаку.
- ЦровдСтрике Фалцон Инсигхт – засновано на облакуЕДР који координира активности свих Фалцон Превент инстанци за посао и претражује отпремљене податке на начин СИЕМ-а.
- ЦровдСтрике Фалцон КСДР – засновано на облакуРади на исти начин као Фалцон Инсигхт, али такође извлачи податке о активностима из алата трећих страна и може да комуницира аутоматизоване одговоре на Фалцон дисцовер или друге локалне безбедносне системе.
- ЦровдСтрике Фалцон Интеллигенце – засновано на облакуОбавештајне информације о претњама које је прикупио ЦровдСтрике из свих ЕДР и КСДР система који раде за клијенте, плус искуства са апликацијама трећих страна.
- ЦровдСтрике Фалцон Оверватцх – засновано на облакуУправљана услуга која обезбеђује систем Фалцон Инсигхт заједно са техничарима и аналитичарима за покретање система и пружање ручне процене података.