THREAT HUNTING КАК ПРОЦЕСС SOC«SOC В РОССИИ», МАРТ 2017

Sergey Soldatov, Head of SOC

ПЛАН

Причины актуальности

Контекст угроз

Два подхода к обнаружению

ТН в процессах SOC

ПРИЧИНЫ АКТУАЛЬНОСТИ

Выше зависимость от ИТ

Выше уровень безопасности

– Выше сложность атаки

Больше рисков в области ИТ (мотивация)

Выше стоимость атаки

Процессы и организация

Разведка и подготовка

Профессионализм атакующих

Много векторов, технологий, инструментов

Скрытность

Атакующий:

- Пентест

- Нет права на ошибку

КОНТЕКСТ УГРОЗЫ

Антифоренсика

Бестелесность

Применение легальных

инструментов и технологий

Многоэтапность

Свежие, загадочные ТТР (горизонтальные перемещения,

закрепление, пр.)

http://reply-to-all.blogspot.ru/2017/03/blog-post.html

КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ

Постоянный сбор артефактов

Детекты на память

Контекст среды, Исследования,

Неточные сигнатуры

Хранение сырых данных

Исследования

Антифоренсика

Бестелесность

Применение легальных

инструментов и технологий

Многоэтапность

Свежие, загадочные ТТР (горизонтальные перемещения,

закрепление, пр.)

КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ

Предотвращение

Своевременное

обнаружение

Реакция и

восстановление

Ресурсы атакующего –

безграничны!

http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html

ДВА ПОДХОДА К ОБНАРУЖЕНИЮ

МОНИТОРИНГ (ALERTING):

Реактивно – обнаружение

известного

Уничтожает после поиска

сигнатуры

ПОИСК УГРОЗ (HUNTING):

Проактивно – обнаружение

неизвестного

Хранит все данные – многократная

проверка («Машина времени»)

Вендор

ITWIRAlerting

Гипотеза HuntingMA

DF

Alerting IRВендор

ITW

http://reply-to-all.blogspot.ru/2016/07/blog-post.html

ВЗАИМНОЕ ДОПОЛНЕНИЕ

Цели

Приоритеты

Сценарии

обнаружения

Распространение

сценариев

ОбнаружениеСбор

доказательств

Анализ

данных

Подтверждение

Классификация

Приоритезация

Сбор общей

информации

Дамп

памяти

Дамп диска

Анализ

вредоносных

образцов

Анализ общей

информации

Криминалистика

Сетевая

криминалистика

Хостовая

криминалистика

Threat hunting:

• Поиск неизвестных угроз

• Угроз использование легитимных инструментов

• Сбор данных для расследования

SOC:

• Обнаружение

известных угроз

(Alerting)

• Контроль работы

превентивных мер

КАК И ПОЧЕМУ ЭТО РАБОТАЕТ

Дан

ны

е

Детекты*

Поведение

процессов

События ОС

Микрокорреляция:

Все технологии в составе EP со

всеми базами

Репутация

Макрокорреляция, гипотезы:

Все знания о ТТР:

Внутренние исследования GReAT, AMR,

TARG, SOC, SSR

Анализ защищенности

Расследование инцидентов (DF, MA, IR)

Мониторинг SOC

По

ст

оя

нн

ое с

ов

ер

шен

ст

во

ван

ие

http://reply-to-all.blogspot.ru/2016/10/bis-summit.html

TH В ПРОЦЕССАХ SOC

Инвентаризация

Управление уязвимостями

Анализ угроз

Повышение осведомленности

Обнаружение атак

Управление инцидентами

Реагирование на инциденты

Анализ результатов и совершенствование

…

Обнаружение

необнаруживаемого

автоматически

ПОГОВОРИМ?Sergey Soldatov, CISA, CISSP

Head of Security Operations Center