برای سازمانهایی که مراکز عملیات امنیتی بسیار خوبی دارند، هرگونه اشکالی می تواند به عنوان یک تهدید ضروری محسوب شود. در این مقاله یک چارچوب اصلی برای دو دستهبندی مختلف Threat Hunting ارائه میشود و همچنین چندین مدل از Threat Hunting که همه باید با آن آشنا شوند، معرفی میشود.
نمودار معماری Threat Hunting
Threat Hunting یک رویکرد قدمبهقدم است، شامل جستجوی پیشگیرانه برای نشانههای فعالیت مخرب در چارچوب شبکههای سازمانی بدون داشتن دانش ابتدایی از اینکه دقیقاً باید به دنبال چه نشانههایی گشت و سپس اطمینان حاصل کردن از اینکه فعالیت مخرب از سیستمها و شبکهها حذف شده است. این تکنیک شامل جمعآوری نمونههایی از منابع مختلف برای کمک به شناسایی عاملان تهدید مخرب است.
سه اصل معماری Threat Hunting
- Logها آماری از رخدادهایی که در یک سازمان اتفاق افتادهاند را فراهم میکنند. در آنها میتوانیم ببینیم که چه اقداماتی توسط مهاجم در سازمان انجامگرفته است.
- Packetها دادههایی هستند که در یک شبکه جریان دارند، در آنها میتوانیم ببینیم که در یک نقطهی زمانی بهخصوص، چه چیزی منتقلشده و چگونه منتقلشده است.
- فرایند به ما آمار دقیقی از تأثیرات مهاجم روی شبکه میدهد.
دستهبندی Threat Hunting
بررسی Passive Threat Hunting
Passive Threat Hunting فرایند تجزیهوتحلیل Logها و Packetها است، پیش از اینکه با استفاده از یک Feed بدون ساختار عادیسازی شوند. Threat Hunting باید با یک فرضیه بسیار قوی شروع کند، سپس از آن فرضیه استفاده کند تا نشانههای تهدیدات امنیتی یا IOCهای مشخصی را از Feed استخراج نماید. سپس IOCها با استفاده از دادههایی از Feedهای هوش تهدیدات دیگر، دوباره بررسی میشوند تا دقت IOCهای استخراجشده تائید گردد.
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید |
Passive Threat Hunting چگونه کار میکند:
محدودیتهای Passive Threat Hunting
یک Threat Hunting همیشه نخواهد توانست به همهی گوشه و کنارهای سازمانها برسد، اما به دلیل محدودیتهای Threat Hunting:
- نیازمند تلاش برای پیدا کردن IOCها است
- انجام تجزیهوتحلیل روی چندین منبع Log کار بسیار دشواری است.
- فرضیه و پیشفرضها در مورد تهدید باید در ابتدای کار خیلی قوی باشند.
- توانایی شناسایی فرایند یا آمار دقیقی از تأثیرات مهاجم روی یک سازمان محدود است.
Active Threat Hunting
Active Threat Hunting فرایند تجزیهوتحلیل Logها، Packetها و فرایندها است، زمانی که داده عادیسازیشده باشد یعنی تبدیل تمام دادههای بدون ساختار به یک قالب ساختارمند و سپس قابلدسترس کردن دادهها برای تجزیهوتحلیل. در Active Threat Hunting همسانسازی مجموعه Logهای مختلف به آدرس IP، کاربر و یا ماشین موردنظر با این هدف که مشخص شود تهدید چه تأثیری روی سازمان داشته است، کار آسانی است.
بیشتر بخوانید: نگاهی علمی به Threat Hunting و بررسی این فرایند در شناسایی عوامل مخرب – قسمت اول
Active Threat Hunting به شکارچیان اجازه میدهد سناریوهای پیچیدهای متشکل از حملات متفاوت و پیچیده را شکار کنند، مثلاً:
- DNS Reconnaissance
- Domain Generation Algorithm
- Robotic Pattern Detection
- DNS Shadowing
- Fast Flux DNS
- Phishing
- Beaconing
- APTها
- Lateral Movement
- نقض امنیتی مرورگر
- تقویت DNS
- DNS Tunneling
- بدافزار Skeleton Key
- حملات Low and Slow
- شناسایی تهدیدات مرکب
- DoS
- شناسایی نفوذ
- قابلیت دید و سرقت Cookie
- User Login Session Hijacking
- Broken Trust
- Session Fixation
- فعالیتهای مشکوک حساب Honey Token
- Data Snooping / تجمیع داده
- استخراج داده Cross Channel
- کلاهبرداری بانکی
- Session Replay
- حملهی Watering Hole
تکنیکهای Favorite Hunting
قبل از اینکه در مورد مدلهای Threat Hunting صحبت کنیم، باید تکنیکهای شکار را درک کنیم. یکی از تکنیکهای ضروری این است که اول تمام Feedهایی که برای شکار ضروری خواهند بود، تجمیع گردد. با توجه به منبع ورودی، میتوانیم ناهنجاریها را شناسایی کنیم مثلاً اینکه یک حساب کاربری فعالیتی را انجام دهد که قبلاً هرگز آن را انجام نداده بود. یک Threat Hunting، بهطور موازی مبنایی را برای هر آدرس حساب، دارایی یا حتی برای بخشهای بهخصوصی از سازمان خواهد ساخت. وقتی این اطلاعات در دسترس قرار گرفتند، میتوان تجزیهوتحلیلی موازی در مورد شناسایی رفتار و مشخص کردن وسعت حمله انجام داد مثلاً اینکه یک مهاجم تا چه حد نفوذ کرده است).
- تجمیع
- شناسایی ناهنجاری
- مشخص کردن مبنا Baselining
- انحرافات رفتاری برای داراییهای Local
- شناسایی رفتاری
- مشخص کردن وسعت
مدلهای معماری Threat Hunting
Hunting براساس رخداد
تمام مدلهای Hunting Threat به این بستگی دارند که فرضیه چقدر قوی است. هر فرضیهای باید براساس مشاهدات رخدادها و درک عمیقی از هر منبع Log باشد.
DNS Tunnel
کار اصلی یک Hunting Threat بررسی Logهای DNS برای سناریوهای زیر است:
- افزایش حجمی درخواستهای DNS
- افزایش حجمی درخواستهای NXDOMAIN
- ناهنجاری در پاسخ DNS نه IP یا NXDOMAIN
- درخواست دامین نادر
- بررسی طول دامین و سابدامین
شناسایی ناهنجاریها در Logهای پراکسی
Hunting Threat میتواند در Logهای پراکسی به دنبال موارد زیر بگردد:
- کد پاسخ مثلاً 200، 307، 403
- Agent کاربر نادر مورداستفادهی حساب کاربری
- رفتار کاتالوگ از حساب کاربری که درخواست چندین دامین را میکند که در آنها PLD ثابت است اما سابدامینهای متغیر هستند.
Hunting براساس IOC
IOC بخشی از دادههای جرمشناسانه است، اساساً دادهای که در فایلها یا تراکنشهای Log سیستم پیدا میشوند و نشاندهندهی فعالیتهای احتمالاً مخرب روی یک سیستم یا شبکه هستند. مثل اثرانگشت برای تهدید سایبری است.
شکار براساس IOC یکی از آسانترین روشها برای پیدا کردن یک تهدید بهخصوص است. بهترین راه برای توصیف شکار براساس IOC، از طریق هرم دردسر است.
وقتیکه یک IOC شناسایی میشود، جایگاه آن روی هرم نشان میدهد که IOC چقدر برای مهاجم دردسر ایجاد خواهد کرد. پایهی هرم، Valueهای Hash دردسری جزئی برای مهاجم ایجاد خواهند کرد. این موارد شامل Hashهایی مثل MD5، SHA1 و Artifactهای مشابهی است که فایلهای مشکوک یا مخرب بهخصوصی را شناسایی میکنند. IOCها برای شناسایی نمونههای حملهی بهخصوص که در یک حادثهی امنیتی شناسایی شدهاند، بهصورت منحصربهفرد، مفید هستند.
- وقتی از پایین به بالا میرویم، به ما کمک میکند که یک تهدید بهخصوص را شناسایی کنیم.
- اگر IOCها را برای یک تهدید بهخصوص داشته باشیم، خواهیم توانست کاری کنیم که مهاجم روش خود را تغییر دهد.
Entity-Based Hunting
درک وضعیت شبکه یک سازمان چالش پیچیدهای است. مهم نیست که چقدر منبع داشته باشیم، Hunting Threat همیشه باید شکار بخشهایی از شبکه را اولویتبندی کنند تا به حداکثر بازدهی برسند. شکار براساس نهاد Entity-Based Hunting روی کاربران با ریسک بالا HRU و داراییها با ارزش بالا HVA تمرکز دارد.
- در ابتدا باید پیش از شروع به کار، شبکه را بررسی کرد
- باید HRU و HVA را شناسایی کرد
- باید مشخص کرد که چه برنامههای کاربردی، مورد استفادهی کسبوکار قرار میگیرند
- باید گزارشهای ارزیابی ریسک را جمعآوری کرد
مهاجمین HVA یا HRU را هدف قرار میدهند تا به اطلاعات حساس دسترسی پیدا کنند یا مبنایی برای حرکت جانبی داشته باشند.
Threat Hunting باید بررسی سرورهای DMZ، بخشهای LAN سرور برنامه کاربردی و مدیران ارشد و سیستمهای آنها را در اولویت قرار دهند. سپس باید کنترلرهای دامین، ذخایر Container، سیستمهای تحقیق و توسعه و دیتابیسهای متمرکز مربوط به هر تیم را مورد بررسی قرار دهند.
شکار براساس تاکتیکها، تکنیکها و فرایندها
شکارچیان تهدید همیشه نمیتوانند روی IOCها حساب کنند. طول عمر مفید یک IOC بستگی دارد به طول عمر دامینها و IPهای مرتبط که میتواند بسیار کوتاه باشد. اگر ما واقعاً بخواهیم مانع حرکت یک مهاجم شویم، باید تاکتیکها، تکنیکها و فرایندهای او TTPها را درک کنیم. یک شکارچی تهدید باید درک کند که مهاجمین از چه تکنولوژیهایی استفاده میکنند،
در استفاده از آن تکنولوژی بهعنوان سلاح چقدر کارآمد هستند و از چه راههایی میتوانند خود را تطبیق دهند و تغییر کنند. ما همچنین باید درک کنیم که اهداف اصلی آنها چیست و چگونه در یک سازمان حرکت جانبی انجام میدهند. اگر یک شکارچی تهدید بتواند نمایی 360 درجه از حمله پیدا کند که شامل Artifactها، تأثیرات، اقدامات و تبلیغات باشد، خواهد توانست یک دفترچه برای شکار بسازد.
Hybrid Threat Hunting
Hybrid Threat Hunting از ترکیبی از چندین مدل Hunting Threat استفاده میکند. این یعنی شکارچی باید در تعداد زیادی از مدلهای Hunting Threat متخصص باشد. شکار Hybrid زمانی رخ میدهد که نمیدانیم حمله تا چه عمقی نفوذ کرده است و چقدر حرکت جانبی داشته است. در این مدل تمام مدلهایی که بالاتر اشاره شدند، میتوانند در هر مرحله از فرایند بررسی نقشی ایفا کنند.
یکی از بهترین مثالهای Hybrid Threat Hunting استخراج داده Cross Channel است. در این مثال، Hunting Threat سعی میکند دو منبع مستقل را پیدا کند که داده از یکی از آنها تجمیع شده است و از دیگری استخراج گشته است. در این سناریو، یک شکارچی میتواند از ترکیبی از شکار براساس رخداد، شکار براساس IOC استفاده کند.
بسته به اینکه افراد به چه دادههای سازمانی دسترسی دارند و چه اطلاعاتی از مهاجمین احتمالی دارند، شکار تهدید میتواند تغییر کند. هر کدام از این موارد میتواند روی شیوه یا مدل شکار تهدید مناسب برای هر شرایط بهخصوص تأثیرگذار باشد.
