Autor: admin

https://chacker.pl/

Z pomocą przychodzi projekt Open Source Security Event Metadata (OSSEM). Bracia Roberto i Jose Rodriguez stworzyli projekt OSSEM, aby pomóc naukowcom w udostępnianiu danych i analiz w standardowym formacie, dzięki czemu dziedzina mogła rozwijać się szybciej, bez straty czasu na tłumaczenie formatów dzienników istotnych dla bezpieczeństwa. Jak kilkakrotnie wspominaliśmy w tym rozdziale, jesteśmy winni braciom Rodriguez dług wdzięczności za wszystko, czego udzielili nam na tym polu. Projekt OSSEM jest podzielony na trzy części:

• Common Data Model (CDM) Zapewnia wspólny schemat danych, wykorzystując encje schematu i tabele schematu, aby umożliwić abstrakcję logów (na przykład podczas omawiania dzienników sieciowych zdefiniowano encje HTTP, Port i User-Agent ).
• Słowniki danych (DD) Kolekcje jednostek CDM i tabel, które definiują konkretny dziennik zdarzeń. Zdefiniowano wiele popularnych formatów dzienników, a Ty możesz dowolnie definiować własne.
• Model danych wykrywania (DDM) Zbiór obiektów danych i relacji wymaganych do zdefiniowania zachowania atakującego, np. mapowania struktury MITRE ATT&CK na dzienniki. Włożono tutaj wiele pracy, aby ukończyć znaczną część ram (pamiętaj, że Twój udział i wkład są mile widziane).

Razem komponenty OSSEM umożliwiają nasze oparte na danych i polowanie na zagrożenia w oparciu o hipotezy. Jak zobaczysz za chwilę, możemy polegać na tym narzędziu, aby przyspieszyć naszą analizę i nie grzęznąć w formatach dzienników, nazwach pól i tak dalej. Korzystanie z OSSEM to prawdziwa oszczędność czasu.

https://chacker.pl/

Problem z danymi polega na tym, że każde urządzenie, system operacyjny i aplikacja (źródło) generuje logi w innym formacie. Co gorsza, niektórzy dostawcy, tacy jak Microsoft, oferują kilka form rejestrowania; dlatego też, w zależności od tego, czego szukasz, dane mogą równie dobrze mieć format inny niż pozostałe dzienniki tego dostawcy. Na przykład firma Microsoft przechowuje dzienniki w Podglądzie zdarzeń (EVT), udostępnia dostęp na poziomie interfejsu API do dzienników na poziomie jądra za pośrednictwem śledzenia zdarzeń dla systemu Windows (ETW) i może przekazywać dzienniki za pośrednictwem serwerów przekazywania zdarzeń systemu Windows (WEF). Ponadto firma Microsoft udostępnia narzędzie Sysmon, które w prosty sposób udostępnia dzienniki procesów, plików i działań sieciowych na poziomie systemu. Każda z tych metod rejestrowania, żeby wymienić tylko kilka, zapewnia inny format. Jak więc znormalizować te źródła dzienników i setki innych źródeł w formacie umożliwiającym przeszukiwanie i skalowalny?

https://chacker.pl/

Zaczniemy od omówienia źródeł danych, potrzeby normalizacji logów z różnych źródeł danych oraz projektu Open Source Security Event Metadata (OSSEM) i narzędzi wspomagających ten proces. Jak wspomniano wcześniej, pierwszym krokiem w poszukiwaniu zagrożeń jest zrozumienie źródeł danych, a następnie wykonanie analizy luk i projektu zaradczego w przypadku brakujących danych. Prawdopodobnie w miarę postępów odkryjesz, że brakuje Ci kluczowych danych i będziesz mógł dalej je dostosowywać.

https://chacker.pl/

Podstawowy przebieg wyszukiwania zagrożeń jest następujący:

1. Wykonaj inwentaryzację źródeł danych, ocenę luk i podjęcie działań naprawczych.
2. Określ rodzaj polowania i kryteria wyszukiwania.
3. Upewnij się, że posiadasz dane wymagane do spełnienia kryteriów wyszukiwania.
4. Przeprowadź wyszukiwanie.

WSKAZÓWKA Zanim zaczniesz bardziej ogólnie polegać na wynikach wyszukiwania, naśladuj zagrożenie i upewnij się, że wyszukiwanie i dane są zgodne z oczekiwaniami.

5. Sprawdź wyniki. Jeśli zostanie wykryte zachowanie atakującego, kontynuuj dochodzenie i powiadom zespół reagowania na incydenty (IR).
6. Jeśli nie zostanie znalezione zachowanie atakującego, wróć na górę. Następnie spłucz i powtórz.

Otóż ​​to. Jasne, podczas tego procesu będziesz musiał się wiele nauczyć o tym, jak działają systemy operacyjne w Twoim środowisku, w jaki sposób generowane są, przesyłane i przechowywane dane dziennika oraz w jaki sposób przeciwnik porusza się po sieci, szczególnie gdy wygląda jak zwykły użytkownik , ale to wszystko jest częścią tego. Minie trochę czasu, a może nawet lat, zanim staniesz się biegły w polowaniu na zagrożenia. Zacznijmy więc teraz!

UWAGA: Ważne jest, aby zdać sobie sprawę, że bycie łowcą zagrożeń to podróż, która zajmie lata, zanim będziesz mógł uważać się za eksperta. Postaramy się pokazać Ci podstawy i wyposażyć Cię w narzędzia, dzięki którym z czasem udoskonalisz swoje rzemiosło. Nic jednak nie zastąpi poświęcenia 10 000 godzin, co dotyczy również tematów poruszanych w pozostałej części . Zatem ta część nie ma być wyczerpującym źródłem ani wyjaśnieniem polowania na zagrożenia. Do tego potrzeba by całej książki. Mamy nadzieję, że znajdziesz kilka nowych wskazówek dla tych, którzy mają doświadczenie w polowaniu na zagrożenia, ale tak naprawdę jest on skierowany do osób, które nie mają doświadczenia w tym temacie.

https://chacker.pl/

Jak pamiętasz, na szczycie piramidy bólu znajduje się TTP przeciwnika. Zachowanie przeciwnika jest najtrudniejszą rzeczą do odkrycia. Dobra wiadomość jest taka, że ​​przeciwnicy często powtarzają to, co działa, i to właśnie powtarzanie daje nam wskazówkę, czego szukać w przypadku danej grupy przeciwników. Struktura MITRE ATT&CK to zbiór wielu znanych (publicznych) TTP i została nawet wykorzystana do wskazania działań niektórych grup zaawansowanych trwałych zagrożeń (APT). Wykorzystując ten framework jako źródło, możemy użyć naszej wyobraźni i zbudować hipotezę dotyczącą działań przeciwnika w sieci. Następnie można przetestować wszelkie hipotezy; najpierw upewniając się, że mamy odpowiednie źródła danych, aby zobaczyć docelowe zachowanie, a następnie budując analitykę w celu wyszukania tego zachowania w danym środowisku sieciowym. Wreszcie możemy zbudować alerty, które poinformują nas, kiedy takie zachowanie wystąpi w przyszłości. W ten sposób możemy metodycznie poruszać się po frameworku MITRE ATT&CK, budując mapę zasięgu w miarę upływu czasu. Jedną z kluczowych koncepcji w tym momencie jest uznanie, że często będziemy zaczynać od środka frameworku, ponieważ na początku zakładamy kompromis. Następnie, jeśli odkryjemy oznaki prawdziwości hipotezy, możemy pracować w obu kierunkach w całym modelu: (1) iść do przodu i znaleźć ostateczną głębokość penetracji i ryzyka dla środowiska oraz (2) cofnąć się do znaleźć źródło naruszenia i zamknąć tę dziurę w przyszłości.

https://chacker.pl/

Polowania oparte na danych polegają na poszukiwaniu anomalii w stosach danych w organizacji. Najlepszym sposobem na tego typu polowania jest wykorzystanie platformy analitycznej, takiej jak Splunk lub Elasticsearch, do przedzierania się przez stogi danych w poszukiwaniu igieł. Co więcej, tradycyjne urządzenie do zarządzania zdarzeniami związanymi z informacjami o zabezpieczeniach (SIEM) jest cennym punktem wyjścia do poszukiwań opartych na danych. Jednak łowca zagrożeń prawdopodobnie przerośnie możliwości nawet najlepszych dostępnych SIEM, szczególnie gdy zacznie wykonywać łączenia wewnętrzne i zewnętrzne na różnych źródłach danych, w tym na źródłach danych nieustrukturyzowanych, co jest trudne, jeśli nie niemożliwe w przypadku większości SIEM.

https://chacker.pl/

Polowania oparte na technologiach Intel opierają się na danych wywiadowczych dotyczących cyberzagrożeń oraz wskaźnikach kompromisu uzyskanych z wywiadu o otwartych i zamkniętych źródłach. Na przykład skrót pliku może wskazywać na kompromis i warto sprawdzić, czy ten plik istnieje w całym środowisku. Co więcej, taktyki, techniki i procedury (TTP) poszczególnych aktorów zagrażających są interesujące dla każdego łowcy zagrożeń i często można je znaleźć w raportach wywiadowczych oraz w informacjach udostępnianych przez innych. Nie będziemy jednak skupiać się na tego typu polowaniach, ponieważ stosowane techniki są wykorzystywane w innych, trudniejszych scenariuszach.

https://chacker.pl/

Istnieje kilka rodzajów polowań na zagrożenia, m.in.:

• Polowania oparte na technologii Intel
• Polowania oparte na danych
• Polowania oparte na hipotezach

https://chacker.pl/

Polowanie na zagrożenia to systematyczny proces polowania na przeciwnika, który już znajduje się w sieci. Mówimy o włamaniu, które już się rozpoczęło, a celem jest skrócenie czasu, jaki osoba atakująca może przebywać w sieci. Po wykryciu atakującego można zastosować odpowiednią reakcję na incydent, aby usunąć go z sieci i przywrócić normalne działanie. Dlatego też polowanie na zagrożenia nie jest reakcją na incydenty, chociaż pod wieloma względami oba te podmioty współpracują ze sobą i często w ich skład wchodzą osoby o tych samych umiejętnościach. Jednak w idealnym przypadku istnieje oddzielny zespół poszukujący zagrożeń, który cały czas poluje na wszelkich przeciwników w sieci. W organizacji o ograniczonych budżetach myśliwy może zmienić kapelusz po wykryciu przeciwnika i pełnić funkcje reagowania na incydenty. Podobnie łowca zagrożeń nie jest testerem penetracji. Ponownie, obaj mogą mieć podobne doświadczenie i umiejętności, ale sposób myślenia jest inny. Tester penetracji szuka sposobów na wejście do sieci i przez nią, aby odkryć luki w zabezpieczeniach i je naprawić, zanim znajdzie je przeciwnik. Łowca zagrożeń zakłada, że ​​naruszenie już miało miejsce i jest bardziej skupiony na znalezieniu tropu przeciwnika i wykryciu go po wejściu do sieci, niż (początkowo) na tym, jak przeciwnik się tam dostał.

https://chacker.pl/

Co to jest polowanie na zagrożenia? Polowanie na zagrożenia opiera się na założeniu, że przeciwnik jest już w sieci i należy go wyśledzić. Jest to temat wymagający sporej wiedzy na temat (1) sposobu działania przeciwników i (2) normalnego działania systemów oraz ataków. Dlatego też jest to temat, którego nie da się w pełni omówić w tym rozdziale. Naszym celem jest jednak przedstawienie przeglądu podstaw, które z czasem będziesz mógł rozszerzać.