V dnešním díle seriálu IT bezpečná firma se zaměříme na téma threat huntingu a jeho význam pro kybernetickou bezpečnost firemních sítí.
Naším průvodcem je Václav Chlad, jeden z threat hunterů společnosti TNS, který se podělí o svůj pohled na tuto službu, často považovanou za detektiva kyberbezpečnosti.
Václave, co je vlastně threat hunting?
Threat hunting je proaktivní hledání potenciálních hrozeb v rámci firemního prostředí.
Jinými slovy, nepřicházíme jen k incidentům, které si už o pozornost hlasitě říkají, ale systematicky hledáme známky neobvyklé aktivity, které by mohly naznačovat probíhající nebo plánovaný útok.
Využíváme přitom naše odborné znalosti, praktické zkušenosti z etického hackingu, různé zdroje threat intelligence, a také analytické nástroje, jenž pomáhají odhalit skryté hrozby, které běžné bezpečnostní systémy jako SIEM často nezaznamenají.
Václav Chlad, etický hacker a threat hunter ve společnosti TNS
Proč by měli firmy investovat do threat huntingu, když už mají třeba SIEM nebo SOC?
To je poměrně častá otázka, hlavně u firem, které již mají bezpečnostní opatření zavedená. SIEM pracuje na základě přednastavených pravidel a generuje alerty pouze pokud je detekována událost, která těmto pravidlům odpovídá.
Nicméně threat hunting se dívá za hranice těchto alertů a snaží se odhalit techniky, taktiky a postupy (TTP) útočníků, které tradiční pravidla v SIEM pokrýt nemohou.
Každý, kdo pravidla pro SIEM vytvářel, ví, jak složité je nastavit detekci, která identifikuje hrozbu a zároveň minimalizuje množství falešně pozitivních poplachů. To je skutečný boj s „alert fatigue“.
Threat hunter má prostor pro analýzu podezřelých událostí, které by SIEM jinak vyfiltroval nebo které prostě zůstanou mimo rámec běžné detekce.
Proto pro kyberneticky dostatečně vyspělé firmy threat hunting přináší další vrstvu ochrany a doplňuje činnost SOC, místo aby ji pouze opakoval.
Kde hledat inspiraci a zdroje pro efektivní lovení hrozeb?
Pro threat hunting používáme širokou škálu zdrojů. Využíváme přístup k různým komerčním threat intelligence platformám, které nabízejí informace o aktuálních hrozbách a často i předpřipravené dotazy pro SIEM.
Tyto zdroje nám poskytují data, která pak můžeme přímo využít jako základ pro hledání určitých indikátorů kompromitace.
Dalším skvělým zdrojem je komunita a volně dostupná pravidla. Například SIGMA rules z projektu Sigma HQ jsou skvělým inspirativním materiálem, protože obsahuje různě detailní detekční pravidla a je možné je přizpůsobit konkrétním potřebám klienta.
Threat hunting není jen o slepém pátrání, ale i o využití všech dostupných informací ke zvýšení šance na včasné odhalení hrozby.
Co je výsledkem úspěšného threat huntingu?
Ideálně je výsledek ten, že žádnou hrozbu nenajdeme a že je vše v pořádku! Ale teď vážně, během threat huntingu se často setkáme s událostmi, které se na první pohled jeví podezřele, ale nakonec je vyhodnotíme jako nezávadné.
Může se jednat o aktivitu red nebo purple teamingu nebo jenom šikovného administrátora, který si ověřuje detekční pravidla. To je užitečné, protože nám to dává možnost zjistit, které scénáře skutečně představují riziko a které ne.
A může kromě odhalení hrozby přinést i něco navíc?
I když threat hunting nepřinese konkrétní nálezy, obvykle výstupem není jen report nalezených hrozeb, ale také další doporučení. Může jít například o návrh na tvorbu nových detekčních pravidel v SIEMu, která by zachytila dosud nezachytitelné aktivity.
Nebo doporučení na rozšíření sběru dat z různých systémů či ohlédnutí na konfigurace, jako jsou firewall pravidla. Výsledkem je tedy celkové posílení bezpečnostního nastavení a často i navýšení viditelnosti v rámci celé sítě.
Jaké zdroje používáte pro threat hunting?
Co dalšího doporučit firmám pro zvýšení bezpečnosti?
Důležité je začít u přístupu k vlastní infrastruktuře – například zavést zero trust model i uvnitř interní sítě. Pokud se někdo dostane dovnitř, měl by mít přístup jen k minimálnímu množství dat a aplikací.
Dále je dobré pravidelně sledovat a revidovat, kdo a k jakým systémům má přístup, zejména pokud se jedná o kritické účty, jako jsou doménoví administrátoři. To výrazně snižuje riziko zneužití přístupů a zvyšuje bezpečnost celé organizace.
Kyberbezpečnost je kontinuální proces odehrávající se zároveň na mnoha úrovních. Eliminovat všechna rizika v této oblasti je extrémně složité a vyžaduje zapojení všech bezpečnostních metod a nástrojů.
Proto by měly firmy a organizace zařadit do svých bezpečnostních aktivit také threat hunting. Ten totiž není jen o jednorázové detekci hrozeb a lovení útočníka v síti.
Díky čerpání informací ze samotného procesu přináší navíc cenné poznatky pro kontinuální zlepšování bezpečnostních procesů a zvyšuje celkovou odolnost firmy vůči kybernetickým útokům.
Jak tedy začít s threat huntingem?
■ Pokud nevíte, jak s threat huntingem začít, zaměřte se nejprve na jednoduché indikátory kompromitace, jako jsou IP adresy, domény a hash hodnoty. Jakmile získáte větší jistotu, můžete přejít k lovu obecnějších taktik, technik a postupů.
■ Na začátku není nutné investovat velké finanční prostředky do nákupu drahých licencí na threat intelligence – mnoho užitečných informací, zejména ohledně TTP, lze získat z volně dostupných zdrojů.
■ Pokud zjišťujete, že nemůžete realizovat mnoho zajímavých analýz kvůli nedostatku záznamů o potřebných událostech, nezoufejte. Než tyto události do sběru přidáte, zkuste obrátit přístup a zamyslete se, jaké zajímavé informace lze získat ze zdrojů, které máte aktuálně k dispozici.
■ Threat huntingu lze věnovat neomezené množství času, ale pro začátek postačí, pokud mu pravidelně vyhradíte třeba jeden až dva týdny několikrát do roka.
■ Jelikož je výstupem z threat huntingu nejen varování před případnými hrozbami, neměly by výsledky zůstat nevyužité; je důležité je sdílet s dalšími IT týmy a integrovat je do firemních procesů, aby zlepšovaly bezpečnostní povědomí a efektivitu ochrany.
Seriál vychází rovněž v tištěném SecurityWorldu, kde kromě něj najdete i celou řadu dalších témat týkajících se problematiky firemní bezpečnosti.
Partnerem tohoto seriálu je firma:
PŘEDPLATNÉ
ČLÁNKY DO MAILU