10 Января, 2019

Каковы проблемы проведения Threat Hunting?

Panda Security в России и СНГ
Атаки без использования вредоносных программ в последние месяцы набирают все большую популярность в глобальном ландшафте информационной безопасности, а их дальнейшее развитие является одним из ключевых прогнозов на 2019 год, представленных антивирусной лабораторией PandaLabs .

В такого рода операциях злоумышленник выступает  в роли администратора сети, так или иначе  заполучив его регистрационные данные, т.е., по сути, выполняет работу сетевого администратора.

Поскольку никакие вредоносные программы не используются, системы безопасности должны уметь распознавать такой тип атаки за счет обнаружения аномального поведения пользователей в корпоративной сети. Технологии, способные решать такие задачи, являются составной частью концепции «Охоты за угрозами» ( Threat Hunting).
Меньше вредоносных инфекций и больше «живого» хакинга.
В 2016 году было на 40% меньше инфекций, чем в 2015 году, а в 2017 году снижение стало еще более существенным – до 70%. В 2018 году наблюдалась тенденция сокращения инфекций в результате вредоносных программ практически до нуля. Таким образом, как таковая проблема вредоносных программ фактически исчезает, в то время как новая проблема заключается в профессионализации кибер-преступников.

В мире существуют десятки тысяч хакеров, обученных правительственными органами, компаниями в сфере безопасности и криминальными организациями. Они осуществляют направленные атаки с помощью проприетарных вредоносных программ, и даже используют легитимные приложения и невредоносные программы для того, чтобы оставаться незамеченными. Все это требует адекватного реагирования на обеспечение безопасности компьютерных сетей.

После того как мы рассказывали о том, почему необходим Threat Hunting , и рассматривали, что представляет собой процесс проактивного поиска угроз , в данной статье мы попытаемся проанализировать, какие проблемы связаны с проведением данных работ, а также рассмотрим неотъемлемые преимущества для компаний.
Проблемы с осуществлением Threat Hunting

Основная проблема, которая останавливает ИТ-отделы от осуществления Threat Hunting , - это недостаток времени. К сожалению, зачастую ИТ-отделы имеют ограниченный размер, и один человек вполне вероятно может одновременно выполнять функции ИТ-администратора, технического специалиста и руководителя по информационной безопасности. Все это означает, что такой сотрудник, скорее всего, не имеет времени для выполнения подобных задач.

Время необходимо для поиска угроз, сбора данных и создания обоснованных гипотез. Более того, оно также необходимо для изучения индикаторов и шаблонов  атак (IOA и IOC). Поэтому время – это ключевой момент.

Платформы для поиска угроз ( Threat Hunting ) должны быть способны, помимо прочего, осуществлять мониторинг поведения компьютеров, запущенных на них приложений и, особенно, их пользователей. С технической точки зрения процесс Threat Hunting основан на огромном объеме данных обо всем поведении отслеживаемых компонентов, которые обновляются в реальном времени по мере возникновения тех или иных событий.

Используемая платформа должна быть способна исследовать этот огромный объем информации для разработки новых гипотез атак. На этом этапе системы машинного обучения будут определять приоритетность потенциальных инцидентов, которые после их срабатывания должны быть подробно проанализированы с использованием удаленных инструментов экспертного анализа, интегрированных в платформе.

И эти требования являются еще одной проблемой, учитывая тот факт, что человеческий фактор является ключевым моментом для дополнения процесса автоматизации: наем квалифицированных специалистов может стать еще одним сложным и дорогостоящим процессом, а создание или эксплуатация требуемых инструментов – еще одной серьезной статьей расходов, которые многие ИТ-отделы не могут себе позволить.

Если у вас нет времени, ресурсов или знаний, как вы можете использовать преимущества Threat Hunting ?

Ответ таков: использовать управляемый сервис, такой как Panda Threat Hunting & Investigation Service в рамках решений Panda Adaptive Defense [360]. Команда экспертов-аналитиков выявляет атаки, которые используют совершенно новые методы и механизмы для выполнения своих атак. Цель данного сервиса – обнаруживать атаки, для которых не существует известных индикаторов компрометации IOC или индикаторов атаки IOA, а это означает не просто решение задачи по интеграции с SIEM, но также обнаружение и создание новых индикаторов атаки.

Фактически, в реальном времени проводится поиск хакеров, которые выдают себя за системных администраторов, не использующих вредоносные программы или какие-либо специализированные утилиты (которые мы могли бы очень легко обнаружить), а использующих инструменты администратора, скрипты, PowerShell и т.д. Мы также ищем подозрительных сотрудников или неосторожных пользователей, которые пытаются навредить компании, украсть информацию или причинить какой-либо другой ущерб.

Для реализации всего этого используются профили личностей, и наш план также состоит в том, чтобы учитывать личность пользователя и контроль данных. Потому что ничто не должно ускользнуть в случае защиты самого ценного – конечного устройства – с помощью управляемого сервиса Threat Hunting.


Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com