Threat Hunting: Hoe proactief cyberdreigingen opsporen ?
Inleiding
Threat Hunting is een activiteit die varieert van het zoeken naar eenvoudige Indicatoren van Compromittering (IOC) tot veel complexere onderzoeken. We zullen ontdekken hoe dit wordt uitgevoerd door onze teams, ten behoeve van onze klanten.
Threat Hunting is een proactief digitaal onderzoek, uitgevoerd door een onderzoeker, met als doel een potentiële compromittering of anomalie binnen het informatiesysteem te ontdekken.
Maar hoe kan een handmatig onderzoek een bedreiging detecteren wanneer producten zoals XDR (Extended Detection and Response), EDR (Endpoint Detection and Response), antivirus, proxy of andere geautomatiseerde beveiligingsoplossingen die al aanwezig zijn, deze niet zouden hebben gedetecteerd?
Wanneer de waarschuwingen van deze beveiligingsoplossingen evenals de beveiligings- en auditlogs van de systemen 24/7 worden geanalyseerd door een SOC-analist, wat zou dan de toegevoegde waarde van deze activiteit Kunnen zijn?
Wat is Threat Hunting?
Threat Hunting is een proactieve zoektocht naar onbekende of niet-gedetecteerde bedreigingen binnen een organisatie, hetzij door middel van onderzoek naar werkstations, netwerkartefacten of beveiligingslogboeken. Er zijn twee hoofdmodellen van operationele Threat Hunting.
De ongestructureerde aanpak: De expert gaat op zoek naar een indicator van compromittering (IOC). Deze kunnen variëren: een cryptografische hash (bestandssamenvatting), een IP-adres, een domeinnaam, of zelfs locaties of bestandsnamen.
Het onderzoek begint met een “spoor” waarvan men kennis heeft. Het is noodzakelijk om deze indicatoren in het verleden te kunnen zoeken, op een retroactieve manier, omdat de tijd tussen het ontvangen van een IOC en het vermogen om deze te gebruiken regelmatig meerdere dagen kan overschrijden.
Bijvoorbeeld, men kan een phishing-URL van de afgelopen maand zoeken zodra men deze IOC ontvangt, om te bepalen of een gebruiker in die periode is getroffen. Het probleem is de moeilijkheid om een zowel uitputtende als handmatige verwerking uit te voeren, vanwege het volume aan gegevens. Het is dus belangrijk om:
- het zoekbereik te verkleinen op basis van verschillende criteria (zoals de bronnen van de IOC, de gevaarlijkheid ervan, enz.),
- of grootschalige automatisering in te voeren om alles automatisch te verwerken.
Er is altijd een vertraging tussen het moment waarop een slachtoffer een verzoek naar een IOC genereert (bijvoorbeeld naar een domein, in het geval van phishing) en de kennis daarvan door de beveiligingsteams. Om effectief te zijn, moet men in staat zijn om elke nieuwe IOC in het verleden te zoeken. Dit is een uitdaging in termen van volume waarmee SIEM’s alleen niet altijd kunnen omgaan.
In een tweede fase, om de jacht te voltooien, als het team een gebeurtenis ontdekt die verband houdt met een nieuwe IOC, moet het aanvullende handmatige analyses uitvoeren door te draaien op de eerste ontdekkingen. Bijvoorbeeld, in het geval van een phishing-domein waarmee een gebruiker verbinding heeft gemaakt, kan de volgende stap de analyse zijn van de e-mailbox of de werkstation van de gebruiker - om het startpunt van deze verbinding te bepalen. Deze noodzaak om te vertrouwen op nieuwe ontdekkingen zal doorgaan tot de volledige oplossing van dit incident. Dit is het hele belang van proactieve en handmatige Threat Hunting, waarbij het jachtteam de aanvalsvector moet reconstrueren door op een ongestructureerde manier alle beschikbare informatie te gebruiken.
De gestructureerde aanpak: Dit type Threat Hunting is gebaseerd op het zoeken naar tactieken, technieken en procedures (TTP’s) die potentiële bedreigingsindicatoren kunnen vormen. De expert die verantwoordelijk is voor Threat Hunting stelt een hypothese op over de methoden van een aanvaller en probeert sporen van deze aanval te identificeren. Gestructureerde Hunting is een proactieve benadering die helpt aanvallers te ontdekken die door de bestaande beveiligingsoplossingen zijn geglipt.
Laten we een voorbeeld nemen van een gestructureerd onderzoek door het identificeren van malware via de “User Agents”. Een “User Agent” is een tekenreeks die in elke webverzoek door de browser wordt ingevoegd en die historisch gezien de webserver in staat stelde de inhoud aan te passen aan de browser.
Het implementeren van dit type detectie binnen een Cyber Security Operation Centre (CSOC) of Cyber Supervisie Centrum zou een waarschuwing geven voor elke onbekende of weinig bekende “User Agent” die door de CSOC-tools wordt gedetecteerd. Het aantal “User Agents” dat in een informatiesysteem circuleert, is echter zeer groot, wat dit type detectie moeilijk te implementeren maakt.
Een benadering door een Threat Hunter is relevanter: hij gaat uit van de hypothese dat de meerderheid van het IT-park gezond is en dat slechts enkele machines zijn gecompromitteerd. Deze enkele machines kunnen worden geïdentificeerd door deze “digitale vingerafdruk” die de “User Agent” is. De Threat Hunter gebruikt een EDR om de legitimiteit van de uitvoerbare bestanden op de computers die netwerkverzoeken met deze ongebruikelijke User Agents hebben gegenereerd, te verifiëren.
Het uiteindelijke doel zou zijn om de inzet van een RAT (Remote Access Trojan), zoals Cobalt Strike, aan te tonen, waar een automatische detectie dit niet zou hebben ontdekt.
Daarentegen is Threat Hunting niet bedoeld om bestaande detectietools of een CSOC te vervangen. Het is een extra beveiligingslaag die aanvullend werkt op de traditionele geautomatiseerde detectietechnieken en daarop steunt om te functioneren. Het vereist een zekere volwassenheid van de beveiliging van het informatiesysteem. Het kan worden toevertrouwd aan incidentbeheerteams tijdens periodes waarin incidenten zeldzaam zijn. Het team kan dan vertrouwen op de concepten die tijdens incidenten worden gebruikt om incidenten op te sporen die nog niet zijn ontdekt.
Ons antwoord
Threat Hunting op basis van IOC’s, evenals “Retro Hunting”, zijn direct geïntegreerd in onze CSOC Thales.
Deze oplossing maakt gebruik van Passive DNS (Domain Name System, of passief domeinnaamsysteem) waarmee we waarschuwingen kunnen genereren voor netwerktoegang die plaatsvond vóór de ontvangst van een IOC, ondanks het grote volume aan gegevens dat moet worden verwerkt. Voor elk ontvangen domein wordt een waarschuwing gegenereerd zodra een gebeurtenis wordt gedetecteerd tussen het eerste gebruik ervan en de ontvangst in onze Threat Intelligence-bronnen. Vervolgens voert de SOC-analist een gedetailleerd onderzoek uit naar deze IOC in de SIEM of EDR om een mogelijke compromittering te bevestigen. Deze techniek is bijzonder effectief voor indicatoren die betrekking hebben op phishing, die per definitie slechts één keer worden gebruikt. Deze activiteit wordt Retro Hunting genoemd.
Daarnaast kunnen we op verzoek een gestructureerde Threat Hunting implementeren, genaamd Sleuth Hunting.
We organiseren deze activiteit rond “HUNTs”, of “jachten”. Een jacht is een detectie-activiteit gebaseerd op kennis van de technieken van aanvallers, ondersteund door openbare, privé-rapporten of in vivo behandelde incidenten. Een jacht wordt regelmatig uitgevoerd gedurende het hele jaar. Elke maand worden jachten uitgevoerd met als uiteindelijke doel het volledige detectiespectrum te dekken. De regelmaat van deze activiteit stelt ons in staat om up-to-date te blijven. We passen onze activiteiten voortdurend aan de nieuwste bedreigingen aan. Bijvoorbeeld door verbindingen te zoeken die rechtstreeks zijn gemaakt vanaf bepaalde perimeterapparaten, een firewall of een VPN-oplossing…
In alle gevallen wordt aan het einde van elke jachtmaand een rapport uitgebracht. Het bevat de uitleg van de uitgevoerde activiteiten, de referenties die tot deze activiteiten hebben geleid, de activiteiten van kwaadaardige groepen of de laatste trends. Het bevat ook de details van de uitgevoerde acties en operationele maatregelen. Het kan ook voorstellen bevatten voor aanpassing van use cases of verbeteringen met betrekking tot beveiliging.
Conclusie
Threat Hunting is een activiteit die waarschuwingen kan genereren die onopgemerkt blijven met de bestaande detectiemethoden binnen het informatiesysteem.
Deze activiteiten maken het ook mogelijk om abnormaal gebruik van het informatiesysteem te ontdekken, zoals “Shadow IT” of configuratie-anomalieën. Bovendien zorgt Threat Hunting ervoor, voor zover de logs van de EDR-oplossingen worden gebruikt, dat deze operationeel en bruikbaar zijn in geval van een incident.
Threat Hunting draagt actief bij aan de hygiëne van uw informatiesysteem. Aarzel niet om contact op te nemen met onze teams als u meer informatie wilt, of als u dit soort diensten wilt implementeren.