Хантинг, который всегда с тобой. Как работает система для проактивной охоты за киберугрозами от Group-IB
Как работает Group-IB Threat Hunting Framework — система для защиты от сложных целевых атак и проактивной охоты за угрозами внутри и за пределами сетевого периметра компании.
Прошлогодняя атака шифровальщика на концерн Honda, парализовавшая производство на трое суток, или вымогательство у Garmine $10 млн за расшифровку, наглядно продемонстрировали цену ошибки и недостаточное понимание изменившегося ландшафта киберугроз. Количество атак программ-вымогателей в 2020 году выросло на 150% по сравнению с 2019 годом годом при этом киберпреступники не стремились атаковать «все подряд»: они выбирали крупные цели, где могли получить солидный выкуп. Банкам, государственным органам и некоммерческим организациям нужно пересмотреть свои подходы к информационной безопасности и перейти от тушения пожаров и реагирования на отдельные инциденты к комплексному анализу и проактивной защите — к профессиональной охоте за киберугрозами.
Начало после конца
Чтобы научиться отражать сложные целевые атаки, командам информационной безопасности нужно полностью поменять парадигму мышления. Срабатывание системы защиты и последующая блокировка вредоносного контента — это не конец работы, а ее начало. Бывает, что спустя месяц после незначительных событий происходит серьезный инцидент который приводит к денежным убыткам, утрате информации и даже материальному ущербу, если взлом касается производственных объектов.
Зафиксировав попытку проникновения, нужно определить, не является ли она частью более масштабной кампании, а если да, то выяснить кто, зачем и почему вас атакует. А что, если атака началась задолго до зафиксированного инцидента, и злоумышленники уже проникли в компанию? – Надо отследить всю цепочку событий и только тогда можно будет это решить.
Что предлагает Group-IB? Решение, которое включает реактивную защиту и проактивную охоту за угрозами внутри и вовне вашей сети. Этот подход радикально отличается от существующего, когда положительным результатом работы службы ИБ считается отчет только о пресеченных попытках вторжения. В условиях увеличения интенсивности кибератак и появления новых способов «нападений» Мало быть часовым на посту, который не пускает нарушителей на охраняемый объект . Нужно стать охотником, который идет по их следу, изучает их привычки, любимые приемы и инструменты взлома – чтобы не только отбить текущую атаку, но и предотвратить подобное в будущем.
Фреймворк охотника за угрозами
На понятийном уровне эта идея встречает одобрение всех руководителей ИБ. Однако невозможно в одночасье перестроить работу множества ИБ-специалистов, потому что привычный стиль мышления людей нельзя поменять по щелчку пальцев. Изменить его может новая система для защиты от сложых целевых атак, которая будет способствовать формированию у сотрудников новых паттернов по противодействию киберпреступникам и при этом вписываться в текущий ИБ-ландшафт предприятия. Ведь отказываться от имеющихся решений и менять их на какую-то новую платформу было бы крайне нерационально как с точки зрения поддержания безопасности, так и с точки зрения вложенных денег.TrafficSoft ADC: балансировщик нагрузки с высокой скоростью работы и минимальными аппаратными требованиями
Group-IB позиционирует свое решение для охоты за угрозами именно как фреймворк, а не набор продуктов или платформу. В русском языке нет однозначного перевода для английского слова ‘framework’. Метафорически можно сказать, что фреймворк это ствол и основные ветви дерева, которые определяют очертания его кроны.
Так и Group-IB Threat Hunting Framework (THF) формирует каркас архитектуры ИБ-предприятия, не подменяя собой различные специализированные решения, которыми компании хорошо оснащены. К их числу относятся средства защиты сетевого, веб и почтового трафика, конечных станций (EPP и EDR), антивирусы, DLP, SIEM, SOC, и другие. Group-IB THF позволяет использовать весь этот арсенал более эффективно благодаря своему целостному и обьективному взгляду на задачи обеспечения информационной безопасности.
Многослойный комплекс технологий THF пришел на смену более ранним разработкам Group-IB, входившим в состав Threat Detection System, и существенно расширил возможности команд по кибербезопасности в связке «безопасники – инженеры АСУ ТП — ИТ-специалисты». Понятно, что защита АСУ ТП в данном случае опциональна и будет полезна предприятиям, имеющим подобные системы. В целом из модулей THF можно создать любую конфигурацию киберзащиты, релевантную конкретному бизнесу.
Все модули могут быть интегрированы между собой и объединены в «умную» технологическую экосистему, способную полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и реагирования на инцидент. В их основе – запатентованные технологии и изобретения инженерных команд и аналитиков Group-IB.
Threat Hunting Framework дает возможность ИБ-команде компании решать следующие ключевые задачи:
- Защита корпоративной электронной почты от целевого фишинга и рассылок, содержащих вредоносное ПО;
- Защита сетевого периметра, серверов и рабочих станций пользователей от шифровальщиков, троянов, червей, вирусов, кейлогеров и шпионского ПО, в том числе, распространяемого в неконтролируемых сетевых потоках;
- Защита инфраструктуры от наблюдения и управления злоумышленниками;
- Организация защищенной передачи файлов между файловыми хранилищами;
- Аналитический инструмент по изучению вредоносного ПО;
- Защита систем заказчика от вредоносного ПО с помощью API;
- Защита рабочих станций и серверов от потенциально нежелательных приложений и недоверенных устройств (Roadmap 2021);
- Возможность передать часть функций по обеспечению удаленного реагирования на инциденты специалистам CERT-GIB и/или Лаборатории компьютерной криминалистики Group-IB;
- Проведение проактивного поиска угроз (процесс threat hunting) в защищаемой инфраструктуре;
- Выявление и исследование инфраструктуры злоумышленников, атакующих компанию;
- Сбор криминалистически значимых данных и восстановление полной хронологии атаки – от сетевого соединения до вектора заражения;
- Контроль передаваемых артефактов в зашифрованном трафике;
- Контроль зашифрованного трафика в сети;
- Защита технологических сетей от нелегитимных устройств передачи данных;
- Защита технологических сетей от неразрешенных модификаций программируемых логических контроллеров (ПЛК);
- Защита технологических сетей от подмены функций технологических протоколов со стороны злоумышленников;
- Защита технологических сетей от атак, приводящих к разрушению оборудования (и, как следствие, к техногенным авариям).
Инженерная команда Group-IB руководствуется несколькими принципами при создании технологий. Во-первых, системы и алгоритмы обнаружения должны «знать» злоумышленников, а специалисты по кибербезопасности — получать либо качественное техническое обоснование, либо полный разведывательный контекст об угрозе: кто атакует, какова мотивация атакующих, какова их тактика, какими инструментами пользуются и что потенциально будут использовать при дальнейших попытках атак. Система защиты должна эффективно обнаруживать и немедленно блокировать угрозы, но сегодня этого недостаточно. Для построения работающих стратегий кибербезопасности — детектирование лишь начало работы.
Sensor и Sensor Industrial: первая линия обороны
Для начала стоит защитить все каналы, по которым информация поступает в организацию и уходит из нее – то есть, весь сетевой трафик. В составе фреймворка Group-IB за это направление отвечает модуль Sensor, предназначенный для анализа входящих и исходящих пакетов данных. Причем Sensor не ставится в разрыв, анализ трафика всегда ведется на копии данных – это значит, что скорость работы не снижается.
Допустим, одному из сотрудников организации пришло письмо, содержащее zip-файл, защищенный паролем, но пароля в письме нет. Это один из излюбленных приемов киберпреступников из области социальной инженерии. Идея заключается в том, чтобы не иметь рядом с вредоносным файлом никакого контекста, который позволит его открыть. При этом письмо выглядит как вполне легитимное в русле повседневных обязанностей сотрудника и содержит архив якобы с договором или иным документом. Человек не может его прочитать, отчего испытывает фрустрацию. А потом отдельным письмом присылают пароль, и разумеется, пользователь открывает файл.
Далеко не все автоматизированные средства обнаружения атак готовы к таким сценариям – с их точки зрения письмо с паролем не выглядит подозрительным, поскольку не содержит ни ссылок, ни вложений; сам архив, который нельзя открыть, тоже вроде опасности не представляет, поэтому может быть пропущен. Sensor хорошо обрабатывает такие цепочечные атаки. Если он видит архивный файл, то начинает искать пароль к нему во входящем потоке.
Также, в Group-IB разработали специальный вариант Sensor’а для защиты технологических сетей – Sensor Industrial, реализующий дополнительные функции. Во-первых, промышленные сети консервативны, новые устройства в них просто так не появляются, поэтому неплохой оказалась идея детектировать все изменения этих систем. Например, если кто-то принесет миниатюрный компьютер Raspberry Pi, подключит его и положит где-то в серверной, то никто и не заметит – но только не Sensor Industrial. Кроме того, этот модуль может контролировать целостность прошивок и программ управления, которые тоже сами по себе не меняются.
Во-вторых, процесс обогащения данными систем защиты должен быть автоматизирован. Для этого механизм анализа выходит за рамки простого обнаружения угрозы: крайне важно извлечь и полностью запустить вредоносный код в безопасной изолированной среде, собрав «урожай» из индикаторов, которые помогут в дальнейшем хантинге за угрозами в сети. В-третьих, хантинг приходит на смену поиска угроз для того, чтобы найти то, что могло быть упущено в прошлом и потенциально может быть использовано злоумышленниками в будущем.
Polygon: взорвать и обезвредить
Почта - один из самых распространенных векторов атаки и с большой долей вероятности присланный в подозрительном письме архив или файл содержит некий вредоносный код и открывать его на рабочей машине было бы неосмотрительно. Sensor отправляет ВПО в модуль Polygon, который специально рассчитан на неизвестные угрозы и заставляет их сдетонировать в изолированной среде. Обычные песочницы тоже пытаются проверить такие файлы, но, если при распаковке ничего не обнаружено, их пропускают.
Но преступники научились определять, находятся ли они на реальной машине или еще идет проверка в виртуальной среде. Например, смотрят наличие документов на рабочем столе, в папке недавно редактированные, чтобы понять, песочница это или нет. Поэтому система должна вести себя как реальный пользователь, чтобы спровоцировать выполнение вредоносного кода. В том числе имитировать движение мыши – ведь обычно робот не станет рассеянно двигать мышкой по экрану, он сразу и точно попадет на нужную кнопку.
Также много хлопот доставляют ссылки – в момент проверки она может вести на нормальный сайт, а спустя время – на страницу загрузки трояна. Часто хакеры применяют и тактику отложенных задач, когда их «мина» из полученного письма срабатывает через некоторое, иногда весьма продолжительное время. Несмотря на эти ухищрения злоумышленников, Polygon с этим справляется отлично и заставляет зловред проявить себя.
Huntpoint: защита, не тормозящая работу
Начнем с того, что антивирусы стали лишь ограниченно полезны – они могут защитить устройство пользователя от известных угроз, но как правило бессильны против новых. Потому что основным методом их остается проверка по базе сигнатур, и пока вирус в нее не внесен, бороться с ним проблематично. А внедрение в антивирусах все более продвинутых алгоритмов проверки (эвристических и др.) неизбежно ведет к замедлению работы компьютера и вызывает раздражение пользователей – получается, что более надежная защита мешает нормальной работе.
Чтобы разрешить это противоречие, Group-IB реализует другой подход. Модуль Huntpoint, отвечающий за защиту конечных станций, архитектурно делится на две части: непосредственно на станции устанавливается низкоуровневый агент, который собирает всю информацию о происходящем и передает ее на сервер, где выполняется анализ и детектирование угроз. Таким образом, работа пользователя не замедляется, и одновременно с этим обеспечивается высокий уровень защиты – потому что на сервере нет жестких ограничений на вычислительные мощности и можно задействовать даже очень сложную логику.
Анализатор угроз представляет собой огромное количество конечных автоматов, которые переключаются между состояниями в зависимости от того, какая информация к ним поступает. Поверх них есть классификатор, содержащий несколько тысяч определенных аналитиками правил для выявления подозрительного поведения. Эти правила во многом пересекаются с теми, что применяются в модуле Polygon, потому что поведение вредоносного файла на станции и в песочнице в целом одинаково. Классификатор использует технологию машинного обучения, собственно, для детектирования опасных комбинаций срабатывания правил, потому что человек не может воспринять такой объем данных.
Huntbox: знать своего врага
Вернемся к истории с фишинговым письмом с вредоносной программой «на борту». Возможно, оно все-таки будет детектировано средством защиты электронной почты, и сотрудник ИБ увидит сигнал у себя на мониторе. А что дальше? – Обычно ничего. Потому что у нас слишком мало информации, есть только заголовок письма, имя файла и его хеш. Этого недостаточно, чтобы выяснить какие-то подробности об атаке.
После детонации файла в Polygon’е мы получаем гораздо больше индикаторов – имена и хеши файлов из архива, а также все изменения в системе, которые произошли в результате «подрыва» этой мины, включая изменения в реестре Windows, в файловой системе, оперативной памяти, настройках сервисов, и так далее. В частности, имена файлов могут быть специфичны для некоторых троянов; также вредоносный код может добавить команду в планировщик задач, которая выполнится позже – и вы едва ли сможете связать эти два события – открытие вложения в письме и запуск вируса-вымогателя.
Теперь можно начать охоту, цель которой классификация и атрибуция атаки. Для этого в составе Group-IB THF есть Huntbox — платформа, включающая в себя набор инструментов, необходимых для процессов мониторинга, реагирования на инциденты, а также поиска угроз в защищаемой инфраструктуре и в сети Интернет.
Прежде всего стоит посмотреть делал ли кто раньше похожие вещи – будем искать, кто использовал такую же тактику отложенных задач. Далее смотрим, с каким адресами и доменами взаимодействовал вредонос, откуда скачивал полезные нагрузки – это очень ценная информация.
Естественно, сам по себе сетевой адрес ничего не даст, нам нужны исторические данные обо всех сетевых соединениях, изменениях на конечных станциях, различные логи, а также поведенческие отчеты, даже если «посылки» не были признаны вредоносными – потому что они могут содержать в себе элементы поведения, характерные для атакующего.
Например, преступная группа Silence, регистрируя домены для целевой атаки на банки, часто указывает в них совпадающую информацию – email, телефон, адрес. А когда понятно, кто вас атакует, то можно выстроить соответствующую линию защиты. Конечно, преступники могут сменить свою тактику и тогда это правило перестанет работать. Но в этом и суть хантинга: вы понимаете то, что не работает и с этим знанием используете новые более сложные правила и техники, позволяющие вычислить нарушителя.
Озеро данных – кладезь знаний об угрозах
Хантинг это по сути правильное управление данными. Чтобы «хантить» – нужно иметь множество источников информации и, желательно, за большой период времени. Именно поэтому Озеро данных формируется во фреймворке Group-IB тремя источниками: это модуль Sensor, который интегрируется во все потоки данных компании или предприятия, модуль Huntpoint, стоящий на конечных станциях, и система детонации файлов Polygon.
Таким образом, мы имеем данные (обычно за несколько недель), которые можно проанализировать и найти пропущенные элементы атаки. Например, пары событий получение письма и заражение компьютера, разнесенные по времени. Можно пойти еще дальше. Решение Group-IB Threat Intelligence & Attribution поддерживает огромное хранилище данных за много лет, описывающее весь интернет, со всеми доменами и их свойствами (сетевой протокол whois, passive DNS, связанные сертификаты), IP-адресами, ключами SSH и SSL-сертификатами.
Это отнюдь не дань моде на «бигдату», эта информация необходима, чтобы идентифицировать преступные группы по их манере работы. А узнав, кто стоит за атакой, можно предугадать и их следующие шаги.
Благодаря своему озеру данных Group-IB Threat Intelligence & Attribution, Group-IB THF может по праву считаться первой универсальной платформой по обнаружению, блокированию и хантингу на самые серьезные киберугрозы в корпоративных и технологических сетях одновременно.
Из чего состоит Threat Hunting Framework
Решение Threat Hunting Framework состоит из следующих модулей:
- Sensor – модуль, предназначенный для выявления угроз на сетевом уровне за счет глубокого анализа сетевого трафика. Используя собственные сигнатуры и поведенческие правила Sensor позволяет выявлять взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств в сети. Модуль также позволяет извлекать объекты анализа из различных источников для передачи в Polygon.
- Sensor Industrial – модуль, предназначенный для защиты технологической сети от целевых атак и обеспечения контроля целостности программного обеспечения АСУ ТП за счет анализа промышленных протоколов и комплексной защиты корпоративной сети.
Анализируя пакеты данных технологического трафика собственными сигнатурами и поведенческими правилами Sensor Industrial, позволяет выявлять передачу нелегитимных команд управления между уровнями АСУ ТП, обнаруживать использование служебных команд АСУ ТП с целью перепрошивки ПЛК, подмены программы управления, остановки технологических процессов, и других нарушений. - Polygon – платформа для детонации вредоносного ПО (ВПО). Модуль, предназначенный для детектирования угроз, за счет поведенческого анализа электронных писем, файлов и содержимого ссылок в изолированной среде.
- Decryptor – модуль, предназначенный для расшифровки TLS/SSL-трафика в защищаемой инфраструктуре. Реализована поддержка российских протоколов шифрования по ГОСТ.
- Huntpoint – модуль, предназначенный для защиты рабочих станций от угроз на основе методов фиксации полной хронологии событий на компьютере, обнаружения аномального поведения, блокировки вредоносного файла, изоляции хоста и сбора криминалистически значимых данных.
- Huntbox – платформа автоматизированного анализа и корреляции событий, а также обеспечения процесса поиска угроз и выявления действий атакующих группировок, направленных на клиента в защищаемой инфраструктуре и в интернет. Включает в себя набор инструментов, необходимых для процессов мониторинга, реагирования на инциденты.
- Центр круглосуточного реагирования на инциденты информационной безопасно-сти CERT-GIB , созданный в 2011 году и являющийся одним из крупнейших в мире. Его основная задача — немедленная локализация киберугроз независимо от того, где, когда и перед кем они возникают.
Услуги, предоставляемые СERT-GIB совместно с продуктами Group-IB:- мониторинг событий и выявление инцидентов;
- исследование ВПО в рамках выявленных событий;
- локализация инцидентов;
- содействие при локализации выявленных инцидентов на ранней стадии.
CERT-GIB является партнером IMPACT, аккредитован сообществами FIRST, Trusted Introducer, сертифицирован Университетом Карнеги-Меллона и обладает лицензией на использование товарного знака «CERT».
Варианты поставки: облако и не только
Изначально решение Threat Hunting Framework создавалось как облачный сервис, и данный вариант его использования является самым эффективным за счет набольшей оперативности обновления данных об угрозах. (Естественно, модуль защиты конечных станций устанавливается локально.)
Однако, нельзя игнорировать тот факт, что есть заказчики, внутренние регламенты которых не позволяют использовать программное обеспечение, требующее наличия интернет-подключения для взаимодействия с внешними ресурсами. Для них Group-IB THF поставляется в виде программно-аппаратного комплекса и работает строго во внутреннем контуре. Есть и третий вариант – поставка образа для развертывания на виртуальных мощностях клиента.
Выводы
Планируя свой бюджет на ИБ, руководителям стоит учитывать произошедшие качественные изменения в ландшафте киберугроз и готовить адекватный ответ на новые вызовы. Целевая атака может быть длительной и разнонаправленной по векторам угроз, поэтому, глядя на типичные мониторинговые отчеты с информацией о десятках и сотнях тысяч инцидентов, мало кто в состоянии заметить взаимосвязь между ними.
Group-IB Threat Hunting Framework в полной мере отвечает этой парадигме борьбы с киберпреступностью, обеспечивая организации инструментом для блокирования и, что особенно важно, для атрибутирования угроз – и пусть ни один хакер не чувствует себя в безопасности из-за того, что совершает преступление удаленно.
Group-IB — один из разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC.
Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Кроме того, Gartner присвоило Group-IB статус надёжного поставщика услуг (Representative Vendor) в категории «Компьютерная криминалистика и реагирование на инциденты информационной безопасности».
В основе технологического лидерства компании и возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol, поставщик решений в сфере кибербезопасности, рекомендованный ОБСЕ.
Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак. Миссия Group-IB – защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.