Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Трудовые будни охотника на угрозы

Sergey Soldatov
Sergey Soldatov

Презентация на CISO-Forum 2017

1 of 22
ТРУДОВЫЕ БУДНИ ОХОТНИКА НА УГРОЗЫ «CISO FORUM 2017», АПРЕЛЬ 2017 Sergey Soldatov, Head of SOC
ПЛАН Причины актуальности Контекст угроз (ТТР) Как работает ТН Подход к реагированию ТТР в примерах Реагирование
ПРИЧИНЫ АКТУАЛЬНОСТИ Выше зависимость от ИТ  Выше уровень безопасности  – Выше сложность атаки Больше рисков в области ИТ (мотивация) Выше стоимость атаки  Процессы и организация Разведка и подготовка Профессионализм атакующих Много векторов, технологий, инструментов Скрытность Атакующий: - Pentest-like - Нет права на ошибку
КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Постоянный сбор артефактов Анализ памяти Контекст среды, Исследования, Неточные сигнатуры Хранение сырых данных Исследования Непрерывный мониторинг, Исследования Антифоренсика Бестелесность Применение легальных инструментов и технологий Многоэтапность Свежие, загадочные ТТР (горизонтальные перемещения, закрепление, пр.) Pentest-like
http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Предотвращение Своевременное обнаружение Реакция и восстановление Ресурсы атакующего – безграничны!
ДВА ПОДХОДА К ОБНАРУЖЕНИЮ МОНИТОРИНГ (ALERTING): Реактивно – обнаружение известного Уничтожает после поиска сигнатуры ПОИСК УГРОЗ (HUNTING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка («Машина времени») Вендор ITW IRAlerting Гипотеза Hunting MA DF Alerting IR Вендор ITW http://reply-to-all.blogspot.ru/2016/07/blog-post.html Инструменты Инструменты и Поведение
КОНКРЕТНАЯ ЦЕННОСТЬ Поиск новых атак, ВПО, APT Поиск атак без применения ВПО 100% релевантность «Машина времени» Возможность оперативной защиты РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Продукты SOС Threat hunting
КАК И ПОЧЕМУ ЭТО РАБОТАЕТ Данные  Детекты*  Поведение процессов  События ОС Микрокорреляция:  Все технологии в составе EP со всеми базами: поведение, неточные сигнатуры, подозрительная активность, пр.  Анализ трафика с периметра  События ОС и приложений  Репутация Макрокорреляция, гипотезы:  Все знания о ТТР:  Внутренние исследования  Анализ защищенности  Расследование инцидентов  Мониторинг SOC Постоянноесовершенствование http://reply-to-all.blogspot.ru/2016/10/bis-summit.html Зацепки! (Hunt)
ЗАЦЕПКИ ЗА {KILL CHAIN}*
РАБОТА ПО ИНЦИДЕНТУ http://reply-to-all.blogspot.ru/2016/12/blog-post.html
COBALT ГОБЛИНS Антифоренсика – sdelete, очистка журналов, … Бестелесность – powershell Легальные инструменты – ps, mipko, psexec, … Pentest-like – Cobalt Strike+
MIPKO & PS MEM:Trojan.Script.AngryPower.gen, MEM:Backdoor.Win32.Carbanak.gen, … Службы Сетевые входы Инструменты … Служба ps cmd Служба с с$ Сетевой вход с… под УЗ ..
AUTOIT Подозрительная активность «белых» инструментов… Где svchost  Где AutoIt  Планировщик задач… Планировщик vbs cmd autoit svchost Планировщик
PROXYCHANGER Почему-то все процессы идут в Интернет… … на сайт МН
СЛЕДЫ BUHTRAP Легальный LiteManager, но по нестандартному пути Опционально – руткит для сокрытия иконки
ТОЖЕ «БЕЛЫЙ ФАЙЛ» Закрепление через bitsadmin http://0xthem.blogspot.ru/2014/03/t-emporal-persistence-with-and-schtasks.html
ENFAL/PLUGX/ZERO.T Офис по почте выбрасывает PE PE грузит из Интернет остальное…
ENFAL/PLUGX/ZERO.T … и пошло- поехало…
НОВЫЙ GOZI Смотрели [нелегальные] инжекты
РЕАГИРОВАНИЕ Вычислить все C2 Все сразу отключить Можно не спеша вычищаться, контролируя С2 & Lateral movement («поддержка с воздуха»)
ПОСЛЕСЛОВИЕ: ВПО  АРТ AV  AAPT & TH Точно и Сразу  Неточно и Спустя время Полностью автоматически  С участием Человека Обнаруживать инструменты  Обнаруживать ТТР атакующих Глобальный Intelligence - популярность, репутация, взаимосвязи, fuzzy-хеши, т.п. Машобуч, нейросети и т.п. Аккумуляция опыта - SOC, Security assessment & pentest, Anit- malware research, Incident response, Targeted attack research, …
ПОГОВОРИМ? Sergey Soldatov, CISA, CISSP Head of Security Operations Center

More Related Content

Трудовые будни охотника на угрозы

  • 1. ТРУДОВЫЕ БУДНИ ОХОТНИКА НА УГРОЗЫ «CISO FORUM 2017», АПРЕЛЬ 2017 Sergey Soldatov, Head of SOC
  • 2. ПЛАН Причины актуальности Контекст угроз (ТТР) Как работает ТН Подход к реагированию ТТР в примерах Реагирование
  • 3. ПРИЧИНЫ АКТУАЛЬНОСТИ Выше зависимость от ИТ  Выше уровень безопасности  – Выше сложность атаки Больше рисков в области ИТ (мотивация) Выше стоимость атаки  Процессы и организация Разведка и подготовка Профессионализм атакующих Много векторов, технологий, инструментов Скрытность Атакующий: - Pentest-like - Нет права на ошибку
  • 4. КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Постоянный сбор артефактов Анализ памяти Контекст среды, Исследования, Неточные сигнатуры Хранение сырых данных Исследования Непрерывный мониторинг, Исследования Антифоренсика Бестелесность Применение легальных инструментов и технологий Многоэтапность Свежие, загадочные ТТР (горизонтальные перемещения, закрепление, пр.) Pentest-like
  • 5. http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Предотвращение Своевременное обнаружение Реакция и восстановление Ресурсы атакующего – безграничны!
  • 6. ДВА ПОДХОДА К ОБНАРУЖЕНИЮ МОНИТОРИНГ (ALERTING): Реактивно – обнаружение известного Уничтожает после поиска сигнатуры ПОИСК УГРОЗ (HUNTING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка («Машина времени») Вендор ITW IRAlerting Гипотеза Hunting MA DF Alerting IR Вендор ITW http://reply-to-all.blogspot.ru/2016/07/blog-post.html Инструменты Инструменты и Поведение
  • 7. КОНКРЕТНАЯ ЦЕННОСТЬ Поиск новых атак, ВПО, APT Поиск атак без применения ВПО 100% релевантность «Машина времени» Возможность оперативной защиты РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Продукты SOС Threat hunting
  • 8. КАК И ПОЧЕМУ ЭТО РАБОТАЕТ Данные  Детекты*  Поведение процессов  События ОС Микрокорреляция:  Все технологии в составе EP со всеми базами: поведение, неточные сигнатуры, подозрительная активность, пр.  Анализ трафика с периметра  События ОС и приложений  Репутация Макрокорреляция, гипотезы:  Все знания о ТТР:  Внутренние исследования  Анализ защищенности  Расследование инцидентов  Мониторинг SOC Постоянноесовершенствование http://reply-to-all.blogspot.ru/2016/10/bis-summit.html Зацепки! (Hunt)
  • 11. COBALT ГОБЛИНS Антифоренсика – sdelete, очистка журналов, … Бестелесность – powershell Легальные инструменты – ps, mipko, psexec, … Pentest-like – Cobalt Strike+
  • 12. MIPKO & PS MEM:Trojan.Script.AngryPower.gen, MEM:Backdoor.Win32.Carbanak.gen, … Службы Сетевые входы Инструменты … Служба ps cmd Служба с с$ Сетевой вход с… под УЗ ..
  • 13. AUTOIT Подозрительная активность «белых» инструментов… Где svchost  Где AutoIt  Планировщик задач… Планировщик vbs cmd autoit svchost Планировщик
  • 14. PROXYCHANGER Почему-то все процессы идут в Интернет… … на сайт МН
  • 15. СЛЕДЫ BUHTRAP Легальный LiteManager, но по нестандартному пути Опционально – руткит для сокрытия иконки
  • 16. ТОЖЕ «БЕЛЫЙ ФАЙЛ» Закрепление через bitsadmin http://0xthem.blogspot.ru/2014/03/t-emporal-persistence-with-and-schtasks.html
  • 17. ENFAL/PLUGX/ZERO.T Офис по почте выбрасывает PE PE грузит из Интернет остальное…
  • 20. РЕАГИРОВАНИЕ Вычислить все C2 Все сразу отключить Можно не спеша вычищаться, контролируя С2 & Lateral movement («поддержка с воздуха»)
  • 21. ПОСЛЕСЛОВИЕ: ВПО  АРТ AV  AAPT & TH Точно и Сразу  Неточно и Спустя время Полностью автоматически  С участием Человека Обнаруживать инструменты  Обнаруживать ТТР атакующих Глобальный Intelligence - популярность, репутация, взаимосвязи, fuzzy-хеши, т.п. Машобуч, нейросети и т.п. Аккумуляция опыта - SOC, Security assessment & pentest, Anit- malware research, Incident response, Targeted attack research, …
  • 22. ПОГОВОРИМ? Sergey Soldatov, CISA, CISSP Head of Security Operations Center