racfor_wiki:mrezna_forenzika:threat_hunting – Računalna forenzika / Computer forensics

Threat hunting je strategija obrane sustava od prijetnji. Kako bi bilo moguće precizno obaviti analizu mreže ili sustava i pronaći prijetnju, potrebno je poznavati ponašanje i motivaciju mogućih napadača, vrste napada koje bi mogli koristiti, znati prepoznati što bi u napadnutom sustavu bila vrijedna informacija, odnosno gdje bi se napad mogao dogoditi te tehnike kojima se može uočiti prijetnja. Ne postoje konkretni alati koji će odraditi precizno cijeli threat hunting umjesto stručnjaka, već alati samo predstavljaju sredstvo koje će usmjeriti stručnjaka otkud da krene s analizom i što točno traži. S obzirom da postaje popularan, tema threat hunting-a i shvaćanje metodologije ove strategije je relevantna.

Ključne riječi: threat hunting; threat hunter; sigurnost; forenzika; napadi; phishing

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Kad je riječ o sigurnosti, mnogi sustavi se oslanjaju na ono najosnovnije: antivirusne programe, vatrozide i mnoge druge automatske alate. Međutim takvi sigurnosni alati ne garantiraju sigurnost mreže. Uvijek postoji mogućnost da je napadač uspio nekako probiti mrežu te da, neprimijećen od strane sigurnosnih protokola i alata, skuplja informacije i djeluje na mrežu. Napadači u prosjeku uspiju provesti 191 dan unutar mreže prije nego što ih se otkrije<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>¹ . Također treba uzeti u obzir da nas postojeća rješenja mogu štititi samo od dotad poznatih napada, no ako se pojavi nova vrsta napada, vrlo je velika vjerojatnost da će napadač takvim napadom uspjeti zaobići više sigurnosnih slojeva i probiti mrežu. Gdje automatski alati podbace (bilo osnovni ili napredni), tu nastupa ručno pretraživanje i analiziranje mreže kao što je threat hunting.

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Threat hunting je aktivna strategija obrane koja se sastoji od pretraživanja mreža kako bi se pronašli indikatori koji ukazuju na prijetnju sigurnosti mreže i postavljenog sigurnosnog sustava. Cilj ovakve strategije je uočiti napadača u mreži prije nego što uspije napasti, a ne istraživati kako je došlo do napada i tko je napadač nakon što je napad već izvršen. Posao analitičara koji koriste ovu strategiju je da prate, presreću i uklanjanju pojedince koji vrebaju u mreži i predstavljaju prijetnju. Što su prije takvi pojedinci otkriveni i uklonjeni iz mreže, to je manja šteta učinjena te je potrebno manje vremena za otkrivanje prijetnje<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>² .

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Prema izvješću iz 2018. godine, uočen je porast u korištenju platforma za threat hunting u tvrtkama, a čak 60% tvrtki planira do 2021. godine uvesti threat hunting programe. Ovakav rast u korištenju threat hunting strategije objašnjava se dvostrukim povećanjem napada te 2-5 puta ozbiljnijim napadima u odnosu na 2017. godinu<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>³ .

Kako bi bilo lakše pronaći napadača u mreži i zaštititi bitne informacije, potrebno je shvatiti koji su mogući napadači, koji su njihovi razlozi napada te koje tehnike koriste ⁴ .

1. Okidač

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Ova faza (i čitavi proces threat hunting-a) započinje tako da neki od automatskih alata za sigurnost uoči neko neobično ili neočekivano ponašanje⁵ . Pritom threat hunter počinje pregledavati dio mreže u kojem je uočena neobična aktivnost. Osim lova kroz automatske alate, moguće je i da istraživači otkriju neki novi način napada zbog čega se smatra potrebnim provjeriti mrežu za takav napad kako bi se utvrdilo je li threat hunter-u taj novi tip napada promaknuo.⁵

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>2. Istraga

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Tijekom ove faze threat hunter koristi određene tehnologije kao što je EDR (Endpoint Detection and Response) kako bi detaljno pregledao sustav i pronašao traženu prijetnju⁵ . Jednom kad ju nađe, može ustanoviti da je stvarno riječ o prijetnji, pronaći informacije o napadaču te istražiti način na koji je uspio napasti sustav i proslijediti informacije stručnjacima koji će ga “zakrpati” kako se takvi napadi više ne bi ponavljali ili može zaključiti da prijetnja koja je detektirana zapravo nije bila prijetnja.

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>3. Rješavanje

<font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Threat hunter u ovoj fazi informira stručnjake za sigurnost sustava o prijetnji koju je pronašao kako bi oni dalje mogli zaštititi sustav od daljnjih sličnih prijetnji. Informacije skupljene tijekom faze istrage, bez obzira na njen ishod, koriste se kako bi se unaprijedili automatski alati. Na taj način će u budućnosti ti alati znati prepoznati pronađenu prijetnju, bila ona maliciozna ili benigna⁵ .

Alati koje threat hunter koristi mogu mu uvelike pojednostaviti posao te učiniti pretragu preciznijom i rezultate pretrage točnijima. Alate koji se koriste u lovu dijele se u nekoliko skupina:

1. Analitički alati i analiza dnevnika

Analiza dnevnika svakog uređaja povezanog na mrežu koju threat hunter analizira iscrpan je posao. Kako bi se threat hunter-u olakšao posao potreban je postupak objedinjavanja, korelacije i normalizacije dnevnika, nakon čega se provodi kontekstualna i ponašajna analiza⁴ .

2. Analiza prijetnji i uporaba znanja skupljenih o prijetnjama

Prilikom analize potrebno je uzeti u obzir korisnike mreže i njihovo ponašanje u mreži te ga usporediti s očekivanim ponašanjem u mreži kako bi se otkrile moguće prijetnje⁴ . Potrebno je biti u toku s najnovijim načinima napada i indikatorima prijetnji kako bi se prijetnje uočile na vrijeme i razvile nove metodologije za uočavanje istih.

3. Poznavanje osnovnih aktivnosti mreže

Threat hunter mora poznavati uobičajeno ponašanje mreže kako bi znao što je očekivano i dopušteno⁴ . S obzirom da se to uobičajeno ponašanje stalno mijenja zbog pojave novih tehnologija i novih obrazaca ponašanja korisnika, mijenja se i očekivano ponašanje mreže i njene osnovne aktivnosti s čime threat hunter mora u svakom trenutku biti upoznat kako bi smanjio broj lažno pozitivnih rezultata i uspio usmjeriti svoje resurse na stvarne prijetnje.

4. Razumijevanje endpoint korisnika, aplikacija i pristupa

Većina napada događa se na endpoint-u stoga je potrebno analizirati endpoint podatke kako bi se osigurala točnost i brzina intervencije. Na endpoint-u se threat hunter-i mogu fokusirati na sumnjiva ponašanja gdje dalje kroz forenzičke podatke i pomoću forenzičkih alata mogu pronaći prijetnju⁴ .

Threat hunting je strategija obrane sustava ili mreže s vrlo kompleksnim postupkom otkrivanja prijetnji. Ovakva strategija može izuzetno doprinijeti sigurnosti sustava. Ona ubrzava vrijeme reakcije na prijetnju i poboljšava njenu točnost, znatno smanjuje vrijeme koje prođe od zaraze do detekcije prijetnje, smanjuje broj probijanja sigurnosnih slojeva, smanjuje izloženost vanjskim prijetnjama, smanjuje resurse potrebne da se ukloni prijetnja te smanjuje učestalost i broj zaraza malware-ima⁴ . Svakako treba uzeti u obzir da ovakva strategija nije savršena jer se uvijek može dogoditi da stručnjaku promakne neki pokazatelj prijetnje ili da jednostavno nije još upoznat s nekim novim metodama napada zbog čega možda neće uspjeti reagirati na vrijeme, no s obzirom na planove mnogih organizacija da uvedu threat hunting programe, da se zaključiti da postoji više prednosti nego nedostataka. Osim što prepoznaje napade i uklanja ih, threat hunting uočavanjem prijetnji koje su maliciozne (a automatski alati ih nisu uočili) i prijetnji koje su benigne (a automatski alati su ih uočili) pomaže u učenju umjetne inteligencije korištene u automatskim alatima da bolje prepoznaje prijetnje i time usavršava alate za buduću uporabu.

[1] https://securityintelligence.com/a-beginners-guide-to-threat-hunting/

[2] https://www.exabeam.com/security-operations-center/threat-hunting/

[3] https://www.carbonblack.com/resources/definitions/what-is-cyber-threat-hunting/

[4] https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf

[5] https://www.crowdstrike.com/epp-101/threat-hunting/