Threat Hunting — это не новая концепция, не продукт и не серебряная пуля. Стандартов для Threat Hunting также никаких не существует, как и лучших практик. По сути речь идет о расширении традиционных механизмов поиска следов злоумышленника (можно сказать и целенаправленных угроз), которые не ищутся имеющимися средствами автоматизации задач кибербезопасности (IDS, AV, SIEM и т.п.). Особенно активно данная тема стала развиваться в контексте центров мониторинга безопасности (SOC), в которых Threat Hunting является одним из множества реализуемых процессов. Он же показывает разницу между SIEM и SOC.
Что из себя сегодня представляет платформа для Threat Hunting? По сути это набор уже известных решений и технологий — SIEM, Threat Intelligence Platform, OSINT и, возможно, иные источники данных для анализа. Одним из примеров такой платформы можно назвать Cisco OpenSOC, о котором я уже писал на Хабре. Среди других платформ можно назвать ELK, RITA, ONI, Splunk, Hadoop, Sqrrl.
Задача аналитика в рамкахThreat Hunting — собрать все возможные данные с узлов, с сети, с средств защиты, с систем контроля доступа, от HR, из источников OSINT и применить к ним различные техники, позволяющие увидеть невидимое — визуализацию (вот пример такого инструмента), статистический анализ, машинное обучение и т.п. На выходе мы получим (если гипотеза аналитика верна) необходимые доказательства. Учитывая используемые техники, мы должны четко понимать, что является у нас нормой, а что отклонением от эталонного поведения (аномалией), которое и покажет нам угрозу, необнаруженную другими средствами защиты.
Threat Hunting может быть организован как с дополнительной информацией (с Intelligence) и без оной (с Zero-Intelligence). В первом случае вы получаете эту дополнительную информацию (хеши файлов, IP-адреса, названия файлов, ключи реестра и другие IoC) из внешних источников (IOCBucket, Abuse.ch, VirusTotal, ThreatGrid, AlienVault, EmerhingThreats и др.), ищете ее на локальном или удаленном узле с помощью различных инструментов (Yara, CrowdResponse, rastrea2r и т.п.) и потом применяете меры реагирования. Без дополнительной информации искать что-то достаточно сложно и требуется обладать высокой квалификацией и знаниями по исследуемой системе. Также можно использовать и различный инструментарий, облегчающий вам жизнь. Например, утилита Autorun из набора Sysinternals позволяет вам проанализировать все, что у вас автоматически запускается на компьютере, снять с этих файлов хеши и отправить на VirusTotal для проверки. Понятно, что Threat Hunting с Zero-Intelligence является высшим пилотажем и может определять действительно серьезный SOC от временной конторы, которая решила срубить денег на горячей теме и установив у себя open source SIEM, назвала все это SOCом.
Помнится в конце 90-х я учился в SANS на курсах по анализу сетевого трафика. Сетевых IDS тогда на рынке еще почти не было и то, что мы изучали по сути и являлось Threat Hunting’ом. Нам давали сетевые дампы и мы должны были в них отыскать признаки тех или иных атак. Позже эта задача была целиком автоматизирована с помощью сетевых IDS. Так и с Threat Hunting. Есть уже вышедшие на плато своей продуктивности технологии, а есть еще вещи, которые сложно автоматизировать и которые приходится делать в ручном режиме с активным вовлечением человека. Threat Hunting относится именно к ним.
Забавно, новое словосочетание для старой активности:) Как-то все забыли что эксплуатация IDS подразумевает и анализ сетевого трафика, и создание своих сигнатур. Благо, предустановленных сигнатур достаточно что бы завалить алертами большинство служб ИБ. Где уж тут трафик смотреть да свои сигнатуры делать
Разница существенная. TH ищет по совокупности данных, а не только для одного источника как IDS. И второе. IDS ищет по уже ИЗВЕСТНЫМ сигнатурам, а TH ищет то, что неизвестно