Hvad er trusselsjagt?
Uanset om de er softwarebaserede eller menneskelige, erklærer ondsindede trusler ikke deres tilstedeværelse. Cybersikkerhedsværktøjer skal søge efter malware, ubudne gæster og ondsindede insidere, og der er en række teknikker, der kan bruges til dette formål.
Hver udbyder af sikkerhedssoftware har en yndet teknik, og de holder fast i den, fordi den virker. Selvom der er flere forskellige trusselsjagt strategier, er der ikke en ligatabel over dem - der er ikke en, der generelt betragtes som bedre end de andre. Vi vil se på de vigtigste metoder til trusselsdetektion og forklare, hvordan de virker.
Trusselsjagtterminologi
Som enhver anden IT-disciplin har cybersikkerhed og trusselsjagt deres egen terminologi. Her er nogle af de vigtige udtryk, som du bør kende, når du studerer trusselsjagt:
- EDR – Endpoint detektion og responsOvervåger slutpunkter (desktops, servere, mobile enheder, IoT-gadgets) for trusler og implementerer automatiske svar på detektion
- XDR – Udvidet detektion og responsEn pakke af sikkerhedsværktøjer, der kombineres for at give trusselsdetektion og automatiseret respons. Hovedelementerne skal leveres af SaaS.
- IDS – Intrusion detection systemDette er en trusselsjagtpakke, der enten fungerer på logfiler i tilfælde af værtsbaseret IDS (HIDS) eller på live-aktivitetsovervågningsdata i tilfælde af netværksbaseret IDS (NIDS).
- IPS – System til forebyggelse af indtrængenEn IDS med automatiserede svarregler.
- SIEM – Sikkerhedsinformation og event managementSøger i logfiler og netværksovervågningsdata og giver en advarsel om trusselsdetektion. Dette er en kombination af security information management (SIM), som er en HIDS, og security event management (SEM), som er en NIDS.
- SOAR – Sikkerhedsorkestrering og responsDataudveksling mellem sikkerhedssoftware, der udsender enten trusselsinformation eller svarinstruktioner.
- SOC – SikkerhedsoperationscenterEt datacenter, der leverer overvågning og styring af sikkerhedssoftware, tilføjer specialist menneskelig analyse.
- C TI – Cyber Threat IntelligenceData om angreb, der har fundet sted andre steder, og hvordan de forløb. Det kan også være en advarsel om et datalæk eller chatter på hackersider, der indikerer et forestående angreb på et land, en sektor, en virksomhed eller en person, der er sandsynligt.
- IoA – Indikator for angrebEt tegn på, at et angreb er i gang. Dette ville være opdagelsen af en phishing-e-mail eller en inficeret e-mail-vedhæftet fil. Et RDP-forbindelsesforsøg eller for mange mislykkede loginforsøg for en konto er andre tegn på, at et angreb er undervejs.
- IoC – Indikator for kompromisEn rest af et nyligt angreb. Disse kan formuleres i en sekvens af faktorer, malware-signaturer og ondsindede adresser. De kommunikeres som trusselsefterretninger. Små variationer i metoder kan dog forhindre detektion.
- TTP – Taktik, teknikker og procedurerTrusselsstrategier, der kommunikeres som advarsler i trusselsefterretningsfeeds. De beskriver nyligt opdaget hackergruppeaktivitet, såsom gruppenavnet og deres undersøgelsesmetoder og indtrængen.
- UBA – BrugeradfærdsanalyseSporing af aktivitet pr. yverkonto, der etablerer et mønster af normal adfærd. Dette giver en basislinje for registrering af anomalier, som ser efter afvigelser fra brugerkontoens standardadfærd.
- UEBA – Bruger- og enhedsadfærdsanalyseDet samme som UBA, men med en registrering af standardaktivitet på en enhed, som normalt er et slutpunkt.
Trusselsjagtdatakilder
Trusselsjagt kan foregå på to niveauer: i virksomhed eller globalt . Globale søgninger er afhængige af data uploadet fra virksomheder.
De store mængder data, der er involveret i sådanne systemer, kan reduceres betydeligt ved at installere forbehandling moduler på hvert bidragende system. Denne strategi kan frafiltrere nogle oplysninger, som den lokale analytiske motor ikke identificerer som en potentiel indikator. Så kvaliteten af disse kildedata afhænger i høj grad af den algoritme, der bruges af trusselsintelligensgruppen. Datasøgningshastigheden og kapaciteten af den centrale jagtenhed påvirker også mængden af filtrering behov for dataindsamlere.
Enterprise trusseljagt er afhængig af tre hovedkilder til inputdata:
- Log beskeder
- Systemovervågning
- Observerbarhed
Alle tre typer data skal indsamles fra hver komponent i systemet – både hardware og software – for at få et komplet billede af et angreb.
Log beskeder
Hovedkilden til data til trusselsjagt kommer fra logmeddelelser. Hvert operativsystem og stort set alle applikationer genererer logmeddelelser, og indsamling af disse giver en rig kilde til information om systemaktiviteter.
Systemovervågning
Ligesom der konstant cirkulerer log-beskeder i et it-system, er det også overvågningsdata. Igen skal det bare samles. Disse oplysninger omfatter oplysninger om live-netværkets ydeevne, der er tilgængelige via Simpel netværksovervågningsprotokol (SNMP). Andre informationskilder, der er let tilgængelige for meget lidt indsats, omfatter procesdata fra Jobliste i Windows eller ps værktøj i Linux, Unix og macOS.
Observerbarhed
Serverløse systemer og filløse aktiviteter er sværere at spore og kræver aktiv dataindsamling med distribueret sporing telemetrisystemer. De oplysninger, der stammer fra sporing af kørende processer, kan suppleres med kode profilering hvor aktiviteter implementeres af almindelige tekstkodningssprog. Hukommelsesdumps og strengscanning kan også afsløre indikationer på angreb gennem tilstedeværelsen af DLL-funktioner, der vides at blive brugt i ondsindede angreb, såsom hukommelses- og registermanipulerende hjælpeprogrammer.
Datastrømme til trusselsjagt
Selvom der er nogle distribuerede trusselsjagtsystemer tilgængelige, hovedsageligt til endpoint-beskyttelse, er disse tjenester normalt centraliserede. EN næste generations AV bruger trusselsjagt på enheden, men alle andre systemer, inklusive IDS-, EDR-, XDR- og SIEM-værktøjer samler data fra flere enheder på systemet til en centraliseret pulje.
Software-as-a-Service trusseljægere kan forene de datasøer, der bruges til alle hostede klienter, i en servicedækkende trusselsdetekteringspakke. Denne strøm af data til en skysamling er også den vigtigste informationskilde, der bruges til trusselsefterretninger feeds.
I alle tilfælde vil data blive indsamlet fra forskellige typer kilder, såsom logfiler eller systemovervågningsposter, og oversættes til et almindeligt format så de forskellige postlayouts kan samles i en ensartet liste med de samme datafelter på samme sted. Trusselsjagt er implementeret som en række søgninger sammen med datafiltrering og gruppering.
Kildedata for trusselsjagt flow mod en central pool. Trusselsintelligens , som informerer om trusselsdetektion, bevæger sig i den anden retning – fra en central placering ud til individuelle virksomhedskonti og derefter videre til lokale databehandlere, såsom enhedsbaserede AV'er. Reaktionsinstruktioner også rejse fra det centrale system ud til lokale enheder.
Trusselsjagtstrategier
Alle trusselsjagtsystemer falder i to strategikategorier: signaturbaseret og anomali-baseret søgninger.
Signaturbaseret trusselsjagt
Signaturbaserede detektionsmetoder er den ældste strategi, der bruges til cybersikkerhedsprodukter. De originale antivirussystemer brugte denne tilgang, som scannede systemer for tilstedeværelsen af specifikke filer, som normalt identificeres med en hash-signatur i stedet for deres navne.
Selvom signaturbaseret trusselsjagt er en gammel strategi, er den ikke forældet – sådan fungerer systemer, der arbejder med feeds for trusselsintelligens. Det CTI feed leverer en liste over processer, filer eller adresser til at lede efter (TTP'er), og trusseljægeren scanner sin datasø for deres tilstedeværelse.
Trusselsjagt baseret på trusselsintelligens omtales også som hypotesedrevet undersøgelse. Signaturbaseret trusselsjagt finder sted i realtid , scanning af data, når de ankommer fra distribuerede samlere og også retrospektivt , kigger gennem lagre af begivenhedsposter. En retrospektiv søgning er nødvendig, hver gang en ny TTP er leveret. Dette skyldes, at tidligere indsigter ikke inkluderede disse angrebsstrategier, og indtrængningsdetektionssystemet skal finde ud af, om systemet allerede er blevet kompromitteret af hackere ved hjælp af de nyopdagede metoder.
Josh og IoC'er , leveret af udbyderen af trusselsjagtsystemet, implementerer også signaturbaseret detektion. Disse informationskilder bruges til at søge gennem levende og historiske data.
Anomali-baseret trusselsjagt
I stedet for at lede efter eksistensen af noget, identificerer anomali-baseret trusselsjagt uregelmæssigheder. Konkret ser den efter ændringer i aktivitetsmønsteret i systemet. Denne type detektering er særlig vigtig for at beskytte sig mod kontoovertagelse og insidertrusler.
Begivenheder såsom datatyveri kræver ikke, at hackere installerer ny software – de faciliteter, du allerede har til rådighed for autoriserede brugere, er gode nok til at hjælpe datatyve med at udtrække værdifuld information. Brugeradfærdsanalyse (UBA) og bruger- og enhedsadfærdsanalyse (UEBA) sigter mod at bekæmpe uautoriseret brug af godkendte applikationer.
Anomali-baseret detektion skal først finde ud af, hvad der er normal adfærd, før den kan opdage afvigelser. Derfor bruger UBA og UEBA systemer maskinelæring at registrere en basislinje for regelmæssig aktivitet for hver bruger eller enhed. Machine learning er en disciplin af Kunstig intelligens (AI).
Automatiseret detektion vs manuel trusselsanalyse
Trusselsjagt er en konstant proces og involverer gennemsøgning store mængder data . Dette er en opgave, som computere er meget velegnede til. For alle undtagen den mindste virksomhed er ideen om manuelt at søge efter trusler bare en ikke-starter.
Manuel analyse af data spiller en rolle i trusselsjagten som et supplement til konstant automatiseret detektion. Den bedste kombination af computeriseret og menneskelig analyse er at lade det automatiserede system sortere gennem data og derefter markere grænsetilfælde til menneskelig vurdering.
Et stort problem med regelbaserede trusselsdetektionssystemer, der inkluderer automatiserede svar er, at de kan tilskrive normal adfærd forkert og låse legitime brugere ude. UBA og UEBA blev anvendt til trusselsjagt i et forsøg på at skære ned på dette falsk positiv indberetning . Uanset hvor fintunet et detektionssystem bliver, er der altid mulighed for, at en bruger pludselig udfører en handling, der er en del af hans almindelige arbejdsrutine.
Den acceptable anomali kan være en sjælden opgave, som brugeren forventes at udføre, men som maskinlæringssystemet ikke har set før, fordi det ikke har kørt længe nok.
Typen af manuel indgriben i et trusselsjagtsystem er op til virksomhedens sikkerhedspolitik . For eksempel kan en usædvanlig og sjældent forekommende hændelse omtales som et menneske gennem udstedelse af en advarsel som den eneste reaktion. Alternativt kunne indstillingerne af en IPS beordre en security-first strategi, der blokerer konti involveret i unormal adfærd og derefter efterlader vurderingen af aktiviteten og evt. vending af svarhandlingen til en administrator.
Rollen af sikkerhedsanalytiker er ikke et job, der tilfældigt kan tildeles en tekniker i supportteamet. Dette er en højt specialiseret færdighed, og kvalificerede analytikere er svære at finde. Når de kan findes, er de meget dyre. Dette er en af grundene til, at automatiserede cybersikkerhedsværktøjer er værd at købe.
En løsning på behovet for menneskelig ekspertise inden for cybersikkerhed er at indgå kontrakt med en lykkedes trusselsjagt service. Dette inkluderer en SaaS-baseret pakke med sikkerhedssoftwaren og serveren til at køre den og tilføjer et team af sikkerhedseksperter til at analysere de usædvanlige anomalier, som computersystemet ikke kan kategorisere.
Trusselsjagt i cybersikkerhedsværktøjer
Du kan læse vores anbefalinger om systemer til trusselsjagt i De bedste trusselsjagtværktøjer . For en illustration af, hvordan forskellige værktøjer kan udføre trusselsjagt individuelt og som en del af en række tjenester, kan vi se på de pakker, der tilbydes af CrowdStrike .
CrowdStrikes cybersikkerhedsværktøjer tilbydes fra en SaaS-platforms dåse Falcon. En af deres tjenester er en næste-generations antivirus-tjeneste, og dette er den ene applikation af Falcon-pakken, der kører på endepunkter i stedet for på Falcon-skyplatformen.
Sådan passer værktøjerne sammen:
- CrowdStrike Falcon Prevent – på stedetUdfører trusselsjagt lokalt og fungerer også som dataindsamlingsagent for cloud-baserede Falcon-systemer.
- CrowdStrike Falcon Insight – skybaseretEn EDR, der koordinerer aktiviteterne i alle Falcon Prevent-instanser for en virksomhed og søger gennem uploadede data på samme måde som et SIEM.
- CrowdStrike Falcon XDR – skybaseretFungerer på samme måde som Falcon Insight, men trækker også aktivitetsdata fra tredjepartsværktøjer og kan kommunikere automatiske svar til Falcon Discover eller andre lokale sikkerhedssystemer.
- CrowdStrike Falcon Intelligence – skybaseretTrusselintelligens kompileret af CrowdStrike fra alle EDR- og XDR-systemer, der fungerer for klienter, plus tredjepartsapplikationsoplevelser.
- CrowdStrike Falcon Overwatch – skybaseretEn administreret service, der leverer Falcon Insight-systemet sammen med teknikere og analytikere til at køre systemet og give en manuel vurdering af data.