Как Endpoint Detection and Response привел к Threat Hunting
В прошлом для защиты организаций от вредоносных программ можно было полагаться на решения информационной безопасности, основанных на сигнатурах, – на заре появления таких решений их обновления были доступны раз в месяц на флоппи-дисках (дискеты). Такие сигнатурные решения очень эффективны и точны при обнаружении известных вредоносных программ.
Сигнатурное обнаружение было достаточным до тех пор, пока полиморфные техники (сжатие и шифрование) не повысили уровень распространения вредоносных программ, после чего одних только сигнатур стало явно недостаточно. А в настоящее время, когда наша антивирусная лаборатория PandaLabs обнаруживает свыше 300 000 новых вредоносных образцов каждый день, требуется что-то намного большее.
Эвристика (вероятностная оценка того, выглядит ли файл как вариант известной вредоносной программы) и локальный поведенческий анализ («песочница») способны идентифицировать варианты известных вредоносных программ. Однако эти техники менее точны и более ресурсоемки на локальном устройстве.
Подозрительные файлы требуют проверки и оценки со стороны ИТ-эксперта, чтобы не были разрешены никакие вредоносные файлы, или, что иногда еще хуже, не было случаев ложного срабатывания, когда легитимный файл помещается на карантин, потенциально отключая систему. Все, что не идентифицировано как вредоносная программа или подозрительный процесс, разрешено для запуска, несмотря на то, что такие файлы остаются не классифицированными. И это очень высокий риск.
Такие традиционные решения борются с неизвестными угрозами (угрозами «нулевого дня»), обладая при этом весьма ограниченными возможностями анализа активности ИТ-процессов и очень ограниченных локальных ресурсов. Такие серьезные ограничения привели к появлению другого подхода для обеспечения информационной безопасности – простая идея 100% классификации, в рамках которой ни один процесс не разрешен до тех пор, пока он не будет классифицирован как невредоносный (goodware).
Panda Security разработала новую парадигму
Начиная с 2010 года компания Panda Security потратила 5 лет на разработку системы «с нуля», чтобы объединить все наши знания по вредоносным и невредоносным программам, а также использовать возможности машинного обучения и искусственного интеллекта для классификации новых исполняемых файлов. Результатом данной работы стало решение Panda Adaptive Defense 360.
Мы находим неизвестный процесс, далее отправляем его (только один раз) в нашу лабораторию для классификации. В подавляющем большинстве случаев в PandaLabs данный процесс осуществляется совершенно автоматически (99,998%). Для небольшого числа оставшихся неизвестных процессов у нас имеется команда аналитиков по информационной безопасности, которые вручную инспектируют, анализируют и классифицируют процессы, создавая соответствующие правила для непрерывного совершенствования автоматизированных систем обнаружения и анализа.
Важное значение 100% классификации было подтверждено Техническим директором лаборатории PandaLabs, который заявил, что «файловые вредоносные программы – под контролем». Итак, риск заражения вредоносными программами, основанными на файлах, снижен практически до нуля (почти, потому что все же не существует 100% безопасности).
Такая автоматическая классификация значительно сократила потребность в ручной проверке, анализе и классификации. А чем же теперь занимаются наши эксперты в PandaLabs?
Файловые вредоносные программы всего лишь один из множества векторов атаки
Когда компания Panda Security начала разрабатывать технологию 100% классификации в 2010 году, она предоставляла контекстную информацию для распознавания и классификации широкого спектра потенциально аномальных процессов на конечных устройствах (которые незаметны для традиционных техник), и обеспечения восстановительных действий или срабатывания оповещений, если требовались дополнительные исследования.
Такой тип решения безопасности в 2013 году был назван Endpoint Detection and Response и был признан ведущими аналитиками одним из наиболее значительных достижений производителей решений безопасности конечных устройств. Для обнаружения таких типов атак вам требуется полная видимость каждого процесса, происходящего на каждом конечном устройстве.
Вместо того чтобы реагировать на угрозы со стороны вредоносных программ постфактум, наши аналитики безопасности активно участвуют в охоте на угрозы в рамках Threat Hunting. Используя информацию, собираемую в течение 30 лет работы в сфере информационной безопасности, наши эксперты проводят активный поиск новых угроз, выдвигая и проверяя новые гипотезы для проверки данных, полученных нашим EDR-решением. После доказательства каждой гипотезы, каждая новая техника обнаружения добавляется к сотням других техник и методов, реализованных в автоматизированном сервисе поиска и исследования угроз Threat Hunting & Investigation Service (THIS).
Автоматические правила THIS направлены на борьбу с угрозами по различным направлениям, включая:
RDP-атаки типа Brute force (подбор паролей)
PowerShell с подозрительными параметрами
Взаимодействие с Active Directory
Локально скомпилированные программы
Документы с макросами или интернет-ссылками
Изменение регистра для автозапуска в Windows
Внедрение кода в легитимные процессы. Как, например, случай с последним патчем Microsoft, когда notepad использовался для запуска консоли командной строки с привилегиями на уровне системы
Профилирование приложений и пользователей, а также обнаружение отклонений в их контексте выполнения для обнаружения аномалий (например, данный пользователь на данном компьютере никогда не запускал такой тип утилит…)
THIS предоставляет нашим пользователям уведомления о любом аномальном поведении при поддержке нашей команды экспертов по реагированию на инциденты и повышению кибер-устойчивости.
Если злоумышленник хочет проникнуть в вашу сеть и при этом у него достаточно средств и времени, то в конечном итоге он может достичь успеха. Вопрос не в том, СМОЖЕТ ли он проникнуть в сеть, а в том, КОГДА он это сделает.
Это может произойти с помощью различных методов:
Незакрытые уязвимости
Фишинговые атаки с использованием социальной инженерии
RDP-атаки типа Brute force
Wi-Fi – «перехват» вашей корпоративной сети Wi-Fi или с использованием поддельной точки доступа Wi-Fi в общественных местах (кафе, аэропорт и т.д.)
Вредоносная флэшка, подключенная к ПК
Различные виды документов – с макросами или встроенным Интернет-контентом
После того как хакер получил плацдарм в вашей сети, для него может существовать масса различных целей, включая такие как:
Сила – повышение своих прав и привилегий
Присутствие – создание бэкдора для постоянного доступа
Разведка – детальное изучение жертвы
Движение – горизонтальное продвижение по сети
Объект – Кража данных / регистрационных данных или шифрование данных [ransomware], удаление данных, нарушение работы сервисов, ботнет или криптомайнинг.
Поскольку мы обезоружили хакера, не позволяя ему использовать вредоносные программы на базе файлов, то вышеуказанные цели он может достигать с помощью методов Living-off-the-Land (LotL), в которых хакер использует уже установленное у вас легитимное ПО (например, PowerShell и Active Directory) для своих собственных вредоносных целей.
Пример:
Кто-нибудь получает по электронной почте письмо, с помощью которого его обманным путем заставляют «включить контент», фактически, отключая защиту от макросов.
После этого загружается скрипт, который вызывает PowerShell и утилиту Mimikatz для получения регистрационных данных, необходимых для поиска в сети жертвы, например, данных.
Поиск в сети позволил хакеру найти требуемые данные, после чего используются другие легитимные утилиты Socat и TOR для извлечения и передачи данных.
В этом случае не использовались никакие уязвимости или вредоносные URL, а на диск не было записано ни одного вредоносного файла, чтобы его можно было сканировать.
Многие организации с трудом справляются с подобными атаками типа Living-off-the-Land, потому что их традиционные средства защиты не способны бороться с ними. Вам необходима полная видимость вех процессов, чтобы можно было увидеть всю природу контекста каждого процесса для выявления и идентификации таких угроз.
Рекомендации
Для обеспечения безопасности вашей организации существуют определенные жизненно важные меры, которые необходимо предпринимать. Первое – это регулярно обновлять все системы, чтобы закрыть любые уязвимости, которые могут быть использованы злоумышленниками. Следующий шаг – это обучение всех пользователей тому, с какими кибер-рисками и угрозами сталкивается ваша организация, и предоставление четких инструкций, как им действовать при возникновении любых инцидентов. Наконец, все системы должны быть защищены с помощью EDR-технологий, которые позволяют гарантировать, что все конечные устройства могут пользоваться всеми преимуществами самых передовых технологий в сфере информационной безопасности для защиты от сложных и неизвестных угроз и атак.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.