El pasado miércoles 31 de octubre tuvo lugar nuestro webinar "¿Qué es Threat Hunting y por qué lo necesitas?", donde te mostramos las claves sobre:
1. Qué es Threat Hunting.
2. Por qué se está volviendo tan popular y qué tipos de ataques lo están haciendo necesario.
3. Cuáles son los retos.
4. Servicio de Threat Hunting e Investigación de ataques.
5. Casos Prácticos.
Descubre más en https://www.pandasecurity.com/spain/business/adaptive-defense/?utm_source=slideshare&utm_medium=social&utm_content=SM_ES_WEB_adaptive_defense&track=180715
4. Definición de “Threat Hunting”
“…es el proceso de búsqueda interactiva y proactiva a través de las redes
para detectar y aislar amenazas avanzadas capaces de evadir las
soluciones de seguridad existentes.”
En contraste con las medidas tradicionales de gestión de amenazas como
firewalls, intrusion detection systems (IDS), malware sandbox (computer
security) y sistemas SIEM, los cuales implican investigación después que se
haya producido una alerta de ataque potencial o se haya producido un
incidente de seguridad.
5. Características del “Threat Hunting”
• Un enfoque Proactivo vs. al Reactivo frente a las amenazas.
• Threat hunting no es Respuesta ante Incidentes, pero sí están
conectados.
• Threat hunting suple lo que las herramientas actuales no pueden ver.
• No reemplaza a otras estrategias como Threat Detection.
6. Diferencias según Gartner
Desplegar
condiciones de
detección
(reglas,
algoritmos)
Recepción de
alertas cuando
se producen
detecciones
Triage alertas
Respuesta al
incidente
Threat Detection
Formular
hipótesis de
ataque
Búsqueda
evidencias
Si se confirma,
pivotar y
extender el
ámbito de la
búsqueda
Threat Hunting
Respuesta al
incidente
Creación de una
nueva condición
de detección
Si no se
confirma,
volver
Gartner 2017 How to Hunt for Security Threats.
Anton Chuvakin, 6 April 2017. ID: G00327290.
8. La Proactividad es
tendencia
• Soluciones
• De EPP a EDR ofrece telemetría necesaria para threat hunting
• Productos de ciberataque y engaño (cyber-deception)
• Prácticas
• Intuición y escucha cazadores en la Red
• Penetration testing (imitar a los atacantes) caja negra, caja blanca
• Red team contra Blue Team (juegos de guerra)
9. Las trazas son
valiosas
• Los atacantes dejan tras de sí
valiosas trazas
• Ataques fallidos
• Sondas
• Descubrimiento de debilidades
• Descubrir actividades antes que
supongan un desastre
10. *IBM/Ponemon 2018 Cost of Data Breach Study
¡Las brechas de
seguridad son
costosas! • El coste medio de una brecha de
seguridad en EEUU es de $7.9M
• El coste medio de una brecha de
seguridad global es de $3.8M
• Se tarda una media de 197 días en
identificar una brecha de seguridad
• Se require de un periodo medio de
69 días para contener una brecha de
seguridad
11. Las infecciones por
malware se están
reduciendo
• 2016 tuvo un 40% menos de infecciones
que en 2015
• La mejora en 2017 es del 70%
• En 2018 las infecciones reportadas por
malware tienden a cero
12. Las infecciones por
malware se están
reduciendo
El Nuevo problema son los Hackers
• Entrenados por gobiernos, empresas de
seguridad y organizaciones criminals.
• Elaboran ataques dirigidos con malware
propietario.
• Utilizan aplicaciones legítimas y goodware
para pasar desapercibidos.
• Es necesaria una respuesta equivalente a
este tipo de amenaza.
14. El tiempo necesario
a dedicar a la tarea • Si eres el administrador TI, el técnico y el
CISO a la vez:
• El tiempo es un bien escaso
• Probablemente no tenga tiempo para
dedicar a tareas de threat hunting
• Se require tiempo para una efectiva
búsqueda de amenazas:
• Recoger datos, crear hipótesis,
validarlas
• Se requiere tiempo para investigar:
• Indicadores de ataque
• IOAs
• IOC
• Patrones de ataque:
• Grupos de amenazas
15. Recursos
• Herramientas:
• Recolección de datos (SIEM,
endpoints, etc)
• Logs, logs, logs
• Presupuesto:
• Herramientas
• Equipo humano
• Respuesta ante incidentes
• $$$$$
19. Threat Hunting
The Adaptive Defense Service
• Monitorización continua del endpoint
contra ataques de seguridad realizados
por agentes internos y externos.
• Localizar atacantes que no utilizan
malware.
Beneficios
Detección hackers
• Ataques Next-gen or malware-less
• Movimientos laterales
Identificación de empleados maliciosos
• Modelado de comportamiento de
ususarios
• Control de identidad, control de
datos
20. El proceso de Threat Hunting
¿Dónde se encuentra el ataque?
Endpoints
Almacén Eventos
Cronología histórica
3. Confirmación Incidente
• Service Orchestrator
• Forensic Console
Flujo de Eventos
1. Generación de hipótesis
Back Testing Console
2. Lanzar Detonación
Threat Engine
21. Telemetría de Eventos
Principales eventos recogidos:
Process
• Creation
• Injections
Files
• Creation
• Modification
• Open
Communications
• IPs Origin and Destiny
• Downloads ( URLs )
Registry
• Creation
• Modification
Administrative
• Installation
• Turn on/off
CIFRAS GLOBALES (12 MESES)
• ~4000 EVENTOS DIARIOS
POR MAQUINA
• ~4000M EVENTOS
PROCESADOS EL BIG DATA
• ~500,000M EVENTOS
ALMACENADOS.
• ~500 DETECTION CONTENTS
• ~4 BILLONES DE
APLICACIONES PERFILADAS
• ~2,5 BILLONES DE
WORKSTATIONS PERFILADOS
• ~3,5 BILLONES DE ID´S
PERFILADOS
22. Ejemplo de Threat Hunting
Bondat:
Estudio, Hipótesis, e Investigación de Threat Hunting
23. Estudio de una amenaza, generación de hipótesis
y validación
Threat Hunting:
Bondat – el gusano invisible
Paso 1: El Estudio:
Un experto en threat hunting analiza la familia y estudia sus
características, descubriendo lo siguiente:
• Es un gusano (worm) escrito en JavaScript / VBScript
• Se propaga a través de dispositivos extraibles (pendrives,
hard drives, etc) mediante la creación de LNKs
• Se implanta en el arranque de sistema
• El servidor C & C actualiza su código
• Incorpora medidas Anti-debug / anti-vm / anti-emulación
• Código altamente ofuscado en sus últimas versiones
• Muy difícil de detector estáticamente / firmas
• Se propaga muy rapidamente en la red
• La desinfección es complicada una vez se expande a
través de la red
24. Generación de hipótesis :
• Basadas en posibles comunicaciones con C&Cs
• Basadas en el tipo de ocultación y tipo de
ejecuciones (extended)
• Basadas en los tipos de eventos
Generación
Hipótesis
Threat Hunting:
Bondat – el gusano invisible
Back testing
console
Almacenamiento
Retrospectivo de
Eventos
Validación de hipótesis:
• Descubrimos que el gusano descarga y ejecuta
scripts en Powershells (nunca visto anteriormente,
nueva funcionalidad).
• Vemos que descarga JavaScripts.
• Descarga el intérprete PHP y realiza entonces otra
consulta a otra web para obtener un Nuevo código
PHP para ejecutar.
Estudio de una amenaza, generación de hipótesis y
validación
25. Ataques descubiertos:
• Conociendo los detalles de comunicaciones con el C & C fue
posible hacerse pasar por una máquina infectada y asi recojer los
últimos payloads que los atacantes estaban utilizando.
Estudio de una amenaza, generación de hipótesis y validación
Threat Hunting:
Bondat – el gusano invisible
• Ataques de fuerza bruta sobre una lista de sitios en
Wordpress para infectarlos con troyanos
• Descarga e instalación de mineros para ganancia
económica.
• Ataque de DoS al NRA (National Association of the
American Rifle).
IOAs
• Generación de nuevas IOAs.
• Creación de nuevos contenidos de detección.
• Notificación de incidentes a los clientes afectados.
26. . This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from Panda Security.
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner
research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research,
including any warranties of merchantability or fitness for a particular purpose.
• According to Gartner2: “Organizations should
pay particular attention to solutions that
include managed services like threat hunting
or file classification.
• Panda Security's unique value proposition is the
classification or attestation of every single
executable file and process on a protected
endpoint device, and it is the only vendor to
include a managed threat hunting service in
the base purchase of its EPP. ”
Panda Adaptive Defense 360 proporciona ambos
servicios gestionados, sin coste adicional:
Panda Security nominada
como visionario en el
Gartner Magic Quadrant
100%
Attestation
Service
Threat Hunting
& Investigation
Service
27. • El Malware no es el único problema a resolver, hay que trasladar
el foco para incluir ataques en tiempo real y hackers.
• Los atacantes evolucionan y se adaptan a herramientas y
servicios. Un análisis continuado y una labor de threat hunting es
la solución.
• La plataforma Panda Adaptive Defense 360 te proporciona todo
esto simplemente instalando la protección.
Resumen
Método científico ¡Una forma sistemática de resolver un problema!
Es el proceso de buscar los rastros de atacantes (pasado y presente) en su entorno de TI. Ayuda a encontrar esos rastros antes de que los dispositivos de seguridad generen alertas de sus actividades.
Algunos definen TH como "respuesta a incidentes de seguridad antes de que haya un incidente declaró“, otros como 'detección de amenazas utilizando las herramientas de respuesta a incidentes' o incluso 'la prueba de hipótesis de seguridad en el entorno de TI en vivo.' Otro modelo útil es '-1 día' detección - ¿suponiendo que la primera alerta sería el día "0" del incidente?
EL Threat Detection era el estado del arte tradicional, ¡ahora es Threat Hunting!
TH no se trata de esperar una alerta u otra señal; más bien, se trata de ir y buscar un intruso antes de que se generen las alertas. (Proactivo)
También se trata de seguir pistas e ideas, no alertas de IOCs conocidos (además los resultados de búsqueda pueden convertirse más tarde en nuevas reglas de contenido de detección).
Threat Hunting es una práctica centrada en el analista humano, no centrada en la herramienta. Se basa en el conocimiento del analista
Threat Hunting se basa en la suposición de una brecha y rastros, aunque sutiles, que dejan los atacantes en su entorno de TI.
Threat Hunting no reemplaza la detección de amenazas y la respuesta de alerta. Trabaja junto a ellos. En esencia, si puedes detectarlo con herramientas, no pasaremos el tiempo de nuestros cazadores de amenazas en él.
Así que si consideramos dos ejemplos: un atacante que puede usar un binario con un hash SHA particular frente a un atacante que puede usar Microsoft PowerShell para el movimiento lateral.
Ambos representan inteligencia de amenaza, pero el primero puede llevar a una alerta o a un bloqueo, mientras que el último es una pista decente para usar para cazar y tal vez perfilar un nuevo indicador de ataque.
Un test de intrusión (“pentest”) pretende obtener una foto del estado de la seguridad de un conjunto acotado de activos en un momento y condiciones concretas
La misión del Red Team de Tarlogic es simular un agente externo esponsorizado que realice un acceso no autorizado a los sistemas corporativos contemplando, además de la intrusión clásica, la persistencia a lo largo del tiempo, el escalado de privilegios en sistemas corporativos e incluso la alteración y robo de información estratégica para el negocio.
El Red Team informa de forma periódica de los descubrimientos, acciones y movimientos futuros a un conjunto reducido de interlocutores del cliente, de tal forma que siempre tendrá conocimiento de los avances de la campaña e información de primera mano sobre el funcionamiento del equipo defensor del cliente (Blue team).
Necesitamos información completa y trazabilidad de las acciones realizadas por los atacantes. A mayor muestra, más fiabilidad. Neceistamos alojamiento en la nube, Big Data Lake.
Es indudable que la motivación de la mayoría de los ataques es de tipo económico: grupos criminales organizados, naciones estado, sabotage, extorsión, robo de patentes, robo de información
Que es vendida en la Dark Web, etc. Y las consecuencias de las brechas son también muy costosas en términos de multas, desprestigio de marca, daño al negocio, seguridad nacional, etc.
Estos datos son de Panda Labs.
Antivirus Tradicional
En 2016 PCOP tuvo 40% menos infecciones que en 2015
En 2017 la mejora fue del 70%
A finales de 2017 el número total de incidente malware escalados a Panda Labs tiende a cero.
Adaptive Defense
2018 – 3 infecciones por MW escaladas a Panda Labs hasta la fecha.
NINGUNA infección MW en los 4 últimos meses
Decenas de miles de hackers entrenados por gobiernos, compañías de ciberseguridad y hackers amateurs
Creando ataques dirigidos con malware propietario (APT).
Empleando incluso aplicaciones goodware y scripts para no ser detectados.
Nuestro objetivo es identificar atacantes que estén usando formas completamente nuevas, un nuevo mecanismo para ejecutar sus ataques. Para detectar ataques para los cuales no hay IOC o IOA conocidos, por lo que esta no es una tarea de correlación simple en un SIEM, se trata de descubrir y crear nuevos indicadores de ataque.
De hecho, estamos buscando hackers, en vivo, que se hacen pasar por administradores de sistemas, sin utilizar malware, sin herramientas personalizadas (que serían muy fáciles de identificar para nosotros), sino herramientas administrativas, scripts, powershells, etc.
Y también estamos buscando empleados malintencionados o usuarios descuidados que intenten dañar a la empresa, intenten robar información o simplemente portarse mal de alguna manera.
Por todo esto, estamos aprovechando los perfiles de identidad y nuestro plan es incluir también la identidad del usuario y el control de datos en la ecuación.
Actualmente nuestro enfoque de ir al mercado es tanto directo como a través de partners.
Directo como un servicio horizontal a todos nuestros clientes, aprovechando nuestra visibilidad global, detectando al menos los ataques más genéricos y tratando de perfilar cada empresa de forma más exhaustiva.
O a través de MSSP y MDR (Servicios, API, Consolas). Creemos que para obtener el máximo beneficio de la plataforma, dichos servicios se deben ofrecer junto con los parteners que ya pueden proporcionar servicios de seguridad administrados o servicios de detección y respuesta administradas.
Estos suelen ser servicios basados en la visibilidad que permite una respuesta, aunque reactiva. Y aquí es donde podemos aprovechar su actividad utilizando nuestros servicios de certificación al 100%, lo que les permite aumentar sus capacidades de prevención, aumentando la detección temprana y las capacidades de respuesta. Pero también pasar de un servicio reactivo de Detección de Amenazas a un servicio proactivo de Caza de Amenazas basado en nuestra plataforma TH que permitirá a los analistas buscar de forma proactiva atacantes pasados y latentes, tener acceso a la inteligencia de amenazas a través de nuestras herramientas TH, API o como servicio.
Creación de hipótesis
La tarea inicial a la hora de plantear una investigación es crear hipótesis enfocadas a encontrar evidencias de amenazas ante de que sean explotadas o que ya están siendo explotadas.
Validación de las hipótesis
Una vez definida la hipótesis, ha de verificarse que esta es valida y buscar la existencia de amenazas que cumplan con esta hipótesis, mediante el uso de herramientas de Threat Hunting. En esta etapa es muy habitual descartar hipótesis o priorizar unas investigaciones sobre otras debido a la probabilidad o criticidad.
Encontrando evidencias
De los resultados obtenidos en la búsqueda anterior verificar se existe realmente una amenaza. Separar falso positivos y fallos de configuración
Descubrimiento de nuevos patrones
Reconstrucción del ataque para encontrar nuevos patrones y tácticas empleadas para realizar este ataque.
Notificación y enriquecimiento
Realización del informe de la Investigación. A partir del conocimiento generado, se enriquecen y mejoran los sistemas de detección automatizada, de manera a que se mejore la seguridad global de la organización.