Обзор Group-IB Threat Hunting Framework

Дата: 23.11.2021. Автор: CISO CLUB. Категории: Обзоры средств защиты информации, Статьи по информационной безопасности
Обзор Group-IB Threat Hunting Framework

В данной статье мы рассмотрим комплексное решение для защиты корпоративной инфраструктуры (сюда же входят и облачные ресурсы, само собой) Group-IB Threat Hunting Framework, которое предназначено для выявления целенаправленных атак (или APT), реагирования на инциденты и их расследование, а также осуществления threat hunting, как внутри защищаемого периметра, так и за его пределами. 

Обнаружить и предотвратить

Генеральный директор SolarWinds Судхакар Рамакришна, выступая на майской конференции RSAC 2021, сообщил, что взломавшие компанию хакеры получили доступ к сети ещё в январе 2019 года. Соответственно, им удавалось скрывать следы своего вторжения около двух лет. За это время у SolarWinds наверняка возникали оповещения от систем информационной безопасности – однако они не сложились в единую картину и, видимо, были проигнорированы. Последствия – взлом 17 000 клиентов компании и огромные финансовые потери.

Известно, что злоумышленники проникли в инфраструктуру SolarWinds и в тестовых целях установили вредоносный код в разрабатываемое компанией ПО. Затем они прекратили активность (видимо, наблюдая за реакцией служб ИБ) и через 3 месяца возобновили установку бэкдоров, длившуюся полгода. После этого преступники постарались уничтожить все следы вторжения.

Этот инцидент в очередной раз показывает, что хакерские группировки тщательно изучают системы жертвы и обходят обычные средства ИБ. Организациям и государственным учреждениям приходится менять методы защиты информации, использовать инновационные подходы. Необходимо обнаружить злоумышленников ещё до того, как они получат доступ к корпоративной сети.

Как и другие решения Group-IB, Group-IB Threat Hunting Framework (THF) представляет инновационный подход к безопасности. Group-IB THF не просто блокирует обнаруженные атаки, ищет уязвимости и подозрительную активность, но и использует подход на основе «threat hunting» – процесса проактивной охоты за угрозами, в том числе с учетом данных из реальных атак на другие компании и с помощью ретроспективного анализом инцидентов в собственной инфраструктуре.

Group-IB Threat Hunting Framework необходим для комплексной защиты инфраструктуры (сетей, конечных устройств, облачных сервисов). Group-IB THF выявляет и останавливает сложные и целевые атаки, неизвестные угрозы, обнаруживает злоумышленников в инфраструктуре заказчика, предоставляет инструменты для расследования инцидентов ИБ.

Возможности Group-IB Threat Hunting Framework

Group-IB Threat Hunting Framework выполняет аналитическую работу по поиску действующих угроз в сети (threat hunting), криминалистическому разбору инцидентов с восстановлением хронологии (forensic). Group-IB THFпозволяет использовать данные передовой системы киберразведки Group-IB о действиях хакерских группировок и аттрибутировать (определять источник) атаки. Речь идет не просто о «четырех неправильных попытках ввода пароля при входе с другого IP = попытка взлома», а корреляции событий в разных частях инфраструктуры, сравнении происходящего в сети конкретной компании с тем, как действуют разные хакерские объединения, какие кибератаки наблюдаются в других компаниях прямо сейчас, какие используются инструменты и тактики и как от них защищаться.

Group-IB Threat Hunting Framework позволяет восстановить последовательность инцидента с установлением места и способа заражения в корпоративной инфраструктуре. Собранные данные могут быть использованы для расследований, криминалистического анализа и предотвращения последующих кибератак.

Полный перечень функционала Group-IB THF представлен ниже:

  • защита корпоративной электронной почты от целевого фишинга и рассылок, содержащих вредоносное ПО;
  • защита сетевого периметра, серверов и рабочих станций пользователей от шифровальщиков, троянов, червей, вирусов, кейлоггеров и шпионского ПО, в том числе, распространяемого в неконтролируемых сетевых потоках;
  • защита инфраструктуры от наблюдения и управления злоумышленниками;
  • организация защищенной передачи файлов между файловыми хранилищами;
  • аналитический инструмент по изучению вредоносного ПО;
  • Итеграции с существующими системами защиты заказчика с помощью API;
  • защита рабочих станций и серверов от потенциально нежелательных приложений и недоверенных устройств;
  • возможность передать часть функций по обеспечению удаленного реагирования на инциденты специалистам CERT-GIB и/или Лаборатории компьютерной криминалистики Group–IB;
  • проведение проактивного поиска угроз в защищаемой инфраструктуре;
  • выявление и исследование инфраструктуры злоумышленников, атакующих компанию;
  • сбор криминалистически значимых данных и восстановление полной хронологии атаки;
  • контроль передаваемых артефактов в зашифрованном трафике;
  • контроль зашифрованного трафика в сети;
  • защита технологических сетей от нелегитимных устройств передачи данных;
  • защита технологических сетей от неразрешенных модификаций программируемых логических контроллеров (ПЛК);
  • защита технологических сетей от подмены функций технологических протоколов со стороны злоумышленников;
  • защита технологических сетей от атак, приводящих к разрушению оборудования (и, как следствие, к техногенным авариям).

Интересный факт: при приобретении Group-IB THF в стоимость включается оформление страхового полиса от страховой компании AIG, распространяющегося на риски утечки корпоративных или персональных данных и нарушений безопасности компьютерной системы, вызванных заражением или повреждением информации 

Модули

Group-IB THF состоит из шести модулей, которые могут работать независимо и быть развернуты как на физическом, так и виртуальном оборудовании (в том числе, с использованием облачных ресурсов). Рассмотрим их подробнее.

Huntbox

Основной модуль системы, представляющий собой центр управления, мониторинга, хранения и корреляции событий для осуществления последующего автоматизированного анализа и реагирования на инциденты. Его функции представлены ниже:

  • автоматическая атрибуция событий, алертов и инцидентов до применяемого в атаке вредоносного ПО, техникам, а также до атакующих группировок;
  • графовый анализ – технология исследования и наблюдения за сетевой инфраструктурой злоумышленников, способная за несколько секунд выстроить связи между разрозненными данными, атрибутировать атаку до конкретной хакерской группы;
  • Threat hunting – поиск и проверка гипотез о компрометации сети по сырым данным из трафика и АРМ (необходимы модули Huntpoint и/или Sensor);
  • управление модулями Group-IB Threat Hunting Framework;
  • блокировка ВПО и активности АРМ в автоматическом или в ручном режиме (необходим модуль Huntpoint);
  • инструменты мониторинга инцидентов ИБ: аккумулирование и хранение всех событий ИБ, корреляция множества событий в единую запись по цели атакующего, корреляция многоцелевой и многовекторной атаки в единый инцидент;
  • Осуществление совместного реагирования на инциденты ИБ вместе с аналитиками CERT-GIB в удобной тикет-системе;
  • интеграция с системами оркестрации событий ИБ и платформами управления инцидентами (например, SOAR-, SIEM-системы) по API для предоставления отчётов детонации вредоносного ПО (необходим модуль Polygon);
  • интеграция с SIEM через API для передачи полного контекста выявленных инцидентов.

Варианты интеграции в корпоративную инфраструктуру:

  • HW (hardware) – поставка готового программно-аппаратного комплекса (ПАК) от компании Group-IB;
  • SW (software) – поставка образа для установки на собственном серверном оборудовании;
  • Virtual – поставка образа для установки на собственных виртуальных мощностях;
  • Cloud – использование облачной версии Huntbox. Это может уменьшить стоимость и упростить внедрение Group-IB THF.

Управление системой осуществляется через веб-интерфейс.

Характеристики готовых ПАК Huntbox представлены в таблице ниже.

 Huntbox StandardHuntbox EnterpriseStorage (расширение памяти, используется только в связке с Standard или Enterprise)
Количество подключенных Endpoint, шт.<10001000-2000
Емкость накопителя2x 960 Гб (SSD) + 4x 1,2 Тб (HDD)2x 960 Гб (SSD) + 4x 1,2 Тб (HDD)2x 960 Гб (SSD) + 2x 1,2 Тб (HDD)
Сетевые порты (LAN)4x 1000 BASE-T
Форм-фактор1U
Максимальная потребляемая мощность (Вт)705705517
Максимальное тепловыделение2x 2891 BTU/h2x 2891 BTU/h2x 2107 BTU/h

Sensor

Модуль Sensor проводит глубокий анализ сетевого трафика и, помимо привычных IDS-функций, использует машинное обучения для поиска аномалий в трафике, скрытых каналов коммуникации атакующих с управляющим сервером, их перемешений внутри сети и других угроз на сетевом уровне. 

Функции Sensor представлены ниже:

  • использование технологии Machine Learning для выявления горизонтального перемещения по сети (lateral movement), выявления эксфильтрации данных в прикладных протоколах, выявления сетевых аномалий и т.д.;
  • анализ с использованием сигнатур:
  • эвристический подход при анализе сетевых потоков;
  • поддержка актуальности сигнатур – обновление не менее трех раз в сутки;
  • возможность подключать собственные сигнатуры.
  • YARA-правила для дополнительной кастомизации анализа файлов и ссылок (необходимы модули Polygon и Huntpoint);
  • сбор мета-информации о сетевой активности для обнаружения угроз;
  • извлечение файлов из следующих потоков данных:
    • сетевой трафик;
    • ссылки;
    • файловые хранилища (SMB, WebDAV, NFS, FTP);
    • SSL-трафик (для расшифровки используется отдельный модуль Decryptor, его описание ниже);
    • почтовый трафик (SMTP/S, POP3/S, IMAP/S);
    • прокси-серверы (ICAP-интеграция);
  • анализ почтовых сообщений, в том числе ретроспективный анализ с поиском отложенных атак (необходим модуль Polygon);
  • интеграция с аналитическими системами через syslog и SNMP.

Варианты интеграции модуля в инфраструктуру:

  • HW – поставка готового ПАК от компании Group-IB;
  • SW – поставка образа для установки на собственном серверном оборудовании;
  • Virtual – поставка образа для установки на собственных виртуальных мощностях (для производительности 250 Мбит/сек понадобится 6 ядер CPU, RAM 32 Гб, HDD 480 Гб и минимум 2 сетевых интерфейса).

Характеристики готовых ПАК Sensor:

 Sensor 250Sensor 500Sensor 1000Sensor2000Sensor5000Sensor10000
Пиковая производительность, Мбит/сек25050010002000500010000
Порты мониторинга (SPAN)4×10/100/1000 BASE-T4×10/100/1000 BASE-T4×10/100/1000 BASE-T4×1000 BASE-T2x10G BASE-TSR/LR4×1000 BASE-T2x10G BASE-TSR/LR4×1000 BASE-T2x10G BASE-TSR/LR
Сетевые порты (LAN)2×1000 BASE-T
Форм-фактор1U
Емкость накопителя2×1,2 TB SAS
Максимальная потребляемая мощность (Вт)235235235517517705
Максимальное тепловыделение1039 BTU/h1039 BTU/h1039 BTU/h2x 2107 BTU/h2x 2107 BTU/h2x 2107 BTU/h

Polygon

Polygon – это модуль для детонации и анализа подозрительных файлов в изолированной среде. Стандартный инструментарий антивирусной песочницы был дополнен инновационными функциями. Виртуальная среда тонко настраивается, чтобы имитировать окружение заказчика, Polygon может автоматически подбирать дополнительные ОС для углубленного анализа. 

Используется огромное количество различных опций, чтобы противостоять техникам злоумышленников по уходу от обнаружения: пользовательская активность, переменные среды, время запуска и паузы в работе. Это позволяет, во-первых, с бóльшей гарантией активировать вредоносное ПО, а, во-вторых, не дать вирусу обнаружить, что он в виртуальной среде.

Функции Polygon представлены ниже:

  • детонация вредоносного ПО с автоматическим использованием дополнительных образов ОС, параметров или функций для выявления всех вредоносных возможностей анализируемого объекта;
  • анализ файловых объектов из следующих потоков:
    • почтовый трафик;
    • веб-трафик с прокси-серверов (при ICAP-интеграции);
    • SPAN-трафик;
    • локальные файловые хранилища;
    • используемые в компании облачные файловые хранилища;
    • АРМ пользователей (необходим модуль Huntpoint);
    • SSL-трафик (необходимы модуль Decryptor или ICAP- интеграция);
  • поддержка 294 форматов анализируемых объектов;
  • анализ содержимого ссылок, вложенных в почтовые сообщения или файлы;
  • ретроспективный анализ файлов и ссылок для выявления отложенных атак;
  • защита от противодействия поведенческому анализу:
  • winAPI-мониторинг;
  • перезапуск с необходимыми временными параметрами для вредоносного ПО, учитывающими временные рамки (большая загрузка CPU, длинные паузы и т. п.);
  • эмуляция реалистичных системных параметров среды анализа;
  • использование последних версий прикладного офисного ПО в среде анализа;
  • ретроспективный анализ ссылочной информации;
  • выявление дополнительных условий детонации вредоносного ПО (перезагрузка ОС, макросы закрытия/открытия приложений, запуск по времени и т. п.);
  • вскрытие многотомных контейнеров с ветвлениями;
  • эмуляция пользовательской активности (клики по определенным местам экрана, закрытие документа и т. п.);
  • компьютерное зрение;
  • извлечение и выполнение дополнительных команд из реестра (не выполняющихся по умолчанию);
  • вскрытие запароленных архивов с учетом следующих контекстов:
    • содержимое письма;
    • заголовок письма;
    • несколько писем в одной цепочке (соседние письма в цепочке);
    • вложенные файлы;
    • содержимое ссылок;
    • внутренний словарь;
  • используемые ОС: Windows XP, Windows 7, Windows 10, русская и англоязычная версии;
  • YARA-правила для дополнительной тщательной кастомизации анализа файлов и ссылок;
  • API-интеграция с системами контроля инцидентов и анализа файловых объектов для получения вердиктов детонации ВПО (необходим модуль Huntbox).

Варианты интеграции в инфраструктуру:

  • HW – поставка готового ПАК от компании Group-IB;
  • SW – поставка образа для установки на собственном серверном оборудовании;
  • Virtual – поставка образа для установки на собственных виртуальных мощностях;
  • Cloud – использование облачной версии Polygon.

Характеристики готовых ПАК Polygon:

 Polygon StandardPolygon Enterprise
Пиковая производительность, файлов/день900019000
Сетевые порты (LAN)4x 10/100/1000 BASE-T
Форм-фактор1U
Емкость накопителя2x 480GB SSD
Максимальная потребляемая мощность (Вт)517
Максимальное тепловыделение2x 2107 BTU/h

Decryptor

Вспомогательный модуль, предназначенный для расшифровки TLS/SSL-трафика (в том числе базирующегося на ГОСТ-шифровании). 

Функции Decryptor представлены ниже:

  • расшифровка SSL/TLS-сессий в любых приложениях «на лету» за счёт установки «в разрыв»;
  • автоматическое выявление шифрованного трафика вне зависимости от используемых сервисов;
  • передача копии расшифрованных сессий во внешние анализирующие системы, в том числе на Sensor;
  • формирование автоматических исключений при работе решения;
  • работа в режиме обратного прокси для контроля шифрованного трафика при обращении к корпоративным ресурсам;
  • поддержка следующих стандартов и протоколов шифрования:
    • все современные наборы Cipher Suites (RSA, DHE, ECDHE, ChaCha, Camilla и т.д.);
    • поддержка ГОСТ-шифрования (GOST2012, GOST2001, GOST89);
    • поддержка TLS 1.1-1.3 (включая RFC 8446) и механизмов SSL handshake.

Поддерживаемые режимы работы:

  • режим моста — в этом режиме Decryptor функционирует на уровне L2 сетевой модели OSI.
  • режим шлюза — в этом режиме Decryptor функционирует на уровне L3 сетевой модели OSI, являясь шлюзом для пользовательской сети.

Варианты интеграции в инфраструктуру:

  • HW – поставка готового ПАК от компании Group-IB;
  • SW – поставка образа для установки на собственном серверном оборудовании;
  • Virtual – поставка образа для установки на собственных виртуальных мощностях.

Huntpoint

Huntpoint выполняет, во-первых, функции защиты от вредоносного ПО: блокировка вредоносного ПО и процессов, перемещение файлов в карантин, проверка их по базе репутации, отправка файлов на анализ в Polygon. Во-вторых, Huntpoint собирает с АРМ данные, необходимые для мониторинга безопасности сети, и, при запуске процесса Threat Hunting, ищет следы злоумышленников на конечных точках. В-третьих, по команде администратора может быть приостановлена сетевая активность выбранного АРМ (при его вредоносной активности, например).

Функции Huntpoint представлены ниже:

  • постоянный сбор криминалистически значимых данных с АРМ пользователя;
  • автоматическая отправка файловых объектов на поведенческий анализ (необходим модуль Polygon);
  • YARA-правила для дополнительной тонкой кастомизации анализа файлов и ссылок (необходим модуль Polygon);
  • автоматическая блокировка запуска вредоносного ПО, перемещение в карантин для дальнейшего анализа;
  • автоматическая блокировка запущенных вредоносных процессов;
  • доступ к общей базе вредоносных объектов Group-IB для репутационной проверки;
  • блокировка возможностей сетевой активности АРМ по сигналу аналитика;
  • Threat hunting по собираемым данным;
  • локальное хранение собираемых данных в случае потери связи с Huntbox;
  • централизованное управление из Huntbox с локальным или облачным размещением.

На данный момент Huntpoint поддерживает современные ОС семейства Windows: Windows 7, 8, 8.1, 10, Windows Server 2008, 2012(r2), Windows Server 2016, Windows Server 2019.

Варианты интеграции в инфраструктуру:

  • HW – поставка готового ПАК от компании Group-IB;
  • SW – поставка образа для установки на собственном серверном оборудовании;
  • Virtual – поставка образа для установки на собственных виртуальных мощностях.

Архитектура решения

Пример расположения модулей представлен на рисунке ниже. 

Обзор Group-IB Threat Hunting Framework

Group-IB Threat Hunting Framework может работать в четырёх разных вариантах связи с производителем:

  • Полная изоляция без обновлений ПО и решающих правил.
  • Одностороннее обновление ПО, сигнатур и IoCs, инициируемое Huntbox.
  • Двустороннее соединение с инфраструктурой Group-IB. Функциональность выявления скрытой инфраструктуры атакующего. Обновление инициируется Group-IB. Мониторинг состояния оборудования – со стороны Group-IB.
  • Сервис мониторинга и техподдержки от CERT-GIB 24/7. Автоматизированный Threat Hunting.

Решение может использоваться как для мониторинга, так и активного предотвращения (блокируются опасные файлы из веб-трафика, почты и файловых хранилищ).

CERT от Group-IB

Group-IB Threat Hunting Framework может быть интегрирован с экспертным центром реагирования (CERT) от Group-IB. Специалисты CERT осуществляют мониторинг инфраструктуры и оказывают консультации при инцидентах ИБ. По сравнению с зарубежными конкурентами это может быть существенным преимуществом в экстренных ситуациях – позволит оперативнее обезвредить угрозу.

Что могут выполнять специалисты CERT от Group-IB:

  • анализ и классификация полученных данных (определение источника угрозы, оценка уровня опасности инцидента, обогащение сведений об угрозе системой Threat Intelligence);
  • первая помощь в рамках реагирования (предоставление четких инструкций по локализации инцидента, блокировка опасных ресурсов, проактивный мониторинг угроз для предотвращения повторных инцидентов;
  • реагирование и проведение расследования (локализация масштабных инцидентов, сбор и анализ цифровых доказательств, идентификация злоумышленника, поддержка заказчика в дальнейшем расследовании).

Выводы

Стремительный рост количества кибератак повышает интерес к оценке реальных последствий инцидентов ИБ. Количество компаний, которые применяют риск-ориентированный подход, растёт с каждым годом, владельцы бизнеса и государственные служащие чаще задумываются о возможных угрозах и способах их нейтрализации.

Подход к информационной безопасности постепенно меняется. Помимо классического расследования инцидентов специалисты обращают внимание на предотвращение кибератак. Большинство команд по ИБ начинают анализировать инфраструктуру с целью обнаружения аномалий. Threat hunting без использований средств автоматизации не всегда позволяет выявить индикаторы компрометации и выявить сложные угрозы на ранней стадии. 

Решение Group-IB Threat Hunting Framework предоставляет необходимые инструменты для автоматизации исследования инцидентов, охоты за угрозами и реагирования на новые угрозы. Group-IB THF повышает не только эффективность ИБ-команды, но и компании в целом, так как раннее выявление потенциальных угроз снижает вероятность наступления инцидентов, а эффективное расследование инцидентов позволяет предотвратить вероятность реализации риска в будущем. Низкое количество ложных срабатываний и применение современных технологий (таких, как Machine Learning) снижает нагрузку компании на ФОТ команды специалистов по ИБ. 

Решение Group-IB Threat Hunting Framework может применяться как в классических сетях передачи данных, так и в АСУ ТП. Таким образом, решение от Group-IB может рассматриваться компаниями с различными видами деятельности. Комбинирование различного функционала (различных модулей) позволяет кастомизировать продукт под нужды заказчика.

Несмотря на то, что рынок киберстрахования в России только развивается, пакет страховых услуг AIG позволит закрыть часть рисков выплатой страховых премий. 

Мы рекомендуем использование решения Group-IB Threat Hunting Framework организациям, у которых уже есть средства «пассивной» защиты (межсетевые экраны, антивирусы и т. д.); ИБ-специалистам для наращивания противодействия сложным хакерским атакам; руководителям подразделений и владельцам бизнеса для снижения финансовых потерь от потенциальных кибератак.

Для эффективного управления инцидентами, доступа к обширной базе событий и сокращения времени на обработку инцидентов компании могут воспользоваться услугами сертифицированного центр реагирования на инциденты информационной безопасности CERT от Group-IB, интегрировав его с решением Group-IB Threat Hunting Framework.

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *