Threat Hunting deep dive: Sådan arbejder du med hypoteser

I mit tidligere indlæg gennemgik jeg et eksempel på Threat Hunt eller på dansk trusselsjagt, som vi har brugt i Conscia CDR services. Nu vil jeg gerne gå mere i dybden med hver komponent i trusselsjagtprocessen.

Husk en hypotese danner grundlaget for Threat Hunt jagten. Generelt set er der tre typer hypoteser, selvom enhver given hypotese kan kombinere elementer fra forskellige typer.

Trusselsintelligens eller trusselsbaseret

Denne metode til hypotesegenerering fokuserer ideelt set på information og rapporter baseret på modstanderens taktik, teknikker og procedurer snarere end grundlæggende IOC’er.

Disse oplysninger kan fås gennem hændelsesresponsteams, trusselsefterretningsfeeds og offentlige rapporter om fjendtliges taktikker.

Et eksempel på denne type er den sjældne certifikatjagt fra mit tidligere indlæg.

Situationsfornemmelse

Organisationer ændrer sig kontinuerlig, anskaffer og lancerer nye applikationer eller foretager nye implementeringer osv.

Disse typer hypoteser fokuserer på begivenheder, aktiviteter og ændringer, der sker i dit miljø og påvirker dine aktiver.

Det er vigtigt at starte med de aktiver, der er kritiske for din organisation, da de er afgørende for at holde virksomheden kørende.

Domæne ekspertise

Hver analytiker har en række unikke færdigheder, baggrunde og viden, dette vil påvirke de jagter, analytikerne skaber. Hypoteser, der er skabt på baggrund af analytikerens viden og erfaring, falder ind under kategorien domæneekspertise.

Hypotesen er grundlaget for jagten. Det lader os vide, hvad vi forsøger at opdage eller modbevise, giver et fokus for arbejdet og forhindrer os i at følge for mange kaniner ned i det vi på fagsprog kalder ”rabbit holes”.

Selve jagten

Når du har oprettet din hypotese, er det vigtigt at gøre den til en handlingsrettet jagt. I dette trin vil analytikeren bruge de tilgængelige datasæt til at bevise deres hypotese.

Der er forskellige måder at forespørge på data på, lige fra enkle til komplekse.

Eksempler omfatter:

  • Forespørgsler kan være statistiske, hvor antallet af forekomster af en hændelse sammenlignes med en normal baseline for at identificere sjældne forekomster.
  • Forespørgsler kan være matematiske, hvor matematiske ligninger og algoritmer bruges til at opdage unormale aktiviteter.
  • Forespørgsler kan være statiske, hvor hændelser sammenlignes med en foruddefineret afvisnings- eller tilladelsesliste for at identificere hændelser, der ikke er inkluderet på listen.
  • Forespørgsler kan være dynamiske, hvor den første del af datasættet kan være en del af baseline, og alle nye hændelser kan kontrolleres i forhold til baseline for at registrere uregelmæssigheder.
  • Baseret på analytikernes værktøjer og hypoteser bør de bruge den passende metode til at gennemføre deres jagt.

Før man afslutter sin Therat Hunt jagt og går over til rapportering, bør analytikeren overveje at automatisere så meget som muligt. Hvis forespørgslen fx kan omdannes til en registreringsregel, giver den mulighed for registrering i realtid baseret på den pågældende forespørgsel. Muligheden for automatisering vil variere afhængigt af hypotesen, jagten og de ressourcer, der er tilgængelige for dig.

Rapportering

Ikke alle threat hunts finder malware, og derfor skal der rapporteres for at vise værdi og for at dokumentere det arbejde, der udføres af analytikere. Dette kan opnås ved hjælp af kvantificerbare målinger.

Disse kan omfatte:

  • Antal undersøgte maskiner
  • Antal oprettede eller ændrede registreringer
  • Teknikker, der er omfattet i jagten
  • Ændringer i konfigurationen
  • Og mange flere…

Når en threat hunt giver resultater, skal rapporten fokusere på resultaterne, vurdere virkningen og skabe afbødnings- og reaktionsprocedurer til SOC og intern IT. Derudover bør rapporten indeholde et resumé til ledelsen.

Opsummering

Threat hunting er en iterativ proces, hvor analytikeren genererer en hypotese, gennemfører jagten ud fra den og vurderer, om hypotesen er gyldig. Resultaterne dokumenteres, og ideelt set automatiseres jagten. Hvis automatisering ikke er mulig, bør processen gentages efter en planlagt proces.