Caça a ameaças
Ameaças avançadas e sofisticadas podem ultrapassar as defesas tradicionais e automatizadas de cibersegurança, ou podem ser ignoradas pelos analistas de nível 1 e 2. O estabelecimento de um programa de caça de ameaças bem-sucedido baseia-se na qualidade dos dados do seu ambiente e na sua capacidade de revelar insights geralmente não encontrados através da atividade de correlação do dia-a-dia. As equipas de segurança precisam conduzir investigações e caça a ameaças em toda a superfície de ataque e a partir de uma única ferramenta. Devia ter uma ferramenta como Splunk Enterprise Security no local, recolha de dados. Quando os dados são facilmente recolhidos, normalizados, acedidos e analisados, isso fornece pistas valiosas para os caçadores de ameaças da sua equipa perseguirem ameaças. Além disso, esta ferramenta deve analisar, enriquecer e validar alertas automaticamente, eliminar falsos positivos, agrupar eventos relacionados em incidentes, e priorizá-los por risco organizacional para facilitar investigações rápidas e eficazes e atividades de caça a ameaças.
Quais são os benefícios de um programa eficaz de caça às ameaças?
Um programa eficaz de caça a ameaças reduz o tempo entre a intrusão e a descoberta e, na maioria dos casos, limita a quantidade de dano que pode ser causado pelos atacantes. Ataques sofisticados muitas vezes ficam à espreita durante semanas, ou mesmo meses, antes da descoberta. Em média, são necessários mais de 200 dias até que a maioria das organizações descubra que ocorreu uma violação de dados. Os atacantes aguardam pacientemente para desviarem dados e descobrir informações confidenciais suficientes ou obterem credenciais privilegiadas para desbloquear mais acessos, preparando o terreno para uma violação significativa de dados e um lugar do qual nenhuma organização quer fazer parte.
A caça a ameaças está rapidamente a tornar-se um papel vital e favorito em muitos programas de cibersegurança organizacionais, uma vez que garante um nível de consciência situacional que outros métodos podem não alcançar tão rapidamente. Os benefícios de habilitar um programa de caça a ameaças são:
- Descubra ameaças de forma proativa . Fique a par das ameaças ocultas e, utilizando pesquisas flexíveis, identifique de forma proativa as recomendações que possam ter encontrado formas de estabelecer uma posição de apoio na rede da sua organização.
- Melhorar a velocidade de identificação das causas profundas e pesquisar evidências adicionais de potenciais incidentes. A investigação ad hoc pode muitas vezes identificar atividades ou padrões que podem já estar presentes no seu ambiente.
- Auxiliar os analistas de cibersegurança na compreensão da organização. Obtenha uma melhor compreensão do estado de segurança atual e da postura da sua organização e como pode defender-se contra ataques.
- Ajudar a alcançar a mitigação adequada das ameaças através de uma defesa adequada. Informações mais aprofundadas sobre as suas redes e sistemas e as ameaças que podem enfrentar auxiliam no estabelecimento de controlos em camadas.
- Reduz os falsos positivos e melhora a eficiência do SOC. Crie processos orientados a hipóteses, proativos e repetíveis. A aplicação de técnicas de investigação humana a par da implementação de ferramentas eficazes significa falsos positivos e reduzidos e a eficiência na detecção e resolução aumentada.
- Utilize a análise preditiva dentro Splunk User Behavior Analytics para identificar ameaças desconhecidas com a aprendizagem automática
- Iniciar e otimizar atividades de caça com inteligência integrada contra ameaças (Splunk Threat Intelligence Management)
Quais são as melhores práticas de caça às ameaças?
O trabalho de um caçador de ameaças é encontrar as incógnitas. Os caçadores de ameaças conduzem análises através de vastas quantidades de dados de segurança, procurando por malware oculto ou sinais de invasores, procurando padrões de atividade suspeita que podem não ter sido descobertos por ferramentas. Também ajudam a desenvolver abordagens de defesa aprofundadas, compreendendo as táticas e técnicas dos atacantes para que possam ajudar a prevenir esse tipo de ataque cibernético. Utilizam frameworks comuns como MITRE ATT&CK ou Kill-Chain para ajudar a adaptá-los ao ambiente local.
Tipos de caça às ameaças
Os caçadores começam com uma hipótese baseada em dados de segurança, indicadores de inteligência de ameaças ou ações de eventos. A sua hipótese orienta-os para uma investigação mais aprofundada dos riscos potenciais. Estas investigações mais profundas podem ser estruturadas, não estruturadas ou ad-hoc.
Investigação estruturada
Uma investigação estruturada baseia-se em dados de inteligência de ameaças, como um indicador de compromisso (IoC) ou através de táticas, técnicas e procedimentos (TTPs) de um atacante. Os agentes da ameaça podem ser identificados antes mesmo que o atacante possa causar danos ao ambiente, compreendendo os TTPs que empregam. O MITRE ATT&CK é uma estrutura popular a partir da qual os caçadores de ameaças realizam investigações estruturadas.
Investigação não estruturada
A investigação não estruturada é muitas vezes iniciada através de uma ação ou evento que ocorre onde um ou mais indicadores de comprometimento (IOC) são detectados. Este tipo de evento leva um caçador de ameaças a focar-se nos padrões de pré-evento e pós-detecção. Eles agrupam pesquisas em conjunto com outros incidentes conectados para construir uma imagem holística.
Investigação ad-hoc
A investigação ad-hoc pode ocorrer por uma variedade de razões. Tendências de ameaças, análise ativa de vulnerabilidades, avaliação de risco ou leads externos. Os leads podem ser descobertos a partir de dados de ataques de origem coletiva que revelam os TTPs mais recentes das ameaças cibernéticas atuais. Um caçador de ameaças usa estas pequenas pistas para depois procurar esses comportamentos específicos dentro do seu ambiente.
Como é Splunk Enterprise Security ajuda na caça às ameaças?
Que ameaça a caça processos posso pôr em prática ?
A Splunk recomenda seguir as Moção de Adoção Prescritiva: Caça às ameaças . Este guia o orienta passo a passo através dos tipos de inteligência de ameaças, contextualização de dados e enriquecimento.
-
- Verificação de ficheiros criados num sistema
- Descubra quando e onde os ficheiros foram criados num sistema, ajudando-o a procurar ameaças ou conduzir a automação.
-
- Detecção de atividade de ACL de rede da AWS
- Estas pesquisas ajudam-no a verificar se há configurações incorrectas e actividades maliciosas nos controlos de acesso à rede da AWS.
-
- Detecção de alertas do hub de segurança da AWS
- Essas pesquisas ajudam você a descobrir alertas do AWS Security Hub, que coleta e consolida descobertas dos serviços de segurança da AWS habilitados em seu ambiente.
-
- Detecção de atividades de aprovisionamento suspeitas da AWS
- Estas pesquisas permitem detectar adversários à medida que começam a investigar o seu ambiente da AWS.
-
- Detectar um ataque de ransomware
- Como usar o Splunk para detectar ataques de ransomware investigando programas ou binários que são executados em sistemas infectados e procurar outras marcas de ataques.
-
- Modificações de recuperação de arranque do Bcdedit
- Picos de gravação de ficheiros
- Alta frequência de eliminação de ficheiros
- Alta frequência de terminação do processo
- Modificações da chave do registo
- Schtasks.exe registando binários ou scripts para executar a partir de um directório público
- Schtasks.exe utilizado para forçar uma reinicialização
- Picos de ligação de tráfego do Bloco de Mensagens do Servidor (SMB)
- Cópias de sombra eliminadas
- Tráfego TOR
- Eliminação de periódico USN
- Wbadmin apagar ficheiros de cópia de segurança
- Abuso Wevtutil.exe
- Windows registo de eventos apagado
- Wmic.exe iniciando processos num sistema remoto
-
- Detecção do BlackMatter ransomware
- Tem de ser capaz de detectar e investigar atividades invulgares que possam estar relacionadas com o BlackMatter ransomware.
-
- Detecção de comportamento de acesso de força bruta
- Saiba como detetar quando estão a ocorrer tentativas de acesso por força bruta.
-
- Detecção de alterações no Windows grupo de utilizadores
- Como comparar Windows registos de segurança no registo de incidentes da sua organização para garantir que cada modificação do utilizador tenha um registo de incidentes associado.
-
- Detecção do ransomware Clop
- Tem de ser capaz de detectar e investigar actividades invulgares que possam estar relacionadas com o ransomware Clop.
-
- Detecção do DarkSide ransomware
- Tem de ser capaz de detectar e investigar actividades invulgares que possam estar relacionadas com o ransomware DarkSide, e estas pesquisas ajudam-no a fazer isso.
-
- Detecção de tentativas de descoberta de confiança no domínio
- Identificar tentativas maliciosas de recolher informações de confiança de domínio que possam ser utilizadas para identificar oportunidades de movimento lateral em Windows ambientes.
-
- Detecção de ataques FIN7
- Detecte atividades relacionadas ao implante FIN7 JS e ao seu JSSLoader, com pesquisas que pode executar no Splunk para procurar a carga útil do FIN7, a recolha de dados e a execução de scripts.
-
- Detecção de indicadores de malware Remcos RAT
- Como utilizar o software Splunk para monitorizar a exploração Remcos, com processos para o ajudar a encontrar gravações de ficheiros associadas à sua carga útil, captura de ecrã e muito mais.
-
- Detecção de execução remota de código Log4j
- É um analista de segurança que precisa de procurar a presença do Log4j a executar código remoto nos seus sistemas.
-
- Detecção de atividades maliciosas com regras Sigma
- O Sigma é uma ferramenta útil para partilhar informações de detecção de ameaças, focada na detecção de anomalias em dados de registo, tais como processos informáticos, comandos e operações associadas a malware ou ferramentas maliciosas.
-
- Detecção de ofuscação de ficheiros maliciosos utilizando certutil.exe
- Detecte a ofuscação usada pelos invasores para ocultar ficheiros, com pesquisas que pode executar no Splunk para encontrar provas destas táticas que estão a ser utilizadas no seu ambiente.
-
- Detecção de disfarcamento
- O mascaramento é bastante comum com algumas utilities porque a existência dessa utilidade em certos sistemas pode disparar alarmes para as organizações. Veja como detectá-lo.
-
- Detecção de ataques Netsh
- Tem de ser capaz de detetar atividades e várias técnicas associadas ao abuso de Netsh.
-
- Detecção de pesquisa de rede e porta
- Como usar o software Splunk para ver se a atividade de pesquisa é proveniente de outra pessoa que não seja uma pessoa autorizada internamente.
-
- Detecção de ataques do Office 365
- Estas pesquisas ajudam-no a detetar ataques contra o Microsoft 365.
-
- Detecção de ataques de pulverização de palavras-passe em ambientes do Active Directory
- Como identificar instâncias em que um utilizador, sistema anfitrião ou processo tenta autenticar utilizando um número invulgarmente elevado de utilizadores únicos em ambientes AD.
-
- Detecção de ataques de spooler de impressão
- Como usar o Splunk para detectar ataques de spooler de impressão examinando execuções binárias e de programas, conexões entre máquinas infectadas e outros dispositivos e muito mais.
-
- Detecção de atividades de ransomware em ambientes da AWS
- Como detectar quando os utilizadores no seu ambiente da AWS estão a realizar atividades normalmente associadas a ataques de ransomware.
-
- Detecção de malware recorrente num sistema anfitrião
- Como utilizar o Splunk para pesquisar registos de antivírus para encontrar sistemas na sua rede que estão a sofrer múltiplas infiltrações.
-
- Detecção de infecções por ransomware ReVil
- Investigue o ransomware tentando reconstruir os eventos que levaram o sistema a ser infectado e aprenda todo o escopo da violação de segurança.
-
- Detecção de ataques à cadeia de fornecimento de software
- Pretende utilizar os hashes JA3/s como um ponto de dados de alta fidelidade para aproximar a atividade anómala da linha da frente.
-
- Cálculo de probabilidade de anomalias com hashes JA3/JA3s
- Hashes JA3/Ja3s vistos pela primeira vez
- Visão geral do hash JA3/JA3s
- Criação de tabela de pesquisa para detecção escalável de anomalias com hashes JA3/JA3s
- Hashes JA3s e combinações de servidores mais raros
- Windows processo e correlação de hash Ja3s
-
- Detecção de malware Supernova web shell
- Pretende procurar sinais de que os seus sistemas foram comprometidos por uma vulnerabilidade de dia zero que instalou uma DLL do.NET trojanizada.
-
- Detecção do uso de randomização em ataques cibernéticos
- Pode usar o software Splunk para calcular a aleatoriedade dos domínios acedidos na sua rede e quão intimamente relacionados eles estão com nomes de domínio legítimos.
-
- Detecção de tráfego TOR
- Como utilizar os dados da firewall para encontrar o tráfego TOR na sua rede.
-
- Detecção de ataques do Trickbot
- Detecte ataques do Trickbot com pesquisas que pode executar no Splunk para identificar atividades relacionadas com a carga útil do Trickbot, injeção de processo, execução de shellcode e recolha de dados.
-
- Detecção da utilização de ferramentas populares de pós-exploração do Linux
- Como usar pesquisas do Splunk para detectar instâncias em que agentes mal-intencionados utilizaram ferramentas para procurar oportunidades para explorar hosts Linux.
-
- Detecção Windows abuso de extensão de arquivo
- Detectar Windows abuso de extensão de ficheiro com pesquisas que pode executar no Splunk para identificar assinaturas das técnicas utilizadas nestes ataques.
-
- Detecção de mineração de CPU ou GPU XMRig
- Detecte a mineração de CPU/GPU XMRig, incluindo a procura de gravações de ficheiros associadas à sua carga útil, linha de comando do processo, evasão de defesa e muito mais.
-
- Detecção de ataques de Zerologon
- Detecte atividades relacionadas com o Zerologon CVE-2020-11472, com pesquisas Splunk você pode usar para identificar tentativas de redefinir a conta de computador do Controlador de Domínio.
-
- Encontrar logins interativos a partir de contas de serviço
- A maioria das contas de serviço nunca deve iniciar sessão interactivamente nos servidores. Pretende monitorizar activamente os seus servidores para poder investigar rapidamente se isto acontece.
-
- Encontrar grandes carregamentos da Web
- Pretende proteger a sua organização encontrando carregamentos de ficheiros grandes que possam apontar para a exfiltração de dados na sua rede.
-
- Investigar ataques de phishing Gsuite
- Alguns funcionários relataram recentemente ter recebido ficheiros suspeitos entregues através da partilha de ficheiros do GSuite Drive e é necessário investigar.
-
- Monitorização do AWS S3 para atividades suspeitas
- Essas pesquisas permitem que você monitore seus buckets do AWS S3 para evidências de atividade anômala e comportamentos suspeitos.
-
- Monitorizar uma rede para exfiltração de DNS
- É necessário configurar a monitorização para vigiar os hackers que utilizam o DNS para controlar sistemas anfitriões comprometidos e exfiltrar dados.
-
- Alterações nas consultas do tipo de registo DNS
- Consultas DNS a subdomínios aleatórios
- Tunelamento de DNS através de subdomínios aleatórios
- Aumentos no tamanho e no volume dos pacotes DNS
- Pedidos para um grande número de subdomínios
- Sinais de atividade de balizamento
- Picos no volume de consultas DNS
-
- Monitorização das ações da interface da linha de comando
- Você pode usar o Splunk para visualizar cadeias de linha de comando, calcular o seu comprimento e determinar quanto tempo se passou desde que os processos relacionados foram executados.
-
- Monitorização de consultas de DNS
- Como monitorizar consultas de DNS para o ajudar a encontrar problemas e potencialmente conduzir a automação.
-
- Monitorização de sinais de Windows ataque de escalação de privilégios
- Utilize estes procedimentos no Splunk para detectar e investigar comportamentos que os atacantes possam utilizar para elevar os seus privilégios no seu Windows ambiente.
-
- Monitorização de dados completos das transacções de DNS
- Como monitorizar consultas de DNS para o ajudar a encontrar problemas e potencialmente conduzir a automação.
-
- Monitoramento de picos de atividade do usuário na AWS
- Você pode identificar quais usuários e contas chamaram AWS, o endereço IP de origem a partir do qual as chamadas foram feitas e quando as chamadas ocorreram.
-
- Monitorização Windows acesso à conta
- Como utilizar o software Splunk para monitorizar as autenticações e os tempos de início de sessão, bem como criar relatórios que suportem relatórios de conformidade.
-
- Moção de Adoção Prescritiva - Caça às ameaças
- A caça a ameaças cibernéticas envolve o uso de uma combinação de técnicas para identificar e analisar atividades suspeitas ou anomalias no tráfego da rede, sistema ou logs de endpoint.
-
- Proteger uma implementação na nuvem do Salesforce
- Como utilizar o software Splunk para monitorizar consultas, transferências de registos e ficheiros e configurar pesquisas para o alertar para outros eventos de alto risco.
-
- Nova aplicação a aceder à API Salesforce
- Novos tipos de eventos de alto risco para um utilizador do Salesforce cloud
- Novas tabelas consultadas por um grupo de pares na nuvem do Salesforce
- Novas tabelas consultadas por um utilizador do Salesforce cloud
- Compromisso de conta do Salesforce
- Elevação de registos exportados a partir da nuvem Salesforce
-
- Visualização de processos e suas relações pais/filhos
- Pretende rastrear a atividade ou as relações de processos que apresentam sinais de atividade maliciosa.