Sergey Soldatov
Что ж мы все время на IoC-и-то скатываемся :) Приведенный пример, как раз IoC pivoting-а и hunting-а, под TH подходит лишь частично, с натяжкой. По TH может быть сценарий такой: вы узнали про Squiblydoo, из Twitter, например, посмотрели описание, придумали за что можно зацепиться, например, за командную строчку, придумали поисковый запрос в своем любимом SIEM, запустили запрос и нашли! Радоваться, конечно, нечему, значит имеют, но вы нашли реальный LotL, который может быть сложно детектить и привентить автоматом (машинлернингом, если угодно), поэтому ваши СЗИ молчат (в этом и есть проактивность). В целом, разумно, этот ваш запрос к SIEM оформить в виде алерта и впредь вы будете дергать его уже не руками, а получать алерты и решать фолса он или нет (так технологичнее, чем руками дергать запросы) - так работают фиолетовые команды. Где тут IoC-и? Какие домены\хеши\IP\ФинЦЕРТ\Госсопка? Согласен, что гипотеза может быть типа "вот у меня куча APT-релевантных хешей, сейчас я их поищу" - но это сильно частный случай, едва ли требующий какого-либо наукообразия, ввиду своей примитивности. Не надо культивировать мнение, что "сейчас я соберу кучу IoC-ов и буду делать Threat Hunting", последнее - более широкое понятие поиска по ТТР (вершина Пирамидки Боли Давида Бианко), не по IoC-ам, которые на дне этой Пирамиды. Про культивацию стереотипов - основное, что меня беспокоит, так как коллегам с мнением, искривленным, ну, как бы, не совсем корректными стереотипами, очень трудно объяснить реальное положение вещей, а они потом руководят ИБ, придумывают стратегии..., и, в общем-то, влияют на отрасль... Отсюда, частично и проблемы у всех нас.
Сухой остаток, в двух словах: ТН - ищем по TTP и находит неизвестное, IoC hunting - ищем по IoC и находит известное. Уже говорил, что термин придумал не я, но, в целом, если не гуглится, не значит, что этого нет. Высказываю личное мнение, с ним можно, конечно же, не соглашаться.
Сергей, что же ты так зацепились за эти IOC-и? В этом чате никто ни разу не сказал, что Threat Hunting - это ТОЛЬКО поиск IOC-ов, это лишь один из способов как можно проактивно (то бишь не дожидаясь пока вам об этом прокричат ваши СЗИ или имеющийся набор правил корреляции в SIEM) обнаружить угрозу в инфраструктуре. Давай рассмотрим несколько примеров. Специалист по ИБ прочитал один из приватных отчётов Касперского о новой APT666, взял хеши из этого отчёта и начал один за одним вбивать их в поисковой строке своего SIEM-а, в результате чего нашёл, что на одном из хостов корпоративной сети постоянно запускается файл с таким хешиком - т.е. он нашёл угрозу, о которой ему не прокричали используемый в инфраструктуре AV, периметральные СЗИ, не сработало ни одно из разработанных в SIEM правил корреляции. Или же вышеупомянутый специалист по ИБ взял из выше же упомянутого отчёта специфичный User-Agent, характерный для HTTP-взаимодействия с командным центром одного из бинарей, используемых APT666, и нашёл этот User-Agent в логах своего proxy-сервера. Чем приведённые примеры не Threat Hunting? Давай обратимся к одному из определений данного термина, приведённого компанией Sqrrl, которое ты и я любим использовать в своих презентациях - "Cyber threat hunting is the practice of searching iteratively through data to detect advanced threats that evade traditional security solutions". В каком месте приведённые мной примеры противоречат данному определению? Да ни в каком! ИБ-шник, который регулярно выполняет такие упражнения (читает отчёты об APT и выполняет поиск атомарных индикаторов из данных отчётов в своей инфраструктуре) совершенно вправе утверждать, что он занимается Threat Hunting-ом, но только уровень зрелости данного процесса у него находится где-то близко к нулю, так как на IOC-ах далеко не уедешь. Набравшись же опыта, знаний, начав эксплуатировать новые инструменты, этот ИБ-шник через какое-то время начнёт уже искать в своих логах не только атомарные индикаторы, но и какие-то техники из матрицы MITRE ATT&CK, тем самым повысив процесс на новый уровень зрелости
Давай рассмотрим ещё одну ситуацию. В какой-то момент наш вышеупомянутый ИБ-шник выбил бюджет на EDR, внедрил его и начал активно осваивать. Из документации он узнал, что этот EDR имеет возможность проверки endpoint-ов YARA-правилами. С этого момента наш ИБ-шник стал брать YARA-правила, доступные ему в рамках подписки на приватные отчёты об APT, и прогонять их на всём зоопарке endpoint-ов. В один прекрасный день одно из правил выстрелило, стригерив на нескольких хостах на память системного процесса winlogon.exe. Дальнейшие проверки показали, что это были не ложные срабатывания. И снова он нашёл угрозу, о которой ему не сообщали используемые СЗИ и правила корреляции в SIEM. Поиска по TTP здесь не было. Можем ли мы это назвать Threat Hunting-ом? Да можем, чем это хуже поиска характерной для Squiblydoo командной строки? Да ничем. Но, согласно предлагаемому тобой определению, это не Threat Hunting, так как тут не было поиска по TTP.
Я абсолютно согласен, что не верно культивировать то, что Threat Hunting это ТОЛЬКО поиск по IOC. Ровно как и не верно утверждать, что Threat Hunting - это ИСКЛЮЧИТЕЛЬНО поиск по TTP. Threat Hunting это в первую очередь о ручном проактивном поиске, в рамках которого проверяются гипотезы, а уж как они проверяются (по IOC-ам, TTP, статичным признакам с помощью YARA и др.) значения не имеет. Как и ты, высказываю личное мнение, с ним можно, конечно же, не соглашаться.
