Download - Threat hunting as SOC process
![Page 1: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/1.jpg)
THREAT HUNTING КАК ПРОЦЕСС SOC«SOC В РОССИИ», МАРТ 2017
Sergey Soldatov, Head of SOC
![Page 2: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/2.jpg)
ПЛАН
Причины актуальности
Контекст угроз
Два подхода к обнаружению
ТН в процессах SOC
![Page 3: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/3.jpg)
ПРИЧИНЫ АКТУАЛЬНОСТИ
Выше зависимость от ИТ
Выше уровень безопасности
– Выше сложность атаки
Больше рисков в области ИТ (мотивация)
Выше стоимость атаки
Процессы и организация
Разведка и подготовка
Профессионализм атакующих
Много векторов, технологий, инструментов
Скрытность
Атакующий:
- Пентест
- Нет права на ошибку
![Page 4: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/4.jpg)
КОНТЕКСТ УГРОЗЫ
Антифоренсика
Бестелесность
Применение легальных
инструментов и технологий
Многоэтапность
Свежие, загадочные ТТР (горизонтальные перемещения,
закрепление, пр.)
http://reply-to-all.blogspot.ru/2017/03/blog-post.html
![Page 5: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/5.jpg)
КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Постоянный сбор артефактов
Детекты на память
Контекст среды, Исследования,
Неточные сигнатуры
Хранение сырых данных
Исследования
Антифоренсика
Бестелесность
Применение легальных
инструментов и технологий
Многоэтапность
Свежие, загадочные ТТР (горизонтальные перемещения,
закрепление, пр.)
![Page 6: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/6.jpg)
КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Предотвращение
Своевременное
обнаружение
Реакция и
восстановление
Ресурсы атакующего –
безграничны!
http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html
![Page 7: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/7.jpg)
ДВА ПОДХОДА К ОБНАРУЖЕНИЮ
МОНИТОРИНГ (ALERTING):
Реактивно – обнаружение
известного
Уничтожает после поиска
сигнатуры
ПОИСК УГРОЗ (HUNTING):
Проактивно – обнаружение
неизвестного
Хранит все данные – многократная
проверка («Машина времени»)
Вендор
ITWIRAlerting
Гипотеза HuntingMA
DF
Alerting IRВендор
ITW
http://reply-to-all.blogspot.ru/2016/07/blog-post.html
![Page 8: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/8.jpg)
ВЗАИМНОЕ ДОПОЛНЕНИЕ
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
ОбнаружениеСбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Сбор общей
информации
Дамп
памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Threat hunting:
• Поиск неизвестных угроз
• Угроз использование легитимных инструментов
• Сбор данных для расследования
SOC:
• Обнаружение
известных угроз
(Alerting)
• Контроль работы
превентивных мер
![Page 9: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/9.jpg)
КАК И ПОЧЕМУ ЭТО РАБОТАЕТ
Дан
ны
е
Детекты*
Поведение
процессов
События ОС
Микрокорреляция:
Все технологии в составе EP со
всеми базами
Репутация
Макрокорреляция, гипотезы:
Все знания о ТТР:
Внутренние исследования GReAT, AMR,
TARG, SOC, SSR
Анализ защищенности
Расследование инцидентов (DF, MA, IR)
Мониторинг SOC
По
ст
оя
нн
ое с
ов
ер
шен
ст
во
ван
ие
http://reply-to-all.blogspot.ru/2016/10/bis-summit.html
![Page 10: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/10.jpg)
TH В ПРОЦЕССАХ SOC
Инвентаризация
Управление уязвимостями
Анализ угроз
Повышение осведомленности
Обнаружение атак
Управление инцидентами
Реагирование на инциденты
Анализ результатов и совершенствование
…
Обнаружение
необнаруживаемого
автоматически
![Page 11: Threat hunting as SOC process](https://reader034.vdocuments.site/reader034/viewer/2022052418/58e4f08b1a28ab87378b617d/html5/thumbnails/11.jpg)
ПОГОВОРИМ?Sergey Soldatov, CISA, CISSP
Head of Security Operations Center