Làm thế nào để xây dựng nhóm thợ săn mã độc

360 Cyber Defense

Làm thế nào để xây dựng nhóm thợ săn mã độc

October 23, 2017 English posts 0

Săn tìm mối đe dọa

Trong 1 thập kỷ phục vụ cho Không lực Hoa Kỳ- USAF, Chris Gerritz tập trung vào việc phản ứng lại sự cố và tìm kiếm kẻ tấn công và ý đồ xâm nhập vào mạng lưới. Là một phần của sứ mệnh đó, USAF thường có các đội săn lùng đặc biệt để điều tra sự cố và cố gắng tìm ra dấu hiệu bất kỳ của tất cả các vụ tấn công. Ngày nay, hầu hết các công ty lớn đều sống trong tình trạng tương tự: Họ có khả năng điều tra các sự cố và săn lùng các mối đe dọa, nhưng không có quá trình tổng thể để tiến hành điều tra, ông Gerritz, người sáng lập ra nền tảng săn tìm dấu hiệu khiêu chiến – Infocyte.

 

“ Doanh nghiệp có quá nhiều dữ liệu và quá nhiều cảnh báo, và một số dữ liệu đang mất tích, và do đó họ phải săn lùng”, Gerritz nói. “Nhưng họ thường săn bắn trên một số loại cơ sở định kỳ thường được xác định bởi nhu cầu và số lượng các nguồn lực mà họ có.”

 

Là một hệ thống bảo mật tin cậy của doanh nghiệp với số lượng tấn công ngày càng tăng thì thay vì bảo vệ mạng lưới bằng bức tường số – digital wall mà đội an ninh nên tìm kiếm các dấu hiệu của kẻ tấn công trước khi hệ thống hình thành một lỗ hổng lớn.

 

Tuy nhiên, phần lớn các công ty chỉ tiến hành điều tra khi có dấu hiệu hoặc thấy cần thiết thay vì tiến hành đánh giá liên tục tỉ lệ xâm nhập các mối đe dọa tới hệ thống . Khoảng 84% các công ty thực hiện threat hunting – săn mối đe dọa, nhưng 54% trong số đó chỉ thực thi quá trình săn bắn khi cần thiết và được chỉ thị, theo một báo cáo gần đây chả  Viện SANS.

 

Thật đáng mừng là những doanh nghiệp thường xuyên tiến hành threat hunting đã nhận ra được những lợi ích và thành quả rất khác biệt . Theo SANS – viện đào tạo an ninh mạng USA , khoảng 60% doanh nghiệp đã cải thiện đáng kể an ninh của họ dựa trên thông tin được phát hiện trong quá trình săn tìm dấu hiệu đe dọa. Gerritz cho biết trong các tổ chức an ninh chuyên nghiệp, việc săn bắt mối đe dọa- threat hunting đã phát hiện ra khoảng 40% các sự cố an ninh.

 

Dưới đây là bốn cách để bắt đầu quá trình săn bắn đúng cách.

       1.Chuẩn bị trước khi săn

 

Đội thợ săn tìm mối đe doạ được phát triển và duy trì dựa trên kỷ luật , vì dù là chuyên gia săn mã độc cũng rất dễ rơi vào tình trạng quá tải. Rishi Bhargava – đồng sáng lập Demisto , người phát triển ra công cụ phản ứng nhanh nguy hiểm: ” 1 là bạn cần những kỹ sư có kỹ năng đặc biệt để thực hiện quá trình săn mồi, hoặc bạn thuê các chuyên gia săn tìm các mối đe dọa, hoặc bạn phải có những công cụ cực kỳ phức tạp để thực hiện săn nguy hiểm – đôi khi bạn làm tất cả những điều đó”. “Vì vậy, tôi nghĩ những gì tôi thấy là sự chắc chắn và kinh nghiệm của doanh nghiệp trong an ninh của họ suy nghĩ và chiến lược an ninh.”

 

Mary Karnes Writz, giám đốc quản lý sản phẩm tại ArcSight của HPE Software, cho biết: “Bất kể các nhóm bảo mật nào cũng đều cần phải tham chiến và bắt đầu vượt qua hai rào cản lớn nhất: kỹ năng và dữ liệu”. Trước khi đảm nhiệm vai trò giám đốc hiện tại của mình, Writz tiến hành săn bắn mối đe dọa cho cả HPE và thay mặt cho khách hàng của mình.

 

“Bạn không cần phải là một nhà khoa học dữ liệu hay một nhà toán học. Thật khó để tìm ra những bộ kỹ năng đó, và thậm chí nếu bạn tìm thấy những bộ kỹ năng, bạn vẫn cảm thấy không an tâm về kỹ thuật của mình  “- Mary Karnes Writz, HPE

 

Khắc phục thời gian để săn lùng các mối đe dọa cũng rất quan trọng. Hầu hết các thợ săn mối đe dọa có nhiệm vụ khác mà họ thường xuyên thực hiện và chỉ săn khi chắc chắn xảy ra sự cố. Các công ty có các trung tâm hoạt động an ninh-với một nhóm các nhà phân tích có tay nghề cao-có thể sử dụng mô hình đó, nhưng các công ty nhỏ hơn có một nhóm nhỏ, thường là nhóm IT, sẽ gặp nhiều khó khăn hơn.

 

“Nếu bạn là nhân viên an ninh duy nhất trong công ty và bạn đang xử lý bảo mật như là một phần của nhiệm vụ của bạn, bạn sẽ không có thời gian để đi săn.” – Ely Kahn , đồng sáng lập Sqrrl

          2.Đi xa hơn phản ứng với sự cố

 

Hầu hết các công ty bắt đầu săn bắt mối đe dọa vì một sự cố. Cảnh báo được tạo ra từ nhiều công cụ bảo mật khác nhau – chẳng hạn như các hệ thống quản lý sự kiện và thông tin an ninh (SIEM) hoặc nhật ký tường lửa – thường là động lực để khởi động một cuộc điều tra. Theo Viện SANS, hơn 87% công ty sẽ bắt đầu một mối đe doạ săn bắt vì một cảnh báo.

 

Tuy nhiên, một cuộc điều tra sự cố là một trường hợp rất hẹp của việc săn bắn mối đe dọa và một số các nhân viên bảo mật xem nhẹ việc săn mối nguy hiểm. Kahn của Sqrrl cho hay việc săn bắt mối đe dọa thường bắt đầu với một giả thuyết, nơi mà một thợ săn tạo ra một kịch bản dựa trên sự đe dọa của thông tin tình báo, phân tích dữ liệu hoặc bất thường. “Săn bắt thực sự bắt đầu với một giả thuyết,” ông nói. “Nó có thể được lấy từ các cảnh báo hoặc phân tích tiên tiến, nhưng sự bắt đầu thực sự là một câu hỏi nếu- thì.”

 

Kahn, người trước đây từng làm giám đốc an ninh mạng, là thành viên của đội ngũ nhân viên An ninh Quốc gia tại Nhà Trắng Mỹ, nói rằng một công ty có thể bắt đầu một mối đe doạ săn bắt nếu thông tin tình báo chỉ ra rằng ngành công nghiệp của họ đã bị tấn công bởi một cuộc tấn công cụ thể hoặc kẻ tấn công. Ngoài ra, xem qua ống kính của Cyber ​​Kill Chain hay Attack Chain – hai cách để phân tích các hành động của kẻ tấn công – một cảnh báo ban đầu có thể dẫn đến các thợ săn điều tra liệu cuộc tấn công này có gây tổn thương hơn nữa hay không.

 

“Một khi chúng vào trong hệ thống, chúng cần truy cập dữ liệu trung tâm và mật khẩu trong mạng – chúng nhảy từ máy này sang máy khác. “Tìm kiếm dấu hiệu của các bước di chuyển là một cách cổ điển để săn .” Kahn nói:

 

Eric Ogren, nhà phân tích cao cấp của Nhóm 451, cho biết các dấu hiệu thỏa hiệp khác có thể là sự bất thường trong hoạt động của mạng lưới hoặc ứng dụng – theo truyền thống là phạm vi của nhóm công nghệ thông tin,

 

“Một phần của đội an ninh sẽ luôn luôn là đội phòng thủ và ngăn chặn các cuộc tấn công. Tuy nhiên, có những lực lượng di động có thể đuổi theo các mối đe dọa khi cần thiết là vô cùng quan trọng. “

       3.Đúng vũ khí cho đúng con mồi.

 

Săn bắn cho các mối đe dọa cũng đòi hỏi phải có các công cụ . Theo báo cáo của Viện SANS, khoảng 90% các công ty sử dụng các công cụ hiện có để tìm kiếm các mối đe dọa, với 61% sử dụng các công cụ tùy biến, chẳng hạn như script – kịch bản.

 

Tuy nhiên, theo Gerritz, việc cố gắng sửa đổi các công cụ hiện tại để hỗ trợ cho việc săn bắn có thể làm chậm lại quá trình này. Ông nói: “Điều số 1 mà mọi người làm sai là đánh giá thấp nỗ lực và mức độ kỹ năng cần thiết để săn bằng bộ công cụ hiện tại của họ. “Nếu bạn chỉ cần tập hợp dữ liệu và hy vọng thợ săn của bạn đi qua hố đen và tìm ra mối đe dọa, bạn sẽ lãng phí rất nhiều thời gian.”

 

Một mặt, đội an ninh muốn một giải pháp săn bắt không ồn ào và không có bất kỳ lỗi. Tuy nhiên, các công cụ nên cho phép họ dễ dàng truy cập dữ liệu thô, nếu cần. Tóm tắt thông tin quá nhiều có thể giúp kẻ tấn công ẩn mình tốt hơn. Điều quan trọng hơn là không bỏ lỡ bất cứ điều gì khi mở rộng tìm kiếm của bạn, ông nói. “Bạn muốn hệ thống của mình là một trợ thủ đắc lực để giúp các nhà phân tích chứ không thay thế các nhà phân tích.”

 

Các công cụ săn bắt đe dọa vẫn là một thị trường mới mẻ. Theo khảo sát của Viện SANS, chỉ có khoảng ¼ số người được khảo sát đã sử dụng các công cụ của bên thứ ba từ một nhà cung cấp dịch vụ săn bắt mối đe dọa.

       4.Vận hành quy trình dựa trên nền tảng và kinh nghiệm

 

Để chuyển đổi hoàn toàn từ các Săn thông thường sang cách Săn liên tục, các công ty cần phải kết hợp các bài học kinh nghiệm trong khi săn bắt mối đe dọa vào quá trình và công cụ của họ. Writz của HPE cho biết, nếu một đội săn tìm mối đe dọa phải tiếp tục lặp lại các bước tương tự mỗi khi nó săn lùng thì đó là một sự lãng phí thời gian.

Ban đầu, quá trình học có thể được thêm vào một quyển nhật ký. Các quá trình chính thức như vậy là chìa khóa để các công ty kết hợp các bài học vào quá trình săn bắt và phản ứng sự cố của họ. Các đội bảo vệ cần phải đảm bảo rằng các cuốn nhật ký đánh dấu về quá trình chứ không phải về các công cụ, theo Bhartava của Demisto.

 

“Nhật ký không phải là một điều cụ thể của các công cụ – chúng cần phải có tính tổng quát”, ông nói. “Nếu bạn bắt đầu buộc các quyển sách của mình vào một công cụ, thì bạn phải có một nhật ký mới khi bạn thay đổi công cụ của mình.”

 

Bước tiếp theo là tự động hóa các chiến thuật tốt nhất. Khả năng tự động hóa có thể giúp tăng tốc việc săn bắn các mối đe dọa và làm cho nó ít có khả năng bị lộ những bằng chứng thuyết phục về xâm nhập. “Bạn cần những công cụ phù hợp ngay tại chỗ, và bạn cần quá trình này,” Writz nói. “Và bằng cách tự động hoá, bạn có thể đảm bảo rằng một số phần nhất định của quy trình được tối ưu hóa.”

 

Cuối cùng, các công ty nên triển khai các bài học về săn bắt các mối đe dọa bằng cách sử dụng sự cố làm tài liệu đào tạo. Kahn của Sqrrl nói: “Rất nhiều trong số đó thực sự là có một chương trình chuyển giao kiến ​​thức từ những thợ săn có kinh nghiệm của bạn cho những thợ săn ít kinh nghiệm của bạn. “Đó chắc chắn là những gì chúng ta đã thấy trong các tổ chức hoạt động hàng đầu.”

 

Săn là quá trình cấp thiết nhất hiện tại

Săn bắt mối đe dọa là một quá trình bảo mật đang trải qua sự thay đổi đáng kể. Mặc dù các đội quản lý của nhiều công ty cho rằng họ đang làm săn bắt các mối đe dọa nhưng các đội an ninh mạng thường không chắc chắn về việc liệu các hoạt động của họ có chính thức hoá việc săn bắn mối đe dọa hay không.

 

“Khi tôi nói chuyện với CISOs, tất cả họ đều nói rằng họ đang làm săn bắn mối đe dọa, nhưng tất cả mọi người phía sau giám đốc điều hành cảm thấy là họ chưa đạt đến bước đó”, Writz nói. “Nhưng đừng lo lắng về việc đó. Mọi người đều ở trong cùng một chiếc thuyền.”

Leave a Reply

Your email address will not be published. Required fields are marked *