Investigar a través de herramientas y técnicas
Con una hipótesis derivada de la inteligencia de amenazas y los riesgos, los Threat Hunters proceden a resolver sus hipótesis invirtiendo a través de herramientas y técnicas. Las hipótesis se investigan a través de diversas herramientas y técnicas, incluido el análisis de datos vinculados y visualizaciones. Las herramientas eficaces aprovecharán las técnicas de análisis de datos en crudo y vinculados, como visualizaciones, análisis estadísticos o aprendizaje automático (Machine Learning) para fusionar conjuntos de datos de ciberseguridad dispares. Para enfatizar las prácticas escalables, esta metodología desglosa las operaciones de búsqueda de amenazas en tres técnicas clave que se realizan concurrentemente y de manera simultanea:
- Análisis de registro
- Análisis de red
- Análisis de host
Análisis de logs
El análisis de registros es una tarea realizada tanto por el host como por los cazadores de redes, aunque con respecto a sus áreas de enfoque. El análisis de registro efectivo ofrece a los Threat Hunters una comprensión detallada de los eventos que ocurren en su red y en sus sistemas. La Guía de NIST para la administración de registros de seguridad informática recomienda tener un conjunto diverso de registros como firewalls, enrutadores, IDS / IPS, etc. Diversas colecciones de registros permiten a los cazadores de amenazas analizar de manera holística la actividad en la red y correlacionar y visualizar indicadores sutiles de compromiso. El análisis de registros a menudo sirve como punto de partida para las investigaciones de seguimiento por parte de los Network Hunters y Host Hunters.
El desafío con el análisis de registros implica equilibrar la generación de registros, la cantidad y las limitaciones de retención. Sin embargo, una comprensión precisa de las amenazas cibernéticas debe priorizar el tipo, la cantidad y la rotación de los registros recopilados. Independientemente de los requisitos organizativos, para que un adversario mantenga un acceso persistente a un sistema después del reinicio, inevitablemente tiene que modificar o agregar cuentas de usuario / grupo, procesos y puertos de escucha. Esto proporciona una oportunidad para que los cazadores de amenazas identifiquen eficientemente los indicadores de compromiso al enfocarse en tres áreas clave:
- Integridad del registro
- Acceso a objetos y cambios en los procesos
- Puertos de escucha
Los ciberdelincuentes avanzados, comúnmente cubren sus pistas al modificar o eliminar entradas estos registros. El monitoreo de la integridad de los registros puede ayudar a identificar rápidamente a los actores amenazados en la red. Los cazadores de amenazas deben analizar las instancias donde se purgan todos los registros y donde los registros locales difieren de las utilidades de registro centralizadas como Syslog, Splunk o ELK.
Los Threat Hunters, pueden y deben comparar los registros de los sistemas de destino con los de la solución centralizada y verificar que los datos no se hayan alterado o purgado por completo.
Y es así que quizás el factor más importante en el análisis de logs implica monitorear la actividad y el comportamiento de usuarios y grupos privilegiados.
El 63% de las violaciones de datos confirmadas involucraron contraseñas débiles, predeterminadas o robadas (Verizon, 2018)
Como el acceso de administradores es a menudo un requisito previo para seguir con la explotación del adversario, los cazadores de amenazas deben supervisar y verificar de cerca el acceso de administradores. Los cazadores de amenazas también deberían expandir su búsqueda a usuarios de alto valor, como ejecutivos de nivel C, personal de TI / IA, y recursos financieros y humanos, que probablemente sean objetivos de adversarios avanzados.
Las amenazas avanzadas son fundamentalmente impulsadas por la información.
El 90% de las infracciones de Ciberespionage capturan secretos comerciales o información patentada (Verizon, 2019).
Junto con la supervisión de usuarios y grupos con privilegios, los Threat Hunters necesitan monitorear de cerca los intentos de acceso a los datos y recursos críticos. Los usuarios generalmente no tienen una cantidad significativa de intentos de acceso fallidos y tienen un comportamiento de acceso relativamente predecible. Los cazadores de amenazas deben utilizar los registros para analizar el número de objetos a los que se accede, la frecuencia de acceso y el éxito o las fallas de acceso. Esto permite a los cazadores de amenazas afinar efectivamente las anomalías que pueden conducir a la identificación de indicadores adicionales que pueden estar vinculados a adversarios avanzados.
Se requiere acceso persistente a los sistemas para la explotación sostenida de los activos de información de una organización. Si bien las amenazas avanzadas pueden ofuscar las actividades a través de medios como los rootkits, tienen que mantener inherentemente el acceso a los objetivos para continuar operando. Esto requiere implícitamente que los adversarios modifiquen los puertos y procesos de escucha de un sistema. El registro puede ser útil para identificar instancias de nuevos procesos y puertos abiertos, particularmente cuando se examinan procesos que fueron iniciados por usuarios con privilegios.
