Cyber Threat Hunting

realizujemy eksperckie usługi z tego zakresu

Cyber Threat Hunting jest to aktywne wyszukiwanie zagrożeń zazwyczaj w sieci wewnętrznej organizacji jak również Internecie (cyber threat intelligence). Celem takiego podejścia jest wykrycie istniejących, aktywnych zagrożeń takich jak działania intruza – uwzgledniając w tym również wewnętrzne ataki (zagrożenia wewnętrzne) wykonywane na przykład przez pracownika działającego na szkodę przedsiębiorstwa (m.in. szpiegostwo gospodarcze).

Weryfikacja polega głównie na badaniu anomalii, w postaci analizy ruchu sieciowego na przykład zapytań DNS (m.in. DGA), analizy logów m.in. pod kątem IOC i komunikacji z C&C (określane również jako C2) oraz wielu innych – przede wszystkim własnych źrodeł danych pochodzących z CTI.

Możliwa jest również analiza samych systemów jednak ze względu na możliwość oszukiwania systemowych sygnałów przez złośliwe oprogramowanie typu rootkit – zazwyczaj nie jest to wiarygodne źródło informacji – o ile systemy wykrywania/logowania nie zostały wdrożone przed infekcją (np. na poziomie build`a systemu).

Możemy także monitorować stacje klienckie pod kątem aktywności użytkownika, w ten sposób wykrywając szczególnie niepowołane działania zachodzące między procesami, takie które mogą świadczyć o uruchomieniu przykładowo złośliwego oprogramowania z wiadomości e-mail (możliwość przeciwdziałania atakom APT).

Wykrywanie intruzów tą metodą jest wysoce skuteczne, ponieważ jest to swojego rodzaju proaktywna informatyka śledcza. W threat huntingu od paru lat wykorzystowana jest tzw. piramida bólu (ang. The Pyramid of Pain), określająca jakie informacje powinny być analizowane oraz jak trudno jest je pozyskać – jednocześnie jest ona dobrym przykładem dla naszych kompetencji w tej dziedzinie cyberbezpieczeństwa:

  • Wartości skrótów (ang. hash), adresy IP, nazwy domen
    – informacje automatycznie kolekcjonowane przez nasz system CTI;
  • Artefakty sieciowe oraz systemowe
    – wiedza, która wynika z naszego doświadczenia w informatyce śledczej;
  • Narzędzia hakerskie
    – wiedza, która wynika z naszego doświadczenia w testach penetracyjnych;
  • Taktyki, techniki i procedury (TTPs), metody działań cyberprzestępców
    – wiedza, która wynika z naszego doświadczenia w red teamingu.

Adam Ziaja jest autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (ISBN 9788301193478) poruszającej tematykę informatyki śledczej i reagowania na incydenty (DFIR), wydanej przez Wydawnictwo Naukowe PWN.

threat hunting, threat hunter, cyber intelligence, threat intelligence, analiza zagrożeń, wyszukiwanie zagrożeń, cyber, SOC, CERT, CSIRT, blue team

Referencje

ipn
Instytut Pamięci Narodowej (IPN)
reserved
Reserved (LPP)
askberry
Askberry
onet
Onet
interia
Interia
wp
Wirtualna Polska
empik
Empik
home
Home.pl

Eksperckie usługi w zakresie bezpieczeństwa IT

Red Team Red Team to wysoce wyspecjalizowana polska firma zajmująca się usługami z zakresu cyberbezpieczeństwa. Nasze kompetencje poparte są najbardziej uznanymi certyfikatami, referencjami od znanych podmiotów oraz doświadczeniem zawodowym na najwyższych technicznych stanowiskach, w znanych międzynarodowych firmach. Posiadamy eksperckie doświadczenie w wymienionych niżej dziedzinach:


Mapa przygotowanej oferty:


Red Team (atak, ofensywne bezpieczeństwo)

Blue Team (obrona, defensywne bezpieczeństwo)

Kompleksowy outsourcing cyberbezpieczeństwa, przeprowadzamy przede wszystkim audyty bezpieczeństwa teleinformatycznego (testy bezpieczeństwa). Zapraszamy do zapoznania się z naszymi sylwetkami zawodowymi. Ze względu na rozległe doświadczenie podejmujemy się również innych, nietypowych zleceń związanych z bezpieczeństwem teleinformatycznym.


  1. Operacje red teaming to autoryzowane ataki (symulacja) odzwierciedlające realne możliwości atakujących od warstwy sieciowej i socjotechniki po aspekty fizycznego bezpieczeństwa.
  2. Atak w postaci wysyłki wiadomości e-mail, która wygląda, jakby została wysłana przez osobę lub firmę znaną użytkownikowi.
  3. Zgodnie z prawem, tylko na zlecenie sądu lub organu państwowego prowadzącego postępowanie przygotowawcze w sprawach karnych.