threat hunting i threat intelligence

Threat hunting i
threat intelligence

Threat hunting jest to aktywne wyszukiwanie intruz贸w w infrastrukturze organizacji, swojego rodzaju proaktywna informatyka 艣ledcza polegaj膮ca na zwi臋kszeniu mo偶liwo艣ci detekcji intruz贸w zewn臋trznych i wewn臋trznych.

Cyber Threat Hunting

Nasze unikalne na rynku podej艣cie cechuje si臋 tym, 偶e detekcja nie bazuje jedynie na wykrywaniu powszechnie znanych grup przest臋pczych przez analiz臋 ich dzia艂a艅, a jest du偶o szersza, co zarazem pozwala na proaktywne wykrywanie incydent贸w oraz detekcj臋 targetowanych atak贸w APT (Advanced Persistent Threats), kt贸re nie s膮 wykrywane przez wykorzystywane w organizacji rozwi膮zania bezpiecze艅stwa IT. Cyber Threat hunting (CTH) jest to sta艂y proces proaktywnego wykrywania incydent贸w, a nie technologia. Posiadamy szerok膮 wiedz臋 i do艣wiadczenie z zakresu tego jak przebiegaj膮 hakerskie ataki oraz technik wykorzystywanych celem zatarcia 艣lad贸w – wynika to bezpo艣rednio z faktu oferowanych przez nas us艂ug symulacji hakerskich atak贸w: red teamingu i test贸w penetracyjnych, a zarazem wiedzy z zakresu ich analizy oraz detekcji: informatyka 艣ledcza i reagowanie na incydenty. Dzi臋ki po艂膮czeniu wiedzy oraz do艣wiadczenia zawodowego zar贸wno z zakresu aspekt贸w ofensywnych jak i defensywnych jeste艣my w stanie 艣wiadczy膰 prawdziwe, wysokiej jako艣ci us艂ugi threat huntingu. Nasze podej艣cie opiera si臋 na rozpracowywaniu na czynniki pierwsze hakerskich metod atak贸w i w ten spos贸b jeste艣my w stanie wykrywa膰 je niezale偶nie od wykorzystywanych przez haker贸w narz臋dzi, a tym samym zmniejszamy ilo艣膰 operacji na danych, kt贸re musi przetworzy膰 system detekcji (np. SIEM), co z kolei znacznie wp艂ywa na wydajno艣膰 ca艂ego procesu detekcji incydent贸w. Dodatkowo w wykrywaniu wykorzystujemy tzw. data enrichment, czyli wzbogacanie posiadanych wewn臋trznych danych jak logi informacjami pochodz膮cymi z zewn膮trz, z naszego autorskiego rozwi膮zania Cyber Threat Intelligence (CTI).

Proaktywne wyszukiwanie zagro偶e艅

Wiemy jak skutecznie wyszukiwa膰 symptomy atak贸w oraz obecno艣膰 haker贸w w infrastrukturze organizacji czy nieuczciwych pracownik贸w dzia艂aj膮cych na szkod臋 przedsi臋biorstwa. Przyk艂adowym zadaniem threat huntera jest uruchomienie dedykowanego dla danej sieci oprogramowania typu honeypot czy monitorowanie ruchu DNS pod k膮tem potencjalnie niebezpiecznej aktywno艣ci przez np. badanie entropii, rodzaj贸w zapyta艅 DNS, por贸wnywanie domen z IOC (Indicator of Compromise) pochodz膮cymi z feed贸w threat intelligence itp. Z kolei analiza log贸w w tym przypadku nie sprowadza si臋 jedynie do ich monitorowania pod k膮tem podstawowych zdarze艅, a do g艂臋bokiej analizy przez 艂膮czeniu wielu 藕r贸de艂 log贸w i analizy z pozoru b艂ahych zdarze艅, kt贸re mog膮 艣wiadczy膰 o naruszeniu integralno艣ci.

Nasze podej艣cie do threat huntingu to nie tylko kolekcjonowanie IOC (Indicator of Compromise) ale r贸wnie偶 wykorzystanie autorskiego oprogramowania, kt贸re przez heurystyczne podej艣cie pozwala na wytypowanie potencjalnych zagro偶e艅. Ka偶de rozwi膮zanie jest szyte na miar臋 pod dan膮 organizacj臋, tak aby najlepiej dopasowa膰 detekcj臋. Dzi臋ki takiemu podej艣ciu istnieje bardzo realna mo偶liwo艣膰 wykrycia symptom贸w ataku na ka偶dym z jego stadi贸w, a szczeg贸lnie targetowanych atak贸w APT. Efektem czego jest w por臋 zareagowanie na incydent, zanim dojdzie do istotnych dla organizacji strat, czy to w postaci wycieku informacji, czy te偶 operacji destrukcyjnych jak szyfrowanie istotnych danych celem wy艂udzenia okupu. Tym sposobem jeste艣my w stanie pozna膰 tak偶e cel w艂amywacza, co jest bardzo istotnym aspektem z punktu widzenia reagowania na incydenty.

Cyber Threat Intelligence Platform

Cyber Threat Intelligence (CTI) (Threat Intelligence Platform) to sta艂e pozyskiwanie informacji z zewn臋trznych 藕r贸de艂 o zagro偶eniach dla organizacji, us艂uga sk艂ada si臋 z dw贸ch cz臋艣ci: informacji dla zespo艂贸w bezpiecze艅stwa oraz przede wszystkim danych wykorzystywanych do automatycznego wzbogacania (tzw. data enrichment) wewn臋trznych system贸w monitoringu typu SIEM (Security Information and Event Management), IPS (Intrusion Prevention System) czy IDS (Intrusion Detection System) wraz ze wszelkimi odmianami: NIDS (Network Intrusion Detection Systems), HIDS (Host-based Intrusion Detection Systems) itp. Najprostszym przyk艂adem takiego wzbogacania mo偶e by膰 pobierane z sieci honeypot informacji o adresach IP wykorzystywanych przez atakuj膮cych, lub te偶 wykrywanie zmian w otwartych portach infrastruktury organizacji.

Wykorzystujemy dedykowane autorskie oprogramowanie, kt贸re w zale偶no艣ci od potrzeb danej organizacji automatycznie wyszukuje potencjalnie zagro偶enia oraz zmiany mog膮ce 艣wiadczy膰 o naruszeniu integralno艣ci system贸w. Nasze oprogramowanie kolekcjonuje informacje dost臋pne w sieci Internet (OSINT, przest臋pcze fora internetowe itp) czego wynikiem jest monitorowanie pod k膮tem wyciek贸w danych z organizacji. Dodatkowo w aktywny spos贸b monitoruje zasoby organizacji pod k膮tem zmian od strony sieci zewn臋trznej (WAN) czy symptom贸w atak贸w po stronie sieci wewn臋trznej (LAN). Przyk艂adem mo偶e by膰 wykrywanie atak贸w typowych dla sieci opartych o system Windows, kt贸re to ataki jeste艣my w stanie wykrywa膰 na poziomie protoko艂u, analizuj膮c sam ruch sieciowy. Monitoring infrastruktury wspomagany danymi z threat intelligence pozwala na skuteczne wykrywanie targetowanych atak贸w APT.

Dlaczego my? Wiedza i do艣wiadczenie

Poziom trudno艣ci w realizacji proaktywnego wyszukiwania zagro偶e艅 zosta艂 uj臋ty w uznanej tzw. piramidzie b贸lu, kt贸ra wiedz臋 o narz臋dziach i technikach wykorzystywanych przez haker贸w traktuje jako najtrudniejsze aspekty w tej dziedzinie detekcji. Wiele metodyk, baz wiedzy czy modeli jak przyk艂adowo Kill Chain i MITRE ATT&CK opisuje przebieg atak贸w hakerskich, na jakie etapy si臋 dziel膮 i jak ta wiedza mo偶e pom贸c w ich wykrywaniu – nie jest to dla nas niczym nowym poniewa偶 jeste艣my biegli w zakresie atak贸w. Wynika to z faktu, 偶e nasze do艣wiadczenie zawodowe to r贸wnie偶 najwy偶sze kompetencje z zakresu ofensywnych aspekt贸w takich jak red teaming czy testy penetracyjne, na czego potwierdzenie posiadamy najbardziej uznane certyfikaty takie jak na przyk艂ad OSCP oraz liczne referencje od znanych podmiot贸w. Kompetencje te w po艂膮czeniu z r贸wnie obszernym do艣wiadczeniem z zakresu informatyki 艣ledczej i reagowania na incydenty, co bezpo艣rednio wynika z realizowanych przez nas opinii jako bieg艂y s膮dowy czy ksi膮偶ki Adama Ziaji pt. “Praktyczna analiza pow艂amaniowa”, daj膮 nam zupe艂nie nowe spojrzenie na aspekty detekcji zagro偶e艅. 艁膮czymy eksperck膮 wiedz臋 zar贸wno z zakresu ataku jak i analizy atak贸w.

Warto r贸wnie偶 wspomnie膰, 偶e ju偶 w 2013 roku zbudowali艣my pierwszy polski system s艂u偶膮cy do automatycznego bia艂ego wywiadu czyli Cyber Threat Intelligence (CTI), a tak偶e brali艣my udzia艂 w tworzeniu dokument贸w Europejskiej Agencji ds. Bezpiecze艅stwa Sieci i Informacji (ENISA) dla zespo艂贸w CERT (Computer Emergency Response Team) oraz realizowali艣my threat hunting dla ameryka艅skiego startupu buduj膮cego nowe oprogramowanie typu SIEM/IDS, a dok艂adniej badania nad wykrywaniem zagro偶e艅. Ponadto Adam Ziaja by艂 cz艂onkiem zwyci臋skiego zespo艂u na najwi臋kszych europejskich 膰wiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe 2014 oraz nieprzerwanie od 2013 roku jest jedynym polakiem w strukturach uznanej na 艣wiecie mi臋dzynarodowej organizacji non-profit MalwareMustDie, kt贸ra aktywnie zwalcza zagro偶enia cybernetyczne. Organizacja ta jako pierwsza opisa艂a przyk艂adowo takie zagro偶enia jak Kelihos, KINS i Mirai, odpowiedzialny za najwi臋kszy w historii atak DDoS wygenerowany przez urz膮dzenia IoT.

W przeciwie艅stwie do konkurencji nie rozbieramy znanych kampanii APT na czynniki pierwsze, a sami je wykrywamy niezale偶nie od pochodzenia czy obranego celu – od lat jeste艣my na samym froncie walki z cyberprzest臋pczo艣ci膮, co potwierdzaj膮 tak偶e liczne wyst膮pienia na corocznej konferencji Techniczne Aspekty Przest臋pczo艣ci Teleinformatycznej (TAPT) organizowanej przez Wy偶sz膮 Szko艂臋 Policji w Szczytnie.

Dzi臋ki po艂膮czeniu tej szerokiej wiedzy, zar贸wno z zakresu ataku jak i obrony, jeste艣my w stanie wykrywa膰 ataki na praktycznie ka偶dym poziomie zaawansowania, a co za tym idzie, 艣wiadczy膰 us艂ugi o jako艣ci nieosi膮galnej dla os贸b specjalizuj膮cych si臋 jedynie w defensywnych zagadnieniach cyberbezpiecze艅stwa. Czyni nas to unikaln膮 polsk膮 firm膮 艣wiadcz膮c膮 us艂ugi proaktywnego wykrywania zagro偶e艅, a w czym r贸wnie偶 posiadamy ju偶 kilkuletnie do艣wiadczenie.

Bia艂y wywiad internetowy

Przeprowadzamy r贸wnie偶 bia艂y wywiad internetowy czyli OSINT (Open Source Intelligence), kt贸ry polega na wyszukiwaniu informacji w sieci Internet.

Tworzenie regu艂 SIEM

Zajmujemy si臋 tworzeniem regu艂 SIEM (np. Splunk, ELK), szczeg贸lnie dla systemu Windows. Jest to cz臋艣膰 us艂ugi threat huntingu, tak samo jak i rozszerzenie mo偶liwo艣ci logowania, budowa honeypot, wzbogacanie danych (tzw. data enrichment) itp.

Security Operations Center (SOC)

Us艂uga threat huntingu najcz臋艣ciej realizowana jest jako trzecia, najbardziej ekspercka i ostatnia linia w strukturach Security Operations Center (SOC). Dodatkowo wraz z partnersk膮 firm膮 jeste艣my w stanie zaoferowa膰 rozwi膮zania w postaci outsourcingu ca艂ego SOC, kt贸ry sk艂ada si臋 z 3 linii i dzia艂a w trybie 24/7.

Wsparcie Security Operations Center

Us艂uga SOC3 polega na 艣wiadczeniu przez nas ostatniej, trzeciej linii w ramach Security Operations Center (SOC). Mo偶e by膰 realizowana bezpo艣rednio dla klienta, kt贸ry nie posiada najbardziej wykwalifikowanych os贸b, a jedynie pierwsz膮 oraz drug膮 lini臋 wsparcia. Alternatywnie w ramach wsp贸艂pracy w konsorcjum z innymi firmami, kt贸re analogicznie posiadaj膮 tylko pierwsze linie wsparcia, mo偶emy 艣wiadczy膰 us艂ug臋 threat huntingu oraz reagowania na incydenty. Dla abonamentowych klient贸w us艂ugi SOC3 oferujemy dodatkowe rabaty na pozosta艂e us艂ugi, r贸wnie偶 z ofensywnego zakresu – red teaming oraz testy penetracyjne.

Nasze publikacje o threat huntingu

Powo艂ywanie si臋 na nasze publikacje przez powszechnie znane polskie i zagraniczne podmioty z bran偶y cyberbezpiecze艅stwa potwierdza wysoki poziom naszych kwalifikacji. Threat hunting realizujemy na poziomie mi臋dzynarodowych standard贸w.

Oferujemy us艂ugi threat huntingu na bazie naszego wieloletniego do艣wiadczenia zar贸wno z zakresu symulacji hakerskich atak贸w jak informatyki 艣ledczej i reagowania na incydenty.

Poznaj nasz膮聽ofert臋

Zajmujemy si臋 realizacj膮 najbardziej zaawansowanych technicznych aspekt贸w cyberbezpiecze艅stwa, zar贸wno z zakresu ataku jak i obrony. Dzi臋ki zr贸偶nicowanemu do艣wiadczeniu w wielu specjalizacjach bezpiecze艅stwa IT jeste艣my w stanie szerzej spojrze膰 na realizacj臋 ka偶dej poszczeg贸lnej us艂ugi. Nasze umiej臋tno艣ci wynikaj膮 z szerokiego i wieloletniego do艣wiadczenia zawodowego w cyberbezpiecze艅stwie oraz poparte s膮 certyfikatami, publikacjami i referencjami od znanych podmiot贸w.