threat hunting i threat intelligence

Threat hunting i
threat intelligence

Threat hunting jest to aktywne wyszukiwanie intruz├│w w infrastrukturze organizacji, swojego rodzaju proaktywna informatyka ┼Ťledcza polegaj─ůca na zwi─Ökszeniu mo┼╝liwo┼Ťci detekcji intruz├│w zewn─Ötrznych i wewn─Ötrznych.

Cyber Threat Hunting

Nasze unikalne na rynku podej┼Ťcie cechuje si─Ö tym, ┼╝e detekcja nie bazuje jedynie na wykrywaniu powszechnie znanych grup przest─Öpczych przez analiz─Ö ich dzia┼éa┼ä, a jest du┼╝o szersza, co zarazem pozwala na proaktywne wykrywanie incydent├│w oraz detekcj─Ö targetowanych atak├│w APT (Advanced Persistent Threats), kt├│re nie s─ů wykrywane przez wykorzystywane w organizacji rozwi─ůzania bezpiecze┼ästwa IT. Cyber Threat hunting (CTH) jest to sta┼éy proces proaktywnego wykrywania incydent├│w, a nie technologia. Posiadamy szerok─ů wiedz─Ö i do┼Ťwiadczenie z zakresu tego jak przebiegaj─ů hakerskie ataki oraz technik wykorzystywanych celem zatarcia ┼Ťlad├│w – wynika to bezpo┼Ťrednio z faktu oferowanych przez nas us┼éug symulacji hakerskich atak├│w: red teamingu i test├│w penetracyjnych, a zarazem wiedzy z zakresu ich analizy oraz detekcji: informatyka ┼Ťledcza i reagowanie na incydenty. Dzi─Öki po┼é─ůczeniu wiedzy oraz do┼Ťwiadczenia zawodowego zar├│wno z zakresu aspekt├│w ofensywnych jak i defensywnych jeste┼Ťmy w stanie ┼Ťwiadczy─ç prawdziwe, wysokiej jako┼Ťci us┼éugi threat huntingu. Nasze podej┼Ťcie opiera si─Ö na rozpracowywaniu na czynniki pierwsze hakerskich metod atak├│w i w ten spos├│b jeste┼Ťmy w stanie wykrywa─ç je niezale┼╝nie od wykorzystywanych przez haker├│w narz─Ödzi, a tym samym zmniejszamy ilo┼Ť─ç operacji na danych, kt├│re musi przetworzy─ç system detekcji (np. SIEM), co z kolei znacznie wp┼éywa na wydajno┼Ť─ç ca┼éego procesu detekcji incydent├│w. Dodatkowo w wykrywaniu wykorzystujemy tzw. data enrichment, czyli wzbogacanie posiadanych wewn─Ötrznych danych jak logi informacjami pochodz─ůcymi z zewn─ůtrz, z naszego autorskiego rozwi─ůzania Cyber Threat Intelligence (CTI).

Proaktywne wyszukiwanie zagrożeń

Wiemy jak skutecznie wyszukiwa─ç symptomy atak├│w oraz obecno┼Ť─ç haker├│w w infrastrukturze organizacji czy nieuczciwych pracownik├│w dzia┼éaj─ůcych na szkod─Ö przedsi─Öbiorstwa. Przyk┼éadowym zadaniem threat huntera jest uruchomienie dedykowanego dla danej sieci oprogramowania typu honeypot czy monitorowanie ruchu DNS pod k─ůtem potencjalnie niebezpiecznej aktywno┼Ťci przez np. badanie entropii, rodzaj├│w zapyta┼ä DNS, por├│wnywanie domen z IOC (Indicator of Compromise) pochodz─ůcymi z feed├│w threat intelligence itp. Z kolei analiza log├│w w tym przypadku nie sprowadza si─Ö jedynie do ich monitorowania pod k─ůtem podstawowych zdarze┼ä, a do g┼é─Öbokiej analizy przez ┼é─ůczeniu wielu ┼║r├│de┼é log├│w i analizy z pozoru b┼éahych zdarze┼ä, kt├│re mog─ů ┼Ťwiadczy─ç o naruszeniu integralno┼Ťci.

Nasze podej┼Ťcie do threat huntingu to nie tylko kolekcjonowanie IOC (Indicator of Compromise) ale r├│wnie┼╝ wykorzystanie autorskiego oprogramowania, kt├│re przez heurystyczne podej┼Ťcie pozwala na wytypowanie potencjalnych zagro┼╝e┼ä. Ka┼╝de rozwi─ůzanie jest szyte na miar─Ö pod dan─ů organizacj─Ö, tak aby najlepiej dopasowa─ç detekcj─Ö. Dzi─Öki takiemu podej┼Ťciu istnieje bardzo realna mo┼╝liwo┼Ť─ç wykrycia symptom├│w ataku na ka┼╝dym z jego stadi├│w, a szczeg├│lnie targetowanych atak├│w APT. Efektem czego jest w por─Ö zareagowanie na incydent, zanim dojdzie do istotnych dla organizacji strat, czy to w postaci wycieku informacji, czy te┼╝ operacji destrukcyjnych jak szyfrowanie istotnych danych celem wy┼éudzenia okupu. Tym sposobem jeste┼Ťmy w stanie pozna─ç tak┼╝e cel w┼éamywacza, co jest bardzo istotnym aspektem z punktu widzenia reagowania na incydenty.

Cyber Threat Intelligence Platform

Cyber Threat Intelligence (CTI) (Threat Intelligence Platform) to sta┼ée pozyskiwanie informacji z zewn─Ötrznych ┼║r├│de┼é o zagro┼╝eniach dla organizacji, us┼éuga sk┼éada si─Ö z dw├│ch cz─Ö┼Ťci: informacji dla zespo┼é├│w bezpiecze┼ästwa oraz przede wszystkim danych wykorzystywanych do automatycznego wzbogacania (tzw. data enrichment) wewn─Ötrznych system├│w monitoringu typu SIEM (Security Information and Event Management), IPS (Intrusion Prevention System) czy IDS (Intrusion Detection System) wraz ze wszelkimi odmianami: NIDS (Network Intrusion Detection Systems), HIDS (Host-based Intrusion Detection Systems) itp. Najprostszym przyk┼éadem takiego wzbogacania mo┼╝e by─ç pobierane z sieci honeypot informacji o adresach IP wykorzystywanych przez atakuj─ůcych, lub te┼╝ wykrywanie zmian w otwartych portach infrastruktury organizacji.

Wykorzystujemy dedykowane autorskie oprogramowanie, kt├│re w zale┼╝no┼Ťci od potrzeb danej organizacji automatycznie wyszukuje potencjalnie zagro┼╝enia oraz zmiany mog─ůce ┼Ťwiadczy─ç o naruszeniu integralno┼Ťci system├│w. Nasze oprogramowanie kolekcjonuje informacje dost─Öpne w sieci Internet (OSINT, przest─Öpcze fora internetowe itp) czego wynikiem jest monitorowanie pod k─ůtem wyciek├│w danych z organizacji. Dodatkowo w aktywny spos├│b monitoruje zasoby organizacji pod k─ůtem zmian od strony sieci zewn─Ötrznej (WAN) czy symptom├│w atak├│w po stronie sieci wewn─Ötrznej (LAN). Przyk┼éadem mo┼╝e by─ç wykrywanie atak├│w typowych dla sieci opartych o system Windows, kt├│re to ataki jeste┼Ťmy w stanie wykrywa─ç na poziomie protoko┼éu, analizuj─ůc sam ruch sieciowy. Monitoring infrastruktury wspomagany danymi z threat intelligence pozwala na skuteczne wykrywanie targetowanych atak├│w APT.

Dlaczego my? Wiedza i do┼Ťwiadczenie

Poziom trudno┼Ťci w realizacji proaktywnego wyszukiwania zagro┼╝e┼ä zosta┼é uj─Öty w uznanej tzw. piramidzie b├│lu, kt├│ra wiedz─Ö o narz─Ödziach i technikach wykorzystywanych przez haker├│w traktuje jako najtrudniejsze aspekty w tej dziedzinie detekcji. Wiele metodyk, baz wiedzy czy modeli jak przyk┼éadowo Kill Chain i MITRE ATT&CK opisuje przebieg atak├│w hakerskich, na jakie etapy si─Ö dziel─ů i jak ta wiedza mo┼╝e pom├│c w ich wykrywaniu – nie jest to dla nas niczym nowym poniewa┼╝ jeste┼Ťmy biegli w zakresie atak├│w. Wynika to z faktu, ┼╝e nasze do┼Ťwiadczenie zawodowe to r├│wnie┼╝ najwy┼╝sze kompetencje z zakresu ofensywnych aspekt├│w takich jak red teaming czy testy penetracyjne, na czego potwierdzenie posiadamy najbardziej uznane certyfikaty takie jak na przyk┼éad OSCP oraz liczne referencje od znanych podmiot├│w. Kompetencje te w po┼é─ůczeniu z r├│wnie obszernym do┼Ťwiadczeniem z zakresu informatyki ┼Ťledczej i reagowania na incydenty, co bezpo┼Ťrednio wynika z realizowanych przez nas opinii jako bieg┼éy s─ůdowy czy ksi─ů┼╝ki Adama Ziaji pt. “Praktyczna analiza pow┼éamaniowa”, daj─ů nam zupe┼énie nowe spojrzenie na aspekty detekcji zagro┼╝e┼ä. ┼ü─ůczymy eksperck─ů wiedz─Ö zar├│wno z zakresu ataku jak i analizy atak├│w.

Warto r├│wnie┼╝ wspomnie─ç, ┼╝e ju┼╝ w 2013 roku zbudowali┼Ťmy pierwszy polski system s┼éu┼╝─ůcy do automatycznego bia┼éego wywiadu czyli Cyber Threat Intelligence (CTI), a tak┼╝e brali┼Ťmy udzia┼é w tworzeniu dokument├│w Europejskiej Agencji ds. Bezpiecze┼ästwa Sieci i Informacji (ENISA) dla zespo┼é├│w CERT (Computer Emergency Response Team) oraz realizowali┼Ťmy threat hunting dla ameryka┼äskiego startupu buduj─ůcego nowe oprogramowanie typu SIEM/IDS, a dok┼éadniej badania nad wykrywaniem zagro┼╝e┼ä. Ponadto Adam Ziaja by┼é cz┼éonkiem zwyci─Öskiego zespo┼éu na najwi─Ökszych europejskich ─çwiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe 2014 oraz nieprzerwanie od 2013 roku jest jedynym polakiem w strukturach uznanej na ┼Ťwiecie mi─Ödzynarodowej organizacji non-profit MalwareMustDie, kt├│ra aktywnie zwalcza zagro┼╝enia cybernetyczne. Organizacja ta jako pierwsza opisa┼éa przyk┼éadowo takie zagro┼╝enia jak Kelihos, KINS i Mirai, odpowiedzialny za najwi─Ökszy w historii atak DDoS wygenerowany przez urz─ůdzenia IoT.

W przeciwie┼ästwie do konkurencji nie rozbieramy znanych kampanii APT na czynniki pierwsze, a sami je wykrywamy niezale┼╝nie od pochodzenia czy obranego celu – od lat jeste┼Ťmy na samym froncie walki z cyberprzest─Öpczo┼Ťci─ů, co potwierdzaj─ů tak┼╝e liczne wyst─ůpienia na corocznej konferencji Techniczne Aspekty Przest─Öpczo┼Ťci Teleinformatycznej (TAPT) organizowanej przez Wy┼╝sz─ů Szko┼é─Ö Policji w Szczytnie.

Dzi─Öki po┼é─ůczeniu tej szerokiej wiedzy, zar├│wno z zakresu ataku jak i obrony, jeste┼Ťmy w stanie wykrywa─ç ataki na praktycznie ka┼╝dym poziomie zaawansowania, a co za tym idzie, ┼Ťwiadczy─ç us┼éugi o jako┼Ťci nieosi─ůgalnej dla os├│b specjalizuj─ůcych si─Ö jedynie w defensywnych zagadnieniach cyberbezpiecze┼ästwa. Czyni nas to unikaln─ů polsk─ů firm─ů ┼Ťwiadcz─ůc─ů us┼éugi proaktywnego wykrywania zagro┼╝e┼ä, a w czym r├│wnie┼╝ posiadamy ju┼╝ kilkuletnie do┼Ťwiadczenie.

Biały wywiad internetowy

Przeprowadzamy również biały wywiad internetowy czyli OSINT (Open Source Intelligence), który polega na wyszukiwaniu informacji w sieci Internet.

Tworzenie reguł SIEM

Zajmujemy si─Ö tworzeniem regu┼é SIEM (np. Splunk, ELK), szczeg├│lnie dla systemu Windows. Jest to cz─Ö┼Ť─ç us┼éugi threat huntingu, tak samo jak i rozszerzenie mo┼╝liwo┼Ťci logowania, budowa honeypot, wzbogacanie danych (tzw. data enrichment) itp.

Security Operations Center (SOC)

Us┼éuga threat huntingu najcz─Ö┼Ťciej realizowana jest jako trzecia, najbardziej ekspercka i ostatnia linia w strukturach Security Operations Center (SOC). Dodatkowo wraz z partnersk─ů firm─ů jeste┼Ťmy w stanie zaoferowa─ç rozwi─ůzania w postaci outsourcingu ca┼éego SOC, kt├│ry sk┼éada si─Ö z 3 linii i dzia┼éa w trybie 24/7.

Wsparcie Security Operations Center

Us┼éuga SOC3 polega na ┼Ťwiadczeniu przez nas ostatniej, trzeciej linii w ramach Security Operations Center (SOC). Mo┼╝e by─ç realizowana bezpo┼Ťrednio dla klienta, kt├│ry nie posiada najbardziej wykwalifikowanych os├│b, a jedynie pierwsz─ů oraz drug─ů lini─Ö wsparcia. Alternatywnie w ramach wsp├│┼épracy w konsorcjum z innymi firmami, kt├│re analogicznie posiadaj─ů tylko pierwsze linie wsparcia, mo┼╝emy ┼Ťwiadczy─ç us┼éug─Ö threat huntingu oraz reagowania na incydenty. Dla abonamentowych klient├│w us┼éugi SOC3 oferujemy dodatkowe rabaty na pozosta┼ée us┼éugi, r├│wnie┼╝ z ofensywnego zakresu – red teaming oraz testy penetracyjne.

Nasze publikacje o threat huntingu

Powoływanie się na nasze publikacje przez powszechnie znane polskie i zagraniczne podmioty z branży cyberbezpieczeństwa potwierdza wysoki poziom naszych kwalifikacji. Threat hunting realizujemy na poziomie międzynarodowych standardów.

Oferujemy us┼éugi threat huntingu na bazie naszego wieloletniego do┼Ťwiadczenia zar├│wno z zakresu symulacji hakerskich atak├│w jak informatyki ┼Ťledczej i reagowania na incydenty.

Poznaj nasz─ů┬áofert─Ö

Zajmujemy si─Ö realizacj─ů najbardziej zaawansowanych technicznych aspekt├│w cyberbezpiecze┼ästwa, zar├│wno z zakresu ataku jak i obrony. Dzi─Öki zr├│┼╝nicowanemu do┼Ťwiadczeniu w wielu specjalizacjach bezpiecze┼ästwa IT jeste┼Ťmy w stanie szerzej spojrze─ç na realizacj─Ö ka┼╝dej poszczeg├│lnej us┼éugi. Nasze umiej─Ötno┼Ťci wynikaj─ů z szerokiego i wieloletniego do┼Ťwiadczenia zawodowego w cyberbezpiecze┼ästwie oraz poparte s─ů certyfikatami, publikacjami i referencjami od znanych podmiot├│w.