threat hunting i threat intelligence

Threat hunting i
threat intelligence

Threat hunting jest to aktywne wyszukiwanie intruzów w infrastrukturze organizacji, swojego rodzaju proaktywna informatyka śledcza polegająca na zwiększeniu możliwości detekcji intruzów wewnętrznych i zewnętrznych. Podstawowym założeniem jest, iż zabezpieczenia zostały przełamane (ang. assume breach), a intruz jest obecny i ukrywa się w sieci organizacji.

Uzyskaj wycenę

RedEye, proaktywna detekcja cyberataków

SOC

RedEye jest pierwszym polskim narzędziem do threat huntingu, które pozwala na detekcję symptomów ataków niewykrywanych przez inne oprogramowanie (np. endpoint protection). Nie wymaga instalacji oraz uprawnień, a jedynie podłączenia do wewnętrznej sieci organizacji (LAN). RedEye jest efektem naszego wieloletniego doświadczenia w zakresie symulacji ataków oraz analiz incydentów.

Poznaj nasz SOC / CERT

SOC

Oferujemy nie tylko doraźną pomoc w trakcie incydentów (analiza powłamaniowa i informatyka śledcza) ale również proaktywną usługę całodobowego monitoringu 24/7/365 i natychmiastowego reagowania na pojawiające się incydenty. Jesteśmy krajowym liderem threat huntingu, który realizujemy przy pomocy autorskiego rozwiązania RedEye. Zapraszamy do zapoznania się z usługą SOC-as-a-Service oferowaną przez nasz zespół Security Operations Center (SOC).

Threat hunting

Threat hunting nie jest jednorazową aktywnością, którą przeprowadza się od czasu do czasu jak np. test penetracyjny. Proaktywne wyszukiwanie zagrożeń to stały proces zakładający, iż doszło do naruszenia bezpieczeństwa (ang. assume breach). Atakujący ciągle szukają efektywnych metod skutecznego przełamania zabezpieczeń, wykorzystując w atakach np. exploity 0-day. Nieznalezienie w porę atakującego pozwala mu na przejście do fazy ataku jaką jest utrzymanie dostępu np. przez instalację rootkitów, a co znacznie minimalizuje szanse na skuteczną detekcjęthreat actor posiada już wtedy wysokie uprawnienia i praktycznie nieograniczone możliwości manipulacji systemami detekcji (ang. anti-forensics).

Na tym etapie ataku APT wykorzystane złośliwe oprogramowanie takie jak backdoor jest w stanie przetrwać nawet reinstalację systemu operacyjnego. Przykładowo w trakcie jednego z red teamingów przy pomocy podatności CVE-2018-1207 byliśmy w stanie utrzymać dostęp do kontrolera iDRAC, a tym samym pomimo reinstalacji samego kontrolera domeny Windows, znajdującego się na serwerze Dell, mogliśmy uzyskać dostęp do jego zasobów z poziomu nadrządcy serwera. Standardowo użytkownik nie ma dostępu do konsoli (ang. shell) kontrolera iDRAC będącego nadrządcą serwera Dell, a co jednocześnie skrajnie minimalizuje możliwość detekcji tego typu utrzymania dostępu. Dlatego tak istotne jest aby threat hunterzy posiadali nie tylko defensywne, ale i ofensywne kompetencje, tak aby atak został w porę wykryty.

Nasz zespół posiada bogatą wiedzę zarówno z zakresu symulacji ataków, reagowania na incydenty jak i analizy powłamaniowej. Na bazie naszego wieloletniego doświadczenia stworzyliśmy narzędzie RedEye wykorzystywane przez nasz zespół SOC celem świadczenia skutecznej usługi threat hunting (proaktywne wykrywanie intruzów).

Wykrywanie ukierunkowanych ataków

Nasze unikalne na rynku podejście cechuje się tym, że nasza detekcja nie bazuje jedynie na wykrywaniu powszechnie znanych grup przestępczych w oparciu o analizę ich działań, a jest dużo szersza, co zarazem pozwala na proaktywne wykrywanie incydentów oraz detekcję targetowanych ataków APT (ang. Advanced Persistent Threats) niezależnie od ich pochodzenia. Dzięki takiemu podejściu wykrywamy zagrożenia, które nie są zauważane przez wykorzystywane w organizacji rozwiązania bezpieczeństwa IT (np. oprogramowanie antywirusowe).

Cyber threat hunting jest to stały proces proaktywnego wykrywania intruzów, a nie gotowa technologia czy jednorazowe działanie. Posiadamy szeroką wiedzę i doświadczenie z zakresu tego jak przebiegają hakerskie ataki oraz technik wykorzystywanych celem zatarcia śladów (tzw. anti-forensics) – wynika to bezpośrednio z faktu oferowanych przez nas usług symulacji hakerskich ataków: red teamingu i testów penetracyjnych, a zarazem wiedzy z zakresu ich analizy oraz detekcji: informatyka śledcza i reagowanie na incydenty. W wyniku połączenia wiedzy oraz doświadczenia zawodowego zarówno z zakresu aspektów ofensywnych (redteam) jak i defensywnych (blueteam) jesteśmy w stanie świadczyć wysokiej jakości usługi prawdziwego threat huntingu. Nasze podejście opiera się na rozpracowywaniu na czynniki pierwsze hakerskich metod ataków (TTPs) dzięki czemu jesteśmy w stanie wykrywać je niezależnie od wykorzystywanych przez hakerów narzędzi, a co pozwala na skuteczna detekcję incydentów.

Wykorzystujemy dedykowane autorskie oprogramowanie RedEye, które pomaga w wyszukiwaniu anomalii i symptomów mogących świadczyć o obecności intruza w sieci wewnętrznej organizacji. Efektem skutecznej detekcji jest w porę reagowanie na incydent, zanim dojdzie do istotnych dla organizacji strat, czy to w postaci wycieku informacji, czy też operacji destrukcyjnych jak szyfrowanie istotnych danych celem wyłudzenia okupu.

Zespół bezpieczeństwa IT

Czy każdy z zespołu bezpieczeństwa kiedykolwiek analizował atak hakerski? Czy każdy z zespołu bezpieczeństwa wykonał skuteczny atak i skompromitował sieć? Czy zespół bezpieczeństwa projektuje obronę na ataki, których nie zna lub nie rozumie? Brak doświadczenia i ofensywnych kompetencji wprost przekłada się na znacznie zmniejszone możliwości detekcji i analizy ataków. Nasz zespół posiada kompetencje z zakresu symulacji ataków jak i analizy incydentów, w tym analizy powłamaniowej i informatyki śledczej.

Czy w systemach detekcji stale aktywne są ostrzeżenia, niezależnie czy atak się odbywa czy też nie? Podstawowym problemem systemów detekcji jest ilość fałszywych alarmów (ang. false-positive), które uniemożliwiają skuteczną detekcję poprzez uśpienie czujności zespołu SOC. Jeśli ostrzeżenia są praktycznie zawsze aktywne, czy zespół bezpieczeństwa będzie w stanie rozróżnić i wykryć rzeczywisty atak? Z tego powodu posiadanie nawet najbardziej nowoczesnego oprogramowania w formie urządzenia nie umożliwia skutecznej detekcji intruzów i obrony przeciwko atakom hakerskim.

Threat hunting powstał z potrzeby obrony przeciwko ukierunkowanym atakom APT (ang. Advanced Persistent Threats), które przełamują najbardziej innowacyjne narzędzia bezpieczeństwa. W 2021 roku ofiarą takiego ataku stała się firma Microsoft, która wyciągnęła wnioski płynące z analizy ataku Solorigate – proaktywna detekcja jest kluczowym czynnikiem dla zapewnienia skutecznego bezpieczeństwa informacji.

Security Operations Center (SOC)

Usługa threat huntingu najczęściej realizowana jest jako trzecia, najbardziej ekspercka i ostatnia linia w strukturach SOC.

CERT, CSIRT

Wraz z usługą SOC oferujemy także usługę CERT/CSIRT, jak również doraźne reagowanie na incydent w przypadku stwierdzenia hakerskiego ataku. REDTEAM.PL CERT (RFC 2350) jest przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA) uznanym zespołem reagowania na incydenty oraz członkiem największej międzynarodowej organizacji Trusted Introducer zrzeszającej zespoły CERT.

Wyszukiwanie cyberzagrożeń

RedEye jest naszym autorskim oprogramowaniem posiadającym szereg unikalnych reguł detekcji, które zostały przygotowane na bazie naszego wieloletniego doświadczenia zarówno w ofensywnym jak i defensywnym cyberbezpieczeństwie. RedEye umożliwia wykrycie początkowych faz ataku, zanim dojdzie do jego eskalacji, w tym wycieków informacji oraz zatarcia śladów obecności intruza. Ponadto oprogramowanie pozwala na detekcję ataków, które nie są wykrywane przez oprogramowanie antywirusowe. Rozwiązanie RedEye oferujemy wraz z usługą stałego monitoringu w postaci outsourcingu SOC.

Cyber Threat Intelligence

Cyber Threat Intelligence (CTI) (Threat Intelligence Platform) to stałe pozyskiwanie informacji z zewnętrznych źródeł o zagrożeniach dla organizacji. Platforma dostarcza informacje o IOC (Indicator of Compromise) wykorzystywanych do automatycznego wzbogacania (tzw. data enrichment) wewnętrznych systemów monitoringu typu SIEM (Security Information and Event Management), IPS (Intrusion Prevention System) czy IDS (Intrusion Detection System) wraz ze wszelkimi odmianami: NIDS (Network Intrusion Detection Systems), HIDS (Host-based Intrusion Detection Systems) itp. Najprostszym przykładem takiego wzbogacania może być pobierane z rozproszonej sieci honeypot informacji o adresach IP wykorzystywanych przez atakujących, lub też wykrywanie zmian w otwartych portach infrastruktury organizacji.

Proaktywne wyszukiwanie zagrożeń

Wiemy jak skutecznie wyszukiwać symptomy ataków oraz obecność hakerów w infrastrukturze organizacji czy nieuczciwych pracowników działających na szkodę przedsiębiorstwa. Przykładowym zadaniem threat huntera jest uruchomienie dedykowanego dla danej sieci oprogramowania typu honeypot z wykorzystaniem canary tokens czy też monitorowanie ruchu DNS pod kątem potencjalnie niebezpiecznej aktywności, przez np. badanie entropii, rodzajów zapytań DNS (eksfiltracja danych), porównywanie domen z IOC (Indicator of Compromise) pochodzącymi z feedów threat intelligence itp. Z kolei analiza logów w tym przypadku nie sprowadza się jedynie do ich monitorowania pod kątem podstawowych zdarzeń, a do głębokiej analizy i korelacji logów przez łączeniu wielu źródeł danych i analizy z pozoru błahych zdarzeń, które mogą świadczyć o naruszeniu integralności. Dodatkowo w wykrywaniu wykorzystujemy tzw. data enrichment czyli wzbogacanie wewnętrznych danych informacjami pochodzącymi z zewnątrz, z naszego autorskiego rozwiązania Cyber Threat Intelligence (CTI).

Dlaczego my? Wiedza i doświadczenie

Praktyczna analiza powłamaniowa

Poziom trudności w realizacji proaktywnego wyszukiwania zagrożeń został ujęty w uznanej tzw. piramidzie bólu, która wiedzę o narzędziach i technikach wykorzystywanych przez hakerów traktuje jako najtrudniejsze aspekty w tej dziedzinie. Wiele metodyk, baz wiedzy czy modeli jak przykładowo Kill Chain i MITRE ATT&CK opisuje przebieg ataków hakerskich, na jakie etapy się dzielą i jak ta wiedza może pomóc w ich wykrywaniu. Nasze doświadczenie zawodowe to również najwyższe kompetencje z zakresu ofensywnych aspektów takich jak red teaming czy testy penetracyjne, na czego potwierdzenie posiadamy najbardziej uznane certyfikaty takie jak na przykład OSCP oraz liczne referencje od znanych podmiotów. Kompetencje te w połączeniu z równie obszernym doświadczeniem z zakresu informatyki śledczej i reagowania na incydenty, co bezpośrednio wynika z realizowanych przez nas opinii jako biegły sądowy czy książki Adama Ziaji pt. “Praktyczna analiza powłamaniowa”, dają nam zupełnie nowe spojrzenie na aspekty detekcji zagrożeń. Łączymy ekspercką wiedzę zarówno z zakresu ataku jak i ich analizy.

Warto również wspomnieć, że już w 2013 roku zbudowaliśmy pierwszy polski system służący do automatycznego białego wywiadu czyli Cyber Threat Intelligence (CTI), a także braliśmy udział w tworzeniu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CERT (Computer Emergency Response Team) oraz przeprowadzając badania nad wykrywaniem zagrożeń realizowaliśmy threat hunting dla amerykańskiego startupu budującego nowe oprogramowanie typu SIEM/IDS. Ponadto Adam Ziaja był członkiem zwycięskiego zespołu na największych europejskich ćwiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe 2014, a także nieprzerwanie od 2013 roku jest jedynym Polakiem w strukturach uznanej na świecie międzynarodowej organizacji non-profit MalwareMustDie, która aktywnie zwalcza zagrożenia cybernetyczne. Organizacja ta jako pierwsza opisała przykładowo takie zagrożenia jak Kelihos, KINS i Mirai, odpowiedzialny za największy w historii atak DDoS wygenerowany przez urządzenia IoT. W 2019 roku wykryliśmy i przeanalizowaliśmy globalny atak badWPAD, co zostało wyróżnione przez CERT Polska w raporcie Krajobraz bezpieczeństwa polskiego Internetu (str. 61-62), a także otrzymaliśmy podziękowania z CERT Estonii oraz CERT Łotwy.

W przeciwieństwie do konkurencji nie rozbieramy znanych kampanii APT na czynniki pierwsze, a sami je wykrywamy niezależnie od pochodzenia czy obranego celu – od lat jesteśmy na samym froncie walki z cyberprzestępczością, co potwierdzają także liczne wystąpienia na corocznej konferencji Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.

Dzięki połączeniu tej szerokiej wiedzy, zarówno z zakresu ataku jak i obrony, jesteśmy w stanie wykrywać ataki na praktycznie każdym poziomie zaawansowania, a co za tym idzie, świadczyć usługi o jakości nieosiągalnej dla osób specjalizujących się jedynie w defensywnych zagadnieniach cyberbezpieczeństwa. Czyni nas to unikalną polską firmą świadczącą usługi proaktywnego wykrywania zagrożeń, a w czym również posiadamy już kilkuletnie doświadczenie.

Ochrona infrastruktury krytycznej

Wiemy w jaki sposób działają zaawansowani hakerzy, dlatego jesteśmy w stanie zaprojektować skuteczną detekcję zagrożeń. W 2020 roku na zaproszenie Ministerstwa Obrony Singapuru jako ofensywny zespół (red team) braliśmy udział w międzynarodowych ćwiczeniach Critical Infrastructure Security Showdown 2020 (CISS2020-OL) organizowanych przez Politechnikę w Singapurze (iTrust SUTD). Celem ćwiczenia był atak na infrastrukturę krytyczną w postaci stacji uzdatniania wody (SWaT). W trakcie ćwiczeń skutecznie udało się nam przełamać informatyczne zabezpieczenia i przejąć bezpośrednią kontrolę nad systemem SCADA HMI.

Nasze publikacje o threat huntingu

DNS based threat hunting and DoH (DNS over HTTPS) by Adam Ziaja – As someone who has been advocating the detection of malicious activities via DNS for many years, I was dismayed when I found out about malicious use of DNS over HTTPS (DoH). This is a great technical primer for blue teamers to learn the ins and outs of DoH and how red teamers/adversaries can use it to bypass just about every single defense we have. I spent some time after this paper trying to whiteboard how to detect DoH consistently... and I'm not gonna lie, it's going to be hard.”

Staff Picks for Splunk Security Reading
Splunk

Powoływanie się na nasze publikacje przez powszechnie znane polskie i zagraniczne podmioty z branży cyberbezpieczeństwa potwierdza wysoki poziom naszych kwalifikacji. Threat hunting realizujemy na poziomie międzynarodowych standardów już od 11 lat.

Sztuczna inteligencja i uczenie maszynowe

Skuteczny threat hunting nie może być zastąpiony sztuczną inteligencją (ang. artificial intelligence) czy też uczeniem maszynowym (ang. machine learning). Dlatego też podatności 0-day znajdowane są przez doświadczone osoby, a nie przez sztuczną inteligencję (AI). Najbardziej skutecznymi threat hunterami są osoby posiadające bogate ofensywne doświadczenie, które myślą jak atakujący. Na dzień dzisiejszy nikt nie zademonstrował jeszcze skutecznego mechanizmu sztucznej inteligencji i uczenia maszynowego, który byłby w stanie zastąpić doświadczonych ekspertów cyberbezpieczeństwa.

TUV NORD (2021)
Prelekcja na konferencji TUV NORD (2021)

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Mozilla
Netflix
Microsoft
Apple
Oracle
Adobe