threat hunting i threat intelligence

Threat hunting i
threat intelligence

Threat hunting jest to aktywne wyszukiwanie intruzów w infrastrukturze organizacji, swojego rodzaju proaktywna informatyka śledcza polegająca na zwiększeniu możliwości detekcji intruzów zewnętrznych i wewnętrznych.

Blue Team & Blue Teaming

Nasze unikalne na rynku podejście cechuje się tym, że detekcja nie bazuje jedynie na działaniu znanych grup przestępczych, a jest dużo szersza, co zarazem pozwala na wydajniejsze wyszukiwanie zagrożeń oraz detekcję targetowanych ataków APT (Advanced Persistent Threats), które nie są wykrywane przez wykorzystywane rozwiązania bezpieczeństwathreat hunting to stały proces, a nie technologia. Posiadamy szeroką wiedzę i doświadczenie z zakresu tego jak przebiegają hakerskie ataki oraz technik wykorzystywanych celem zatarcia śladów – wynika to bezpośrednio z faktu oferowanych przez nas usług symulacji hakerskich ataków: red teamingu, testów penetracyjnych, a zarazem wiedzy z zakresu ich analizy oraz detekcji: informatyka śledcza i reagowanie na incydenty. Dzięki połączeniu wiedzy i doświadczenia zawodowego zarówno z zakresu aspektów ofensywnych jak i defensywnych jesteśmy w stanie świadczyć wysokiej jakości usługi threat huntingu. Nasze podejście opiera się na rozpracowywaniu na czynniki pierwsze hakerskich metod ataków i w ten sposób jesteśmy w stanie wykrywać je niezależnie od wykorzystywanych narzędzi, a tym samym zmniejszamy ilość operacji na danych, które musi przetworzyć system detekcji, co z kolei znacznie wpływa na wydajność całego procesu. Dodatkowo w detekcji wykorzystujemy tzw. data enrichment, czyli wzbogacanie posiadanych, wewnętrznych danych jak logi informacjami pochodzącymi z zewnątrz, z naszego autorskiego rozwiązania Cyber Threat Intelligence (CTI).

Proaktywne wyszukiwanie zagrożeń

Wiemy jak skutecznie wyszukiwać symptomy ataków oraz obecność hakerów w infrastrukturze organizacji czy nieuczciwych pracowników działających na szkodę przedsiębiorstwa. Przykładowym zadaniem threat huntera jest uruchomienie dedykowanego dla danej sieci oprogramowania typu honeypot czy monitorowanie ruchu DNS pod kątem potencjalnie niebezpiecznej aktywności przez np. badanie entropii, rodzajów zapytań DNS, porównywanie domen z IOC (Indicator of Compromise) pochodzącymi z feedów threat intelligence itp. Z kolei analiza logów w tym przypadku nie sprowadza się jedynie do ich monitorowania pod kątem podstawowych zdarzeń, a do głębokiej analizy przez łączeniu wielu źródeł logów i analizy z pozoru błahych zdarzeń, które mogą świadczyć o naruszeniu integralności.

Nasze podejście do threat huntingu to nie tylko kolekcjonowanie IOC (Indicator of Compromise) ale również wykorzystanie autorskiego oprogramowania, które przez heurystyczne podejście pozwala na wytypowanie potencjalnych zagrożeń. Każde rozwiązanie jest szyte na miarę pod daną organizację, tak aby najlepiej dopasować detekcję. Dzięki takiemu podejściu istnieje bardzo realna możliwość wykrycia symptomów ataku na każdym z jego stadiów, a szczególnie targetowanych ataków APT. Efektem czego jest w porę zareagowanie na incydent, zanim dojdzie do istotnych dla organizacji strat, czy to w postaci wycieku informacji, czy też operacji destrukcyjnych jak szyfrowanie istotnych danych celem wyłudzenia okupu. Tym sposobem jesteśmy w stanie poznać także cel włamywacza, co jest bardzo istotnym aspektem z punktu widzenia reagowania na incydenty.

Cyber Threat Intelligence Platform

Cyber Threat Intelligence (CTI) (Threat Intelligence Platform) to stałe pozyskiwanie informacji z zewnętrznych źródeł o zagrożeniach dla organizacji, usługa składa się z dwóch części: informacji dla zespołów bezpieczeństwa oraz przede wszystkim danych wykorzystywanych do automatycznego wzbogacania (tzw. data enrichment) wewnętrznych systemów monitoringu typu SIEM (Security Information and Event Management), IPS (Intrusion Prevention System) czy IDS (Intrusion Detection System) wraz ze wszelkimi odmianami: NIDS (Network Intrusion Detection Systems), HIDS (Host-based Intrusion Detection Systems) itp. Najprostszym przykładem takiego wzbogacania może być pobierane z sieci honeypot informacji o adresach IP wykorzystywanych przez atakujących, lub też wykrywanie zmian w otwartych portach infrastruktury organizacji.

Wykorzystujemy dedykowane autorskie oprogramowanie, które w zależności od potrzeb danej organizacji automatycznie wyszukuje potencjalnie zagrożenia oraz zmiany mogące świadczyć o naruszeniu integralności systemów. Nasze oprogramowanie kolekcjonuje informacje dostępne w sieci Internet (OSINT, przestępcze fora internetowe itp) czego wynikiem jest monitorowanie pod kątem wycieków danych z organizacji. Dodatkowo w aktywny sposób monitoruje zasoby organizacji pod kątem zmian od strony sieci zewnętrznej (WAN) czy symptomów ataków po stronie sieci wewnętrznej (LAN). Przykładem może być wykrywanie ataków typowych dla sieci opartych o system Windows, które to ataki jesteśmy w stanie wykrywać na poziomie protokołu, analizując sam ruch sieciowy. Monitoring infrastruktury wspomagany danymi z threat intelligence pozwala na skuteczne wykrywanie targetowanych ataków APT.

Dlaczego my?

Poziom trudności w realizacji proaktywnego wyszukiwania zagrożeń został ujęty w uznanej tzw. piramidzie bólu, która wiedzę o narzędziach i technikach wykorzystywanych przez hakerów traktuje jako najtrudniejsze aspekty w tej dziedzinie detekcji. Wiele metodyk, baz wiedzy czy modeli jak przykładowo Kill Chain i MITRE ATT&CK opisuje przebieg ataków hakerskich, na jakie etapy się dzielą i jak ta wiedza może pomóc w ich wykrywaniu – nie jest to dla nas niczym nowym ponieważ jesteśmy biegli w zakresie ataków. Wynika to z faktu, że nasze doświadczenie zawodowe to również najwyższe kompetencje z zakresu ofensywnych aspektów takich jak red teaming czy testy penetracyjne, na czego potwierdzenie posiadamy najbardziej uznane certyfikaty takie jak na przykład OSCP oraz liczne referencje od znanych podmiotów. Kompetencje te w połączeniu z równie obszernym doświadczeniem z zakresu informatyki śledczej i reagowania na incydenty, co bezpośrednio wynika z realizowanych przez nas opinii jako biegły sądowy czy książki Adama Ziaji pt. “Praktyczna analiza powłamaniowa”, dają nam zupełnie nowe spojrzenie na aspekty detekcji zagrożeń. Łączymy ekspercką wiedzę zarówno z zakresu ataku jak i analizy ataków.

Warto również wspomnieć, że już w 2013 roku zbudowaliśmy pierwszy polski system służący do automatycznego białego wywiadu czyli Cyber Threat Intelligence (CTI), a także braliśmy udział w tworzeniu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CERT (Computer Emergency Response Team) oraz realizowaliśmy threat hunting dla amerykańskiego startupu budującego nowe oprogramowanie typu SIEM/IDS, a dokładniej badania nad wykrywaniem zagrożeń. Ponadto Adam Ziaja nieprzerwanie od 2013 roku jest jedynym polakiem w strukturach uznanej na świecie międzynarodowej organizacji non-profit MalwareMustDie, która aktywnie zwalcza zagrożenia cybernetyczne. Organizacja ta jako pierwsza opisała przykładowo takie zagrożenia jak Kelihos, KINS i Mirai, odpowiedzialny za największy w historii atak DDoS wygenerowany przez urządzenia IoT.

W przeciwieństwie do konkurencji nie rozbieramy znanych kampanii APT na czynniki pierwsze, a sami je wykrywamy niezależnie od pochodzenia czy obranego celu ponieważ od lat jesteśmy na samym froncie walki z cyberprzestępczością, co potwierdzają także liczne wystąpienia na corocznej konferencji Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.

Dzięki połączeniu tej szerokiej wiedzy, zarówno z zakresu ataku jak i obrony, jesteśmy w stanie wykrywać ataki na praktycznie każdym poziomie zaawansowania, a co za tym idzie świadczyć usługi o jakości nieosiągalnej dla osób specjalizujących się jedynie w defensywnych zagadnieniach cyberbezpieczeństwa. Czyni nas to unikalną polską firmą świadczącą usługi proaktywnego wykrywania zagrożeń, a w czym również posiadamy już kilkuletnie doświadczenie.

Biały wywiad internetowy

Przeprowadzamy również biały wywiad internetowy czyli OSINT (Open Source Intelligence), który polega na wyszukiwaniu informacji w sieci Internet.

Tworzenie reguł SIEM

Zajmujemy się tworzeniem reguł SIEM (np. Splunk, ELK), szczególnie dla systemu Windows. Jest to część usługi threat huntingu, tak samo jak i rozszerzenie możliwości logowania, budowa honeypot, wzbogacanie danych (tzw. data enrichment) itp.

Security Operations Center (SOC)

Usługa threat huntingu najczęściej realizowana jest jako trzecia, najbardziej ekspercka i ostatnia linia w strukturach Security Operations Center (SOC). Dodatkowo wraz z partnerską firmą jesteśmy w stanie zaoferować rozwiązania w postaci outsourcingu całego SOC, który składa się z 3 linii i działa w trybie 24/7.

Usługa SOC3

Usługa polega na świadczeniu przez nas ostatniej, trzeciej linii w ramach Security Operations Center (SOC). Może być realizowana bezpośrednio dla klienta, który nie posiada najbardziej wykwalifikowanych osób, a jedynie pierwszą oraz drugą linię wsparcia. Alternatywnie w ramach konsorcjum z innymi firmami, które analogicznie posiadają tylko pierwsze linie wsparcia, a potrzebują profesjonalnego threat huntingu oraz reagowania na incydenty. Dla abonamentowych klientów usługi SOC3 oferujemy dodatkowe rabaty na pozostałe usługi, również z ofensywnego zakresu – red teaming oraz testy penetracyjne.

Oferujemy usługi threat huntingu na bazie naszego wieloletniego doświadczenia zarówno z zakresu symulacji hakerskich ataków jak informatyki śledczej i reagowania na incydenty.

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.