threat hunting i threat intelligence

Threat hunting i
threat intelligence

Threat hunting jest to aktywne wyszukiwanie intruzów w infrastrukturze organizacji, swojego rodzaju proaktywna informatyka śledcza polegająca na zwiększeniu możliwości detekcji intruzów wewnętrznych i zewnętrznych. Podstawowym założeniem jest, iż zabezpieczenia zostały przełamane, a intruz jest obecny i ukrywa się w sieci organizacji np. w celu eksfiltracji danych.

Wyślij zapytanie

Poznaj nasz SOC / CERT

Oferujemy nie tylko doraźną pomoc w trakcie incydentów ale również proaktywną usługę stałego i całodobowego monitoringu informatycznych zasobów pod kątem cyberbezpieczeństwa (threat hunting i threat intelligence) oraz natychmiastowego reagowania na pojawiające się incydenty (informatyka śledcza i analiza powłamaniowa). Zapraszamy do zapoznania się z usługą SOC-as-a-Service oferowaną przez nasz zespół Security Operations Center (SOC).

Monitorowanie środowiska IT

Nasze unikalne na rynku podejście cechuje się tym, że nasza detekcja nie bazuje jedynie na wykrywaniu powszechnie znanych grup przestępczych jedynie przez analizę ich działań, a jest dużo szersza, co zarazem pozwala na proaktywne wykrywanie incydentów oraz detekcję targetowanych ataków APT (Advanced Persistent Threats), które nie są wykrywane przez wykorzystywane w organizacji rozwiązania bezpieczeństwa IT (np. oprogramowanie antywirusowe). Cyber threat hunting jest to stały proces proaktywnego wykrywania intruzów, a nie gotowa technologia. Posiadamy szeroką wiedzę i doświadczenie z zakresu tego jak przebiegają hakerskie ataki oraz technik wykorzystywanych celem zatarcia śladów (tzw. anti-forensics) – wynika to bezpośrednio z faktu oferowanych przez nas usług symulacji hakerskich ataków: red teamingu i testów penetracyjnych, a zarazem wiedzy z zakresu ich analizy oraz detekcji: informatyka śledcza i reagowanie na incydenty. Dzięki połączeniu wiedzy oraz doświadczenia zawodowego zarówno z zakresu aspektów ofensywnych jak i defensywnych jesteśmy w stanie świadczyć wysokiej jakości usługi threat huntingu. Nasze podejście opiera się na rozpracowywaniu na czynniki pierwsze hakerskich metod ataków (TTPs) dzięki czemu jesteśmy w stanie wykrywać je niezależnie od wykorzystywanych przez hakerów narzędzi, a tym samym zmniejszamy ilość operacji na danych, które musi przetworzyć system detekcji (np. SIEM), a co z kolei znacznie wpływa na wydajność całego procesu detekcji incydentów. Dodatkowo w wykrywaniu wykorzystujemy tzw. data enrichment, czyli wzbogacanie posiadanych wewnętrznych danych, jak logi, informacjami pochodzącymi z zewnątrz, z naszego autorskiego rozwiązania Cyber Threat Intelligence (CTI).

Proaktywne wyszukiwanie zagrożeń

Wiemy jak skutecznie wyszukiwać symptomy ataków oraz obecność hakerów w infrastrukturze organizacji czy nieuczciwych pracowników działających na szkodę przedsiębiorstwa. Przykładowym zadaniem threat huntera jest uruchomienie dedykowanego dla danej sieci oprogramowania typu honeypot z wykorzystaniem canary tokens czy też monitorowanie ruchu DNS pod kątem potencjalnie niebezpiecznej aktywności przez np. badanie entropii, rodzajów zapytań DNS, porównywanie domen z IOC (Indicator of Compromise) pochodzącymi z feedów threat intelligence itp. Z kolei analiza logów w tym przypadku nie sprowadza się jedynie do ich monitorowania pod kątem podstawowych zdarzeń, a do głębokiej analizy i korelacji logów przez łączeniu wielu źródeł danych i analizy z pozoru błahych zdarzeń, które mogą świadczyć o naruszeniu integralności.

Wykorzystanie autorskiego oprogramowania, które przez heurystyczne podejście pozwala na wytypowanie potencjalnych zagrożeń. Każde rozwiązanie jest przystosowywane pod daną organizację, tak aby najlepiej dopasować detekcję. Dzięki takiemu podejściu istnieje wysoka możliwość detekcji symptomów ataku na każdym z jego stadiów, a szczególnie targetowanych ataków APT. Efektem czego jest w porę reagowanie na incydent, zanim dojdzie do istotnych dla organizacji strat, czy to w postaci wycieku informacji, czy też operacji destrukcyjnych jak szyfrowanie istotnych danych celem wyłudzenia okupu. Tym sposobem jesteśmy w stanie poznać także cel włamywacza, co jest bardzo istotnym aspektem z punktu widzenia reagowania na incydenty.

Cyber Threat Intelligence

Cyber Threat Intelligence (CTI) (Threat Intelligence Platform) to stałe pozyskiwanie informacji z zewnętrznych źródeł o zagrożeniach dla organizacji, usługa składa się z dwóch części: informacji dla zespołów bezpieczeństwa oraz przede wszystkim IOC (Indicator of Compromise) wykorzystywanych do automatycznego wzbogacania (tzw. data enrichment) wewnętrznych systemów monitoringu typu SIEM (Security Information and Event Management), IPS (Intrusion Prevention System) czy IDS (Intrusion Detection System) wraz ze wszelkimi odmianami: NIDS (Network Intrusion Detection Systems), HIDS (Host-based Intrusion Detection Systems) itp. Najprostszym przykładem takiego wzbogacania może być pobierane z rozproszonej sieci honeypot informacji o adresach IP wykorzystywanych przez atakujących, lub też wykrywanie zmian w otwartych portach infrastruktury organizacji.

Wykorzystujemy dedykowane autorskie oprogramowanie, które wyszukuje symptomy mogące świadczyć o obecności intruza w sieci wewnętrznej organizacji. Zbieramy również informacje dostępne w sieci Internet (OSINT, przestępcze fora internetowe itp) czego wynikiem jest monitorowanie pod kątem wycieków danych. Monitorujemy zasoby organizacji pod kątem zmian od strony sieci zewnętrznej (WAN) czy symptomów ataków po stronie sieci wewnętrznej (LAN). Przykładem może być wykrywanie ataków typowych dla sieci opartych o system Windows, które to ataki jesteśmy w stanie wykrywać na poziomie protokołów, analizując sam ruch sieciowy. Monitoring infrastruktury wspomagany danymi z threat intelligence pozwala na skuteczne wykrywanie targetowanych ataków APT.

Dlaczego my? Wiedza i doświadczenie

Praktyczna analiza powłamaniowa

Poziom trudności w realizacji proaktywnego wyszukiwania zagrożeń został ujęty w uznanej tzw. piramidzie bólu, która wiedzę o narzędziach i technikach wykorzystywanych przez hakerów traktuje jako najtrudniejsze aspekty w tej dziedzinie. Wiele metodyk, baz wiedzy czy modeli jak przykładowo Kill Chain i MITRE ATT&CK opisuje przebieg ataków hakerskich, na jakie etapy się dzielą i jak ta wiedza może pomóc w ich wykrywaniu. Nasze doświadczenie zawodowe to również najwyższe kompetencje z zakresu ofensywnych aspektów takich jak red teaming czy testy penetracyjne, na czego potwierdzenie posiadamy najbardziej uznane certyfikaty takie jak na przykład OSCP oraz liczne referencje od znanych podmiotów. Kompetencje te w połączeniu z równie obszernym doświadczeniem z zakresu informatyki śledczej i reagowania na incydenty, co bezpośrednio wynika z realizowanych przez nas opinii jako biegły sądowy czy książki Adama Ziaji pt. “Praktyczna analiza powłamaniowa”, dają nam zupełnie nowe spojrzenie na aspekty detekcji zagrożeń. Łączymy ekspercką wiedzę zarówno z zakresu ataku jak i ich analizy.

Warto również wspomnieć, że już w 2013 roku zbudowaliśmy pierwszy polski system służący do automatycznego białego wywiadu czyli Cyber Threat Intelligence (CTI), a także braliśmy udział w tworzeniu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CERT (Computer Emergency Response Team) oraz przeprowadzając badania nad wykrywaniem zagrożeń realizowaliśmy threat hunting dla amerykańskiego startupu budującego nowe oprogramowanie typu SIEM/IDS. Ponadto Adam Ziaja był członkiem zwycięskiego zespołu na największych europejskich ćwiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe 2014, a także nieprzerwanie od 2013 roku jest jedynym polakiem w strukturach uznanej na świecie międzynarodowej organizacji non-profit MalwareMustDie, która aktywnie zwalcza zagrożenia cybernetyczne. Organizacja ta jako pierwsza opisała przykładowo takie zagrożenia jak Kelihos, KINS i Mirai, odpowiedzialny za największy w historii atak DDoS wygenerowany przez urządzenia IoT.

W przeciwieństwie do konkurencji nie rozbieramy znanych kampanii APT na czynniki pierwsze, a sami je wykrywamy niezależnie od pochodzenia czy obranego celu – od lat jesteśmy na samym froncie walki z cyberprzestępczością, co potwierdzają także liczne wystąpienia na corocznej konferencji Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.

Dzięki połączeniu tej szerokiej wiedzy, zarówno z zakresu ataku jak i obrony, jesteśmy w stanie wykrywać ataki na praktycznie każdym poziomie zaawansowania, a co za tym idzie, świadczyć usługi o jakości nieosiągalnej dla osób specjalizujących się jedynie w defensywnych zagadnieniach cyberbezpieczeństwa. Czyni nas to unikalną polską firmą świadczącą usługi proaktywnego wykrywania zagrożeń, a w czym również posiadamy już kilkuletnie doświadczenie.

RedEye, podejście nowej generacji do wyszukiwania cyberzagrożeń

RedEye jest naszym autorskim oprogramowaniem posiadającym szereg unikalnych reguł detekcji, które zostały przygotowane na bazie naszego wieloletniego doświadczenia zarówno w ofensywnym jak i defensywnym cyberbezpieczeństwie. RedEye umożliwia wykrycie początkowych faz ataku, zanim dojdzie do jego eskalacji, w tym wycieków informacji oraz zatarcia śladów obecności intruza. Ponadto oprogramowanie pozwala na detekcję ataków, które nie są wykrywane przez oprogramowanie antywirusowe. Rozwiązanie RedEye oferujemy wraz z usługą stałego monitoringu w postaci outsourcingu SOC.

Security Operations Center (SOC)

Usługa threat huntingu najczęściej realizowana jest jako trzecia, najbardziej ekspercka i ostatnia linia w strukturach SOC.

Computer Emergency Response Team (CERT, CSIRT)

Wraz z usługą SOC oferujemy także usługę CERT/CSIRT, jak również doraźne reagowanie na incydent w przypadku stwierdzenia hakerskiego ataku. REDTEAM.PL CERT jest uznanym zespołem reagowania na incydenty oraz członkiem największej międzynarodowej organizacji Trusted Introducer zrzeszającej zespoły CERT.

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

VMware
Mozilla
Microsoft
Adobe
Google
Apple