Презентация для закрытого 7-ой встречи SOC Club "SOC в России"

1. THREAT HUNTING КАК ПРОЦЕСС SOC
«SOC В РОССИИ», МАРТ 2017
Sergey Soldatov, Head of SOC

2. ПЛАН
Причины актуальности
Контекст угроз
Два подхода к обнаружению
ТН в процессах SOC

3. ПРИЧИНЫ АКТУАЛЬНОСТИ
Выше зависимость от ИТ 
Выше уровень безопасности 
– Выше сложность атаки
Больше рисков в области ИТ (мотивация)
Выше стоимость атаки 
Процессы и организация
Разведка и подготовка
Профессионализм атакующих
Много векторов, технологий, инструментов
Скрытность
Атакующий:
- Пентест
- Нет права на ошибку

4. КОНТЕКСТ УГРОЗЫ
Антифоренсика
Бестелесность
Применение легальных
инструментов и технологий
Многоэтапность
Свежие, загадочные ТТР
(горизонтальные перемещения,
закрепление, пр.)
http://reply-to-all.blogspot.ru/2017/03/blog-post.html

5. КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Постоянный сбор артефактов
Детекты на память
Контекст среды, Исследования,
Неточные сигнатуры
Хранение сырых данных
Исследования
Антифоренсика
Бестелесность
Применение легальных
инструментов и технологий
Многоэтапность
Свежие, загадочные ТТР
(горизонтальные перемещения,
закрепление, пр.)

6. КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Предотвращение
Своевременное
обнаружение
Реакция и
восстановление
Ресурсы атакующего –
безграничны!
http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html

7. ДВА ПОДХОДА К ОБНАРУЖЕНИЮ
МОНИТОРИНГ (ALERTING):
Реактивно – обнаружение
известного
Уничтожает после поиска
сигнатуры
ПОИСК УГРОЗ (HUNTING):
Проактивно – обнаружение
неизвестного
Хранит все данные – многократная
проверка («Машина времени»)
Вендор
ITW
IRAlerting
Гипотеза Hunting
MA
DF
Alerting IR
Вендор
ITW
http://reply-to-all.blogspot.ru/2016/07/blog-post.html

8. ВЗАИМНОЕ ДОПОЛНЕНИЕ
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Сбор общей
информации
Дамп
памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Threat hunting:
• Поиск неизвестных угроз
• Угроз использование легитимных инструментов
• Сбор данных для расследования
SOC:
• Обнаружение
известных угроз
(Alerting)
• Контроль работы
превентивных мер

9. КАК И ПОЧЕМУ ЭТО РАБОТАЕТ
Данные
 Детекты*
 Поведение
процессов
 События ОС
Микрокорреляция:
 Все технологии в составе EP со
всеми базами
 Репутация
Макрокорреляция, гипотезы:
 Все знания о ТТР:
 Внутренние исследования GReAT, AMR,
TARG, SOC, SSR
 Анализ защищенности
 Расследование инцидентов (DF, MA, IR)
 Мониторинг SOC
Постоянноесовершенствование
http://reply-to-all.blogspot.ru/2016/10/bis-summit.html

10. TH В ПРОЦЕССАХ SOC
Инвентаризация
Управление уязвимостями
Анализ угроз
Повышение осведомленности
Обнаружение атак
Управление инцидентами
Реагирование на инциденты
Анализ результатов и совершенствование
…
Обнаружение
необнаруживаемого
автоматически

11. ПОГОВОРИМ?
Sergey Soldatov, CISA, CISSP
Head of Security Operations Center