Memprediksi yang tak terduga – TechCrunch


Oleh Mat Gangwer, direktur senior respons ancaman terkelola di Sophos

Perburuan ancaman keamanan siber sama sekali tidak dapat diprediksi – itulah mengapa saya mencintai pekerjaan saya.

Pemburu ancaman berada di garis depan dalam memerangi penjahat dunia maya. Kami telah melihat dan menangani semuanya: dari level awal, penyerang tipe magang ke penyerang negara-bangsa yang sangat terorganisir dan didanai dengan baik. Aktor ancaman ini – yang paling pintar, paling tidak – akan melakukan serangan yang direncanakan dengan hati-hati selama jam-jam semalam atau pada akhir pekan, ketika mereka mengira tidak ada yang menonton. Sial bagi mereka, pemburu ancaman adalah menonton, dan kami selalu siap untuk menanggapi.

Jika berbicara tentang hari dalam kehidupan pemburu ancaman, tidak ada dua hari yang sama. Pada hari Senin tertentu, kami dapat menyelidiki serangan ransomware pada hari Minggu malam di Penyedia Layanan Internet, kemudian dengan cepat menghentikan semuanya untuk menanggapi serangan ransomware di rumah sakit di mana nyawa pasien dipertaruhkan, yang merupakan situasi hidup atau mati yang tim saya baru-baru ini menemukan dirinya berada di tengah-tengah ketika sebuah rumah sakit terpaksa ditutup setelah terkena ransomware Ryuk.

Selalu ada ancaman, serangan, dan kerentanan baru – yang semuanya perlu ditangani dengan cara berbeda tergantung pada penyerang dan taktik, teknik dan prosedur (TTP) mereka, dan lingkungan tempat kami bekerja. Kami tidak pernah tahu apa menarik satu utas pada akhirnya akan mengungkap. Tapi itulah sifat permainannya.

Pemburu ancaman mendambakan ketidakpastian itu. Itu yang menggairahkan kami, dan di mana kami unggul.

Terlepas dari kurangnya prediktabilitas, ada prinsip dan aturan dasar yang dipatuhi oleh pemburu ancaman agar tetap selangkah lebih maju dari penyerang. Bedrock inilah yang harus kita sandarkan dan andalkan menatap serangan ransomware bernilai jutaan dolar; mereka membimbing kita melalui serangan yang paling mengerikan untuk menghentikan musuh di jalur mereka.

Berikut empat pilar yang memandu pemburu ancaman sehari-hari:

1. Kita harus proaktif, sementara respon insiden lebih reaktif

Perburuan ancaman dan respons insiden saling melengkapi, tetapi sangat berbeda. Responden insiden melakukan pertarungan tangan kosong dengan musuh dunia maya. Merekalah yang menyelidiki lingkungan yang diketahui telah terinfeksi atau dilanggar dan mengetahui jenis TTP yang harus diwaspadai. Ini dalam banyak kasus berlaku surut.

Sebaliknya, para pemburu ancaman lebih proaktif. Peran kami lebih pada fungsi analitik, melihat data setiap hari, mengidentifikasi kelainan dalam data tersebut dan mengurai TTP yang digunakan.

Misalnya, apakah kita telah menangkap proses atau perintah baru di lingkungan? Apa saja eksekusi perintah yang paling umum dan paling tidak umum yang kami lihat? Apakah eksekusi yang kurang umum ini tampak berbahaya? Kami hanya dapat merespons setelah perburuan ancaman mengidentifikasi bendera merah tersebut dan / atau potensi serangan sedang dikerjakan.

Tugas kita adalah melakukan pemantauan 24/7 terhadap lingkungan pelanggan dan tetap selangkah lebih maju dari para penyerang: hidup di titik puncak serangan mutakhir, melakukan penelitian tentang metode serangan baru, dan melihat secara holistik pada properti pelanggan untuk apa pun yang terlihat. dari tempat.

2. Mengidentifikasi indikator serangan atau kompromi – terutama ketika mereka mengkooptasi alat yang sah

Indikator serangan (IoA) dan indikator kompromi (IoC) adalah tanda kami tentang lingkungan yang dikompromikan dan / atau serangan yang akan datang yang kami temukan di seluruh kumpulan data. Indikator ini sering kali khusus untuk grup ransomware tertentu karena penjahat dunia maya cenderung mengikuti pola yang sama – jika berhasil, mereka akan terus menjalankannya sampai berhenti efektif.

IoA dan IoC memiliki waktu paruh, karena pelaku ancaman pasti akan mengubah TTP mereka setelah mereka ditemukan. Jika itu terjadi, aturan dan logika yang kami buat untuk mendeteksi artefak ini, untuk mengidentifikasi ancaman dan aktivitas yang diketahui dari pelaku ancaman, menjadi usang. Pemburu ancaman harus gesit dalam mengetahui baik ketika indikator lama tidak lagi relevan dan membuat perubahan yang diperlukan terus-menerus pada aturan ini, sering kali melengkapinya dengan AI dan pembelajaran mesin untuk tetap menjadi yang terdepan.

Di depan itu, ada beberapa tanda umum yang kami perhatikan: utilitas yang banyak digunakan, aplikasi yang tinggal di luar negeri, perintah khusus dan alat pengintai seperti ADFind dan Nltest misalnya. Sebagian dari masalahnya adalah bahwa ini adalah file sah yang ada secara native sebagai bagian dari OS atau biasanya digunakan oleh administrator. Tim keamanan tidak bisa begitu saja menghentikan file-file ini setiap kali, karena mereka memang memiliki kegunaan yang sah, tetapi pada saat yang sama pemburu ancaman harus terus waspada tentang jika dan kapan mereka dikooptasi untuk melakukan pengintaian terhadap calon. jaringan korban.

Kami melihat ini bermain dengan serangan Maze tahun lalu. Ketika Sophos Mengelola Respons Ancaman Tim (MTR) dipanggil untuk membantu organisasi yang menghadapi a $ 15 juta serangan ransomware Maze, kami melihat bahwa pada hari-hari awal pelanggaran, penyerang menggunakan Advanced IP Scanner – alat pemindaian jaringan yang sah – untuk membuat daftar alamat IP yang akan mereka targetkan (termasuk yang dimiliki oleh administrator TI). Para penyerang melanjutkan untuk mengakses server file melalui Remote Desktop Protocol, memampatkan file di server itu dengan WinRAR dan 7zip, dan menyalinnya kembali ke pengontrol domain utama dengan Total Commander – semua alat yang sah digunakan untuk tujuan jahat. Ini adalah indikator yang harus diperhatikan oleh pemburu ancaman untuk mencegah terjadinya serangan.

3. Tidak ada respons ancaman yang cocok untuk semua

Meskipun grup ransomware dapat menggunakan TTP yang serupa – sebagian karena grup ini semakin banyak berbagi toolkit satu sama lain – setiap perburuan ancaman memerlukan tindakan yang berbeda. Sophos Intercept X memberi kita operasi satu klik sederhana yang mengisolasi host dari lingkungan lainnya. Itu memberi tim kami ruang bernafas untuk menentukan langkah selanjutnya, karena ketika Anda berurusan dengan musuh aktif, setiap detik Anda kembali ke waktu sangat penting. Jadi, mengisolasi aktivitas penyerang yang dicurigai pada sebuah host adalah tindakan respons yang cukup umum.

Tetapi tergantung pada seberapa luas gangguan itu, kita dapat melangkah lebih jauh dengan berbagai cara, termasuk tetapi tidak terbatas pada:

  • Mengaudit informasi login untuk menemukan akun yang disusupi, lalu menonaktifkan, menghapus, atau mengubah kredensial login tersebut
  • Menghapus atau menghentikan proses berbahaya yang berjalan pada sistem yang terkena dampak
  • Memeriksa persistensi atau file berbahaya lainnya yang tersisa di sistem

Dalam serangan Maze tersebut, karena pelanggan tidak menggunakan Sophos MTR untuk memulai, itu Respon Cepat Sophos Tim harus terlibat setelah kejadian tersebut, tetapi langkah yang sama masih diterapkan: mengidentifikasi akun admin yang disusupi, mengidentifikasi dan menghapus file berbahaya, dan memblokir perintah penyerang berikutnya dan komunikasi C2.

Pada akhirnya, taktik dan target perburuan ancaman yang berhasil sepenuhnya bergantung pada akses yang menurut kami dimiliki musuh. Dan sementara ada beberapa metode teruji dan benar yang dapat kita manfaatkan, pemburu ancaman juga harus bergantung pada tingkat intuisi dan pengalaman tertentu dalam mengetahui kapan harus mengubah metode ini karena situasi membutuhkannya.

4. Pekerjaan itu tidak pernah benar-benar selesai

Salah satu hal yang mengasyikkan tetapi sulit menjadi pemburu ancaman adalah perburuan tidak pernah berakhir. Setiap ancaman atau tanda bahaya atau tanda aktivitas abnormal yang kami deteksi dan netralkan hanyalah yang pertama dari garis ancaman yang tampaknya tak berujung.

Ini adalah ancaman yang sangat nyata bagi bisnis dari semua ukuran – tidak ada yang terlarang. Organisasi terus-menerus menghadapi risiko potensi serangan, dan itulah ruang utama yang perlu dioperasikan oleh pemburu ancaman.

Itulah mengapa keahlian berburu ancaman yang dipimpin manusia Sophos MTR dan Respon Cepat Sophos sangat penting.
Tindakan Sophos yang secepat kilat dan mengutamakan industri memasangkan keahlian pemburu ancaman manusia dengan pemantauan 24/7 untuk menggagalkan ancaman aktif, membersihkan jaringan pelanggan dari musuh siber, dan kemudian membuat mereka bangkit kembali dengan biaya minimal, kerusakan, dan waktu pemulihan.

Manfaat utama lainnya dari operasi berburu ancaman seperti ini dalam skala besar adalah bahwa begitu kami menemukan teknik atau alat baru yang digunakan penyerang, kami dapat segera mencarinya di semua pelanggan MTR lainnya, dan kemudian menerapkan deteksi otomatis untuk seluruh populasi pelanggan Sophos. .

Saat menghadapi iklim ketidakpastian yang konstan di sekitar serangan dunia maya, Sophos MTR dan Sophos Rapid Response memberikan keandalan dan prediktabilitas yang mereka butuhkan untuk tetap berada di atas ancaman bagi pemburu ancaman.

Posted By : http://airtogel.com/