O papel do Threat Hunting como um acelerador na resposta a incidentes de ransomware

Seguindo na esteira dos artigos desenvolvidos para lançar luz sobre a resposta aos incidentes que são realizados em nosso grupo, parece claro que as ações necessárias para a implantação de um ransomware com o máximo impacto desejado pelo atacante requerem diferentes fases e diferentes estados. de compromisso.

Essas fases começam com um primeiro comprometimento de um ativo da organização, do qual o adversário aproveita habilmente para ganhar poder sobre a infraestrutura e terminam implantando o dispositivo final encarregado de criptografar e deixar as notas de resgate.

Normalmente, a missão de um «Caçador de Ameaças» é focar na localização das fases anteriores que os adversários realizam (e quanto mais cedo essa fase for detectada, melhor) para poder resolver e / ou mitigar o incidente produzido com um impacto nulo ou muito minimizado. em relação ao que é um incidente de ransomware.

Então, como o Threat Hunting pode agregar valor quando o incidente já foi concluído?

Um catalisador na resposta

Um Threat Hunter é um analista especializado em investigar várias fontes de informações da infraestrutura da organização para extrair dados sobre ameaças. Essas ameaças são detectadas nas diferentes anomalias que um adversário causa na operação normal dos diferentes ativos. Anomalias que o «Threat Hunter» conhece e sabe detectar nas informações fornecidas por ferramentas como EDR, XDR, SIEM, UEBA, etc., que fornecem o contexto necessário para diferenciar o que é operação normal do que não é.

Se esse mesmo processo for adaptado para a resposta a um incidente, temos como resultado um fluxo de informações realimentado pelo compartilhamento das descobertas entre as diferentes funções. O que um forense pode ser investigado pelo Threat Hunter para ver no EDR ou SIEM como ele alcançou aquela máquina, de onde e em quantas outras máquinas ele foi visto. Dar, por sua vez, novas informações ao forense (feedback) sobre o curso do incidente, permitindo acelerar as diferentes linhas de investigação (e ajustar melhor a contenção, em muitos casos).

Ao repetir essas investigações com os dados obtidos pela equipe de Cyberinteligência (como vimos no post anterior), o Threat Hunter retornará ao restante da equipe as diferentes descobertas que ajudarão esta parte da equipe a avançar rapidamente na classificação de o adversário. Permitindo conhecer dados tão cruciais como se houvesse um site onde serão publicados dados roubados (vazamento de dados) pelos atacantes ou que outras ferramentas pudessem utilizar no cenário específico, já que em outros incidentes realizados por este mesmo grupo eles terá sido visto.

Mas não apenas permite que a equipe de resposta a incidentes avance mais rapidamente em suas respectivas tarefas. Ao investigar ativamente o comportamento das máquinas na organização e com os diferentes indicadores de comprometimento (IOCs) disponíveis, permite levantar rapidamente serviços nos quais se possa confirmar que não há afetação e o arranque seguro dos afetados bloqueando artefatos maliciosos já identificados por meio de EDR.

Atuando a partir do EDR para todos os ativos

Conforme mencionado acima, a resposta ao incidente é amplamente “centrada em EDR”. As ações realizadas pelo Threat Hunter nesta plataforma são variadas:

• Recuperación de evidencias. Gracias a un EDR, es posible conectar con las máquinas que interesen y recuperar información directamente desde ellas; permitie – Recuperação de provas. Graças a um EDR, é possível conectar-se com as máquinas de interesse e recuperar informações diretamente delas; permitindo obter artefatos sem a necessidade de usar o tempo de outros grupos técnicos da organização (dada a situação, eles geralmente têm uma carga de trabalho muito maior do que o normal)ndo obtener artefactos sin la necesidad de utilizar tiempo de otros grupos técnicos de la organización (dada la situación, suelen tener una carga de trabajo muy superior a la normal).
• Investigação de eventos. Um EDR também oferece telemetria nas máquinas nas quais o agente correspondente está sendo executado. Esta telemetria permite investigar as execuções de artefatos, entender sua criação, eliminar arquivos maliciosos, rastrear conexões criadas por cada processo executado e, entre outros, detectar a persistência de diferentes elementos de software ou malware. Tudo isso fornece um contexto operacional muito completo no qual os padrões de ataque podem ser estudados de forma otimizada.
• Isolamento de ativos. Conforme a telemetria é investigada, os ativos que exibem comportamento malicioso ou claramente suspeito podem ser isolados na rede; permitindo, por sua vez, o funcionamento normal daqueles elementos que não foram afetados.
• Bloqueio de IOCs e criação de regras. Dois dos resultados mais interessantes das investigações são os Indicadores de Compromisso (IOC em inglês) e as regras de comportamento que o adversário fez no incidente. Ambos os elementos podem ser facilmente configurados na plataforma para bloqueio automático e aviso. Portanto, se o adversário tivesse deixado uma bomba lógica ou mantido o acesso com alguma persistência que relançaria o ataque, ele seria automaticamente bloqueado pelo EDR já que esta configuração havia sido feita anteriormente.

Devolvendo o bastão para a organização

Durante a resposta ao incidente, a equipe líder garantirá que o adversário foi expulso com sucesso e que o incidente foi resolvido em todos os níveis.

Para tanto, o Threat Hunter ficará encarregado de supervisionar que as informações produzidas pelo sistema EDR «mostrem calma» e que nenhuma máquina da infraestrutura apresente nova atividade relacionada ao incidente.

Para isso, qualquer comportamento anômalo será monitorado e os diferentes alertas necessários serão configurados caso o incidente seja reproduzido ou uma máquina possa ter atividade (a fim de isolar essa atividade automaticamente e continuar com a recuperação).

Após um período de tempo razoável em que será verificado que não há nenhuma nova atividade relevante (normalmente um mês após o incidente), o trabalho do Threat Hunter será encerrado, devolvendo a testemunha à organização do cliente ou grupo de serviço EDR atribuído.