The data, or the results found here were tested in controled environment, may or may not correspond to a real life situations. My employer has nothing to do with it =D
Motivação
CyberKill - Chain
Recon
Weapon
Delivery
Exploitation
Lateral Movement
Command &Control
Objectives
ATT & CK
Threat Hunting
Assumir uma postura Pró-ativa, buscando sistematicamente por atacantes e ou vestígios de ataques na rede.
Objetivo: Diminuir o Dwell time.
Dwell time
Quebra de Paradigma
Hunting é uma abordagem baseada em hipóteses!
1° você já foi ownado!
E, nenhuma de suas ferramentas detectou. =(
Threat Hunting
Porque? aumenta a possibilidade de encontrar um ataque não conhecido.
Modelagem de Ameaças
Aceita: Você não pode se proteger de tudo, nem mesmo 100% de algo.
Criminosos
Governos
Hacktivistas
Insiders
Open season! know your tools
O que precisamos para caçar?
Dados- muitos dados de diversas fontes
Tempo - Caçar toma tempo
Sources!
Fontes de Informações variadas! (BigData)
Estes dados, precisam ser organizados, enriquecidos e classificados
Onde caçar?
Network based
Host based
Fontes de Dados
Usuarios e grupos do AD
Informações do RH.(CSV, YAML)
Logs de Proxy (Squid)
Classificação dos Domínios acessados (MyWot)
Threat Intel = IOC - CriticalStack, AlienVault
Alertas de Sensores de Prevenção de Intrusão(Bro, Suricata, Snort)
Pipeline automático para análise de Malware
http://github.com/trendmicro/aleph.git
Cuckoo!
Análise dinâmica de arquivos maliciosos
Extração de hashs
Extração de URLs, endereços IP
Comportamento
Making Sense to all we collect!
Elastic!
ElasticSearch, Logstash, Kibana entre outros...
Fácil deploy - escalável.
Logstash
Logstash - Enrichement
Utilizar plugins como Geoip para adicionar informações geográficas.
ThreatIntel - Fontes como CriticalStack e AlienVault
Informações de Rede e segmentos com CIDR
ElasticSearch
Servidor de Buscas - Indexa seus dados
Kibana
Plugin pro Elasticsearch !
Lets Hunt!
ThreatHunting - Técnicas
Data Stacking
Tracking
ThreatHunting - Beaconing
Análise da distribuição de frequência dos dados.
Stacking URL. Qual host repete mais a URL?
ThreatHunting - Stacking
Stacking User-agents do Browser. Quais são os mais e menos relevantes?
ThreatHunting - Padrões
GET com palavras estranhas.
ThreatHunting - Tracking
What about lateral movements?!
RDP, SSH, SMB [Netflow] + Auditd Logs/EventID + credenciais
What to do?
Mitigação dos problemas encontrados.
Documentação do processo.
Automação
Glória
juPyter
ElasticAlert
Como sei que fui bem sucedido?
Descobrir algo novo sobre sua própria rede.
Cria novas formas de detectar atacantes
Acha um atacante na sua rede!
Lembra do ciclo? - automatize
Conclusões
Threat Hunting pode ser feitos com ferramentas opensource, baixo custo
Modelagem de Ameaça e Siga o fluxo de informação!
Diminuir riscos, Dwell Time, Métricas & relatórios