Tradicionalni pristup bezbednosti, zasnovan na pasivnom čekanju da antivirus prijavi problem, odavno je postao nedovoljan. Zamislite da je vaš kompjuterski sistem velika zgrada. Klasični sistemi zaštite su poput senzora pokreta i blindiranih vrata, uključe se tek kada neko pokuša da provali. Međutim, šta ako je napadač već unutra? Možda se ušunjao koristeći falsifikovanu propusnicu ili se predstavlja kao radnik na održavanju, krećući se tiho kroz hodnike.
Upravo tada se pojavljuje threat hunting, odnosno lov na uljeze. To nije čekanje na alarm, već aktivna, analitička i detektivska potraga za veštim provalnicima koji su nevidljivi za postojeće sisteme zaštite.
Šta je threat hunting (lov na uljeze)?
Threat hunting je proces koji se obavlja neprestano. Bezbednosni stručnjaci proveravaju da li je neko upao u mreže, sisteme i podatke. Polaze od pretpostavke da je napadač već prisutan u sistemu i da se skriva iza legitimnih procesa, korisničkih naloga i dozvoljenih aktivnosti. Samo je potrebno da pronađemo njegove tragove.
Za razliku od klasične bezbednosti koja reaguje na poznate obrasce napada, lov na digitalne uljeze se oslanja na analizu ponašanja, konteksta i odstupanja od uobičajenog rada sistema.
Kako i kada je nastao?
Lov na pretnje počinje da se oblikuje početkom 2010-ih godina, uporedo sa pojavom naprednih i dugotrajnih napada poznatih kao APT napadi. Veliki bezbednosni incidenti pokazali su da napadači mogu mesecima ili godinama ostati neprimećeni, čak i u strogo kontrolisanim okruženjima.
U početku su threat hunting sprovodile obaveštajne i vojne strukture, kao i velike tehnološke kompanije i finansijske institucije. Danas ga primenjuju interni SOC (centar za bezbednosne operacije) timovi, specijalizovani stručnjaci, kao i kompanije koje nude usluge odbrane od napada. Sve češće ga usvajaju i firme srednje veličine koje shvataju da dosadašnji način zaštite više nije dovoljan.
Umesto pitanja da li se desio napad, tragač polazi od pretpostavke da jeste. Ključno pitanje je da li se u sistemu dešava nešto što izgleda normalno, ali nije uobičajeno.
U savremenim napadima, naročito od druge polovine 2010-ih, napadači koriste automatizaciju i elemente veštačke inteligencije kako bi njihove aktivnosti ličile na izistinski rad administratora. Zbog toga se lov više ne bavi traženjem poznatih tragova malvera, već razumevanjem ponašanja. Svako ponašanje koje nije uobičajeno postaje sumnjivo.
Primeri iz stvarnog života
Jedan od prvih događaja koji je pokazao potrebu za ovakvim pristupom bio je slučaj Stuxnet, otkriven 2010. godine. Još tokom 2009. i početkom 2010. istraživači su primećivali neobjašnjive kvarove industrijskih kontrolnih sistema. Klasični bezbednosni alati nisu prijavljivali problem. Tek detaljnom analizom ponašanja sistema otkriven je malver koji je godinama niko nije primetio.
Drugi ključni primer predstavlja ugroženost softverskog lanca snabdevanja kompanije SolarWinds, koja se odvijala tokom 2019. i 2020. godine, a javno je razotkrivena krajem 2020. Napad nije otkriven zato što je antivirus reagovao, već zato što su bezbednosni timovi u velikim organizacijama primetili neuobičajene autentikacije i mrežne zahteve koji su dolazili iz legitimnog, digitalno potpisanog softvera. Upravo to neuobičajeno ponašanje dovelo je do istrage.
Sličan obrazac viđen je i tokom napada NotPetya iz 2017. godine. Iako je napad u početku ličio na ransomware (ucenjivanje) , organizacije koje su imale razvijenu praksu threat huntinga brzo su shvatile da malver neće da vrati podatke, čak i kada bismo mu platili.
Na operativnom nivou, naročito od 2018. godine nadalje, threat hunting se često svodi na jedva primetne anomalije. Na primer, administratorski nalog pristupa serverima u ranim jutarnjim satima sa geografske lokacije sa koje se taj korisnik nikada ranije nije prijavljivao. Nije se upalio alarm, antivirusni softver se nije oglasio, ali postoji neko čudno ponašanje u sistemu.
Od 2020. godine do danas sve je učestaliji i takozvani pristup „living off the land“, gde napadači koriste ugrađene sistemske alate poput PowerShell-a, WMI-ja ili sistemskog raspoređivača zadataka. Pošto su to legitimni alati, koji se koriste neprestano, nije se upalila nijedna crvena lampica. Lovci, međutim, analiziraju učestalost komandi, njihov redosled i kontekst izvršavanja i na osnovu toga otkrivaju da sistem ne koristi administrator, već neko ko se samo tako predstavlja.
Znanja i veštine neophodne za ovo zanimanje
Uspešan threat hunting zahteva duboko razumevanje operativnih sistema, naročito Windowsa i Linuxa, uključujući procese, registre, servise i upravljanje memorijom. Neophodno je i temeljno poznavanje mrežnih protokola, jer se gotovo svaki napad odvija preko mreže.
Analiza logova predstavlja centralnu veštinu. Svaka akcija ostavlja trag, a zadatak lovca je da te tragove poveže u smislenu celinu. Skriptovanje i automatizacija, kroz jezike poput Pythona ili PowerShell-a, omogućavaju obradu ogromnih količina podataka koje nije moguće ručno analizirati.
Alati i metodologije
Lov na pretnje prati jasne metodološke okvire. Frameworki poput PEAK-a pomažu u strukturisanju procesa, dok MITRE ATT&CK matrica služi kao mapa tehnika i taktika koje napadači koriste.
Među alatima se ističu sistemi za centralizaciju logova, kao i alati za forenzičko ispitivanje krajnjih tačaka, poput Velociraptora, koji omogućava brz uvid u stanje velikog broja računara u mreži.
Pogledajte ovaj spisak alata za nadziranje i lov na uljeze: https://github.com/0x4D31/awesome-threat-detection
Novi izazovi: veštačka inteligencija i AI iz senke
U poslednjih nekoliko godina pojavljuju se autonomni napadi u kojima mali AI agenti samostalno donose odluke i prilagođavaju se odbrani u realnom vremenu. Kao odgovor, i lovci sve češće koriste AI asistente u analizi događaja.
Poseban izazov predstavlja i Shadow AI, odnosno neovlašćeno korišćenje javnih AI alata od strane zaposlenih. Poverljive informacije se sve češće izlažu kroz promptove, što lov na pretnje proširuje i na domene koji ranije nisu postojali.
Tehnologija se menja, napadači su sve prevejaniji, ali suština lova na uljeze ostaje ista. Radoznalost, analitičko razmišljanje, zdrav razum i sumnjičavost sada su neizostavni. Nijedan automatizovani sistem ne može u potpunosti zameniti ljudsku sposobnost da poveže naizgled nepovezane signale i uoči uljeza koji se savršeno uklopio u sistem.