Threat Hunting
Aktywne polowanie na zagrożenia to praktyka proaktywnego monitorowania cyberzagrożeń niewykrytych w sieci organizacji

Threat Hunting to praktyka proaktywnego wyszukiwania cyber-zagrożeń, które mogą pozostać niewykryte w infrastrukturze. Takie podejście wykorzystują narzędzia do wykrywania zagrożeń, które pozwalają głęboką analiza stacyjną. Często dedykowane ataki ATP są ukierunkowane na podatności klienta i przekraczają niezauważone przez  początkowe systemy zabezpieczeń, zapory czy ochrony endpointowej. Nasi Threat Hunterzy analizują środowisko w taki sposób iż zakładają, że przeciwnicy są już w systemie, a następnie rozpoczynają dochodzenie w celu wyszukania nietypowego zachowania, które może wskazywać na obecność szkodliwej aktywności..

Taktyka polowania na zagrożenia. Przykłady najczęściej stosowanych taktyk:

Analiza wolumetryczna

icons8-data-protection-96-70x70

Zamiast objętości, analiza częstotliwości analizuje częstotliwość wystąpień, w szczególności ruch sieciowy zarówno na poziomie sieci, jak i hosta. W połączeniu z analizą wolumetryczną strategia ta może z powodzeniem identyfikować nietypowe wzorce często spotykane w sygnalizatorach złośliwego oprogramowania.

Analiza klastrów

icons8-hacker-100-1-70x70

Analiza skupień jest techniką analizy statystycznej. Analizuje zarówno cechy sieciowe, jak i hosta, aby zidentyfikować rzeczy, takie jak nietypowa liczba wystąpień typowych zachowań.

Aplikacje internetowe (webowe)

icons8-defense-96-70x70

Wykonujemy testy penetracyjne aplikacji webowych WordPress, Drupal, Joomla, Magento i wiele innych systemów gotowych. Ale nade wszystko, testujemy systemy dedykowane stworzone na wyłączny użytek naszych Klientów.

Webaplikacje to obecnie najczęściej występujący rodzaj systemów informatycznych i większość testów które prowadzimy, dotyczy technologii webowych, czyli opartych o przeglądarkę internetową (Google Chrome, Opera, Firefox Mozilla, Microsoft Edge).

Testy prowadzimy w oparciu o najlepszą wiedzę i doświadczenie własne oraz zgodnie z metodykami OWASP, OSSTMM, NIST.

Firmware (aplikacje wbudowane)

icons8-antivirus-100-1-70x70

Prowadzimy testy penetracyjne oprogramowania niskopoziomowego przygotowanego w C, C++.

Firmware to rodzaj oprogramowania wbudowany w urządzenia. Typowym przykładem jest BIOS płyty głównej lub sterownik macierzy dyskowych RAID. Ekspresy do kawy, system pomiaru ciśnienia w oponach samochodu, piekarnik, słup oświetleniowy ma swój firmware, który często zawiera błędy krytyczne umożliwiające nawet uszkodzenie urządzenia.
Prowadzimy testy dla każdego rodzaju firmware od przemysłu ciężkiego, przez utilities, automotive.

Narzędzia do Threat Hunting:

CyberChef

Pierwszy na liście niezawodnych narzędzi do polowania na zagrożenia jest CyberChef. Jest przeznaczony do analizy i dekodowania danych. Użytkownicy uwielbiają go za funkcję „przepisu”, która umożliwia inżynierom bezpieczeństwa sortowanie operacji, wejść, wyników i argumentów w „przepisy”.

Phishing Catcher

Phishing Catcher to narzędzie typu open source przeznaczone do identyfikacji domen phishingowych w czasie zbliżonym do rzeczywistego. Daje to możliwość szybciej identyfikacji domen typy Phishing co jest podstawowym kryterium oceny.

DNSTwist

DNSTwist to jedno z najpotężniejszych narzędzi do polowania na zagrożenia, które wychwytuje podejrzane domeny. Wykorzystuje szereg algorytmów fuzzingu do identyfikowania podejrzanych domen. To narzędzie może również identyfikować błędnie wpisane domeny, homoglify i międzynarodowe nazwy domen (IDN).

AttackerKB

AttackerKB to narzędzie, które zapewnia inżynierom bezpieczeństwa wszystko, co muszą wiedzieć, aby zrozumieć, zidentyfikować i uszeregować nowe i starsze luki w zabezpieczeniach wykrytych w infrastrukturze kontrahenta.

YARA

YARA to narzędzie z regułami, które są pozyskiwane przez kontrole bezpieczeństwa w celu wykrywania złośliwego oprogramowania. Zasady działają korzystnie w znajdowaniu określonego złośliwego oprogramowania, a nawet poufnych dokumentów firmowych.

HoneyPot

Honeypot to system zaprojektowany w celu zwabienia hakerów do ujawnienia ich pochodzenia i technik, i jest używany zarówno przez badaczy bezpieczeństwa, jak i korporacyjne IT. Może to być czysty system lub Honeypot o wysokiej interakcji.

Jak wykonujemy pantesty?

Atak kontrolowany

W porozumieniu i za wiedzą klienta na przygotowanym środowisku testowym, jeden  do jeden odpowiadającym środowisku produkcyjnemu. Wyłącznie na tym środowisku prowadzimy działania mające na celu odnalezienie podatności.

Zazwyczaj udaje nam się znaleźć podatności i przygotowujemy dla każdej z nich propozycję rozwiązania przez zastosowanie różnych metod, niekoniecznie technicznych.

Raport

Nasz raport zawiera zawsze propozycje albo gotowe rozwiązania umożliwiające naprawę podatności wraz z informacją o ocenie zagrożenia w skali od 1 do 10, dopasowaną do realiów Klienta.

Każda podatność jest określona poprzez opis merytoryczny oraz szacowanie ryzyka, również, po uzgodnieniu z Klientem  w obszarze wizerunkowym, organizacyjnym, formalnym  i finansowym.

Posiadamy kompetencje:

PWK-OSCP-badge
Certified-Ethical-Hacking
1_NA4zhkDOXk4Pp0rd_mwKEw