BLOG

Detection engineering, czyli jak chronić firmę, kiedy systemy monitorowania zawodzą

Ula Rydiger
Ula Rydiger
26/02/2025
Detection engineering

Często zdarza się, że oprogramowanie szpiegujące, zwłaszcza klasy InfoStealer, nie jest automatycznie wykrywane przez systemy monitorowania bezpieczeństwa, typu EDR, NGFW, czy NDR. Tworzenie nowych reguł detekcji pozwala organizacjom wykrywać te zagrożenia.

Czym jest detection engineering?

Detection engineering to proces tworzenia reguł detekcji, którego celem jest uzupełnienie braków w istniejących mechanizmach detekcji i wzmocnienie bezpieczeństwa organizacji.

Dzięki detection engineering organizacje mogą wychwycić zagrożenie na znacznie wcześniejszym etapie, a czasem nawet zapobiec jego wystąpieniu, zanim spowoduje jakiekolwiek szkody.

Mówiąc krótko, dzięki inżynierii detekcji zwiększamy nasze możliwości w identyfikowaniu zagrożeń, które mogłyby zostać przeoczone.

Threat intelligence, threat hunting i detection engineering – kompleksowy system wykrywania zagrożeń

Detection Engineering nie istnieje w izolacji. Aby skutecznie go wdrożyć, niezbędne są dwa inne elementy: Threat Hunting (TH) oraz Cyber Threat Intelligence (CTI). Te trzy procesy są ze sobą ściśle powiązane i wspierają się nawzajem, tworząc kompleksowy system wykrywania zagrożeń.

Threat intelligence dostarcza kontekstu na temat potencjalnych zagrożeń na rynku i pomaga w opracowywaniu strategii ochrony. Ma na celu przewidywanie, gdzie i jak mogą wystąpić zagrożenia, dostarczając organizacji informacji o trendach zagrożeń i metodach działania cyberprzestępców.

Threat hunting to proaktywne podejście do wykrywania zagrożeń, które, wykorzystując wiedzę zdobytą na etapie CTI, koncentruje się na aktywnym poszukiwaniu śladów ataków w sieci i systemach organizacji. Celem tego procesu jest znalezienie zagrożeń, które mogły umknąć automatycznym mechanizmom detekcji. W dużym uproszczeniu threat hunting opiera się na poszukiwaniu zagrożeń, które już znajdują się w systemach organizacji, natomiast detekcja służy do wykrywania tych samych zagrożeń w przyszłości, na wczesnym etapie lub zanim wystąpią. Detection engineering to automatyczny threat hunting.

Warto wspomnieć również o roli DFIR, czyli procesu reakcji na incydent, który obejmuje analizę śledczą mającą na celu ustalenie przebiegu zdarzenia, wektora ataku, zakresu strat oraz technik i taktyk używanych przez atakujących. Na podstawie doświadczeń zebranych w trakcie analizy faktycznych poważnych ataków przeprowadzonych u klientow możliwe jest tworzenie nowych reguł detekcji.

Procesy takie jak CTI, TH i detection engineering to stosunkowo nowe zagadnienia, które wciąż nie są w pełni udokumentowane i usystematyzowane. Organizacje muszą aktywnie budować i rozwijać wiedzę w tym zakresie, aby skutecznie zarządzać i przeciwdziałać współczesnym zagrożeniom.

Proces detection engineering

Pierwszym krokiem w procesie detection engineering jest ustalenie hipotezy (potwierdzenie lub zaprzeczenie, że dany atak wystąpił w naszej sieci). Aby zapytanie mogło przynieść efektywne wyniki, systemy muszą dysponować odpowiednimi danymi, które pozwolą inżynierom bezpieczeństwa wykryć to zagrożenie. Specjaliści muszą również ustalić, czy są w stanie sformułować w systemach cyberbezpieczeństwa takie zapytanie, które pozwoli wykryć ten atak.

Mając powyższe informacje, eksperci mogą zautomatyzować zapytanie i przeprowadzić proces detekcji.

Na tym nie koniec. Detekcja wymaga częstego tuningu, czyli dostrajania reguł detekcji do środowiska organizacji w celu wyeliminowania fałszywych alarmów. Niezbędne jest też posiadanie środowiska testowego (laboratorium), w którym można eksperymentować i weryfikować nowe metody detekcji.

Proces detection engineering w SOC360

Wśród usług oferowanych przez 4Prime IT Security znajduje się wsparcie analityków Security Operations Center. Lata doświadczeń w tym zakresie pozwoliły nam na wypracowanie procesu detection engineering przebiegającego według następujących kroków:

  1. Analiza nowych technik ataków pod kątem możliwości ich wykrycia przez wbudowane mechanizmy detekcji systemów oraz analiza potrzeb detekcji wskazanych przez klienta.

  2. Identyfikacja zestawów danych niezbędnych do skutecznego działania detekcji.

  3. Opracowanie reguł detekcji dla technik ataków i opracowywanie detekcji dla systemów monitorowanych przez SOC360, na podstawie rezultatów uzyskanych w wyniku procesów CTI i threat hunting.

  4. Testowanie reguł detekcji.

  5. Tuning detekcji – dostrajanie reguł detekcji do środowiska organizacji w celu wyeliminowania fałszywych alarmów.

  6. Dystrybucja i utrzymanie detekcji.

  7. Dokumentacja reguł detekcji obejmująca:

    a. Opis wykrywanych technik z odwzorowaniem w matrycy MITRE ATT&CK.

    b. Opis techniczny mechanizmu detekcji.

    c. Opis rekomendowanych działań w przypadku wykrycia zdarzeń opisanych detekcją.

    d. Implementację detekcji w systemach klienta.

    e. Konfigurację powiadomień i akcji dostępnych w systemach klienta.

Wyzwania związane z prowadzeniem procesu detection engineering

By system detekcji działał efektywnie, konieczne jest, aby był on częścią szerszej strategii bezpieczeństwa, która obejmuje zarówno procesy reaktywne, jak i proaktywne – takie jak wspomniane threat hunting i threat intelligence.

Niezbędny jest również dostęp do odpowiednich narzędzi i danych, które umożliwiają skuteczne monitorowanie zagrożeń (EDR, NDR, SIEMy). Bez nich skuteczny detection engineering nie będzie możliwy.

Kluczowym wyzwaniem są także kompetencje w zespole. Operacje zabezpieczeń wymagają wiedzy na temat taktyk, technik i procedur stosowanych przez sprawców zagrożeń oraz umiejętności przekształcenia tej wiedzy w skuteczne strategie detekcji.

Usługa SOC360

Dzięki procesom DFIR , CTI, threat hunting oraz detection engineering, zespół SOC360 potrafi skutecznie reagować na zagrożenia, analizować ataki i tworzyć reguły detekcji na podstawie rzeczywistych incydentów.

Dodatkowym atutem usługi SOC360 jest fakt, że doświadczenia zdobywane w trakcie codziennej obsługi incydentów u różnych klientów pozwalają nam na wyciąganie wniosków i ulepszanie wszystkich mechanizmów detekcji.

Ponadto wykorzystujemy dane telemetryczne z endpointów (EDR) oraz pracujemy na jednej linii wsparcia, co pozwala nam szybciej reagować i skuteczniej zarządzać incydentami.

Wszystko to razem sprawia, że jesteśmy w stanie efektywnie wykrywać nowe techniki ataków.

Skontaktuj się z nami i dowiedź się więcej o naszej ofercie.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.

Autor tekstu:
Ula Rydiger
Ula Rydiger , Head of Marketing , 4Prime IT Security

Czytaj również

Cyber Threat Intelligence

SOC

Threat Intelligence

Czym jest Cyber Threat Intelligence i jak wspiera organizacje w ochronie przed zagrożeniami

Threat hunting

SOC

Threat hunting – proaktywna strategia cyberbezpieczeństwa firmy

DFIR

SOC

DFIR: Proces informatyki śledczej i reagowania na incydenty

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.