ማስፈራሪያ አደን ፣ ወይም እራስዎን ከ5% አደጋዎች እንዴት እንደሚከላከሉ

95% የመረጃ ደህንነት ስጋቶች ይታወቃሉ እና እንደ ቫይረስ፣ ፋየርዎል፣ መታወቂያ፣ WAF የመሳሰሉ ባህላዊ መንገዶችን በመጠቀም እራስዎን ከነሱ መጠበቅ ይችላሉ። የተቀሩት 5% ማስፈራሪያዎች የማይታወቁ እና በጣም አደገኛ ናቸው። እነርሱን ለማግኘት በጣም አስቸጋሪ ስለሆነ እና እንዲያውም የበለጠ እነሱን ለመከላከል ለኩባንያው አደጋ 70% ያህሉ ናቸው. ምሳሌዎች "ጥቁር ስዋኖች" የ WannaCry፣ NotPetya/ExPetr ransomware፣ cryptominers፣ Stuxnet “cyber weapon” (የኢራንን የኒውክሌር ፋሲሊቲዎች ያጋጠመው) እና ብዙዎች (ሌላ ሰው ኪዶ/ኮንፊከርን ያስታውሳል?) ሌሎች ጥቃቶች ከጥንታዊ የጥበቃ ዘዴዎች በደንብ ያልተጠበቁ ወረርሽኞች ናቸው። የዛቻ አደን ቴክኖሎጂን በመጠቀም እነዚህን 5% ስጋቶች እንዴት መከላከል እንደምንችል መነጋገር እንፈልጋለን።

የሳይበር ጥቃቶች ቀጣይነት ያለው ዝግመተ ለውጥ የማያቋርጥ ፍለጋ እና የመከላከያ እርምጃዎችን ይፈልጋል፣ ይህም በመጨረሻ በአጥቂዎች እና በተከላካዮች መካከል ማለቂያ የሌለው የጦር መሳሪያ ውድድር እንድናስብ ያደርገናል። ክላሲካል ሴኪዩሪቲ ሲስተምስ ተቀባይነት ያለው የደህንነት ደረጃ ማቅረብ አይችሉም ፣ በዚህ ጊዜ የአደጋው ደረጃ የኩባንያውን ቁልፍ ጠቋሚዎች (ኢኮኖሚያዊ ፣ ፖለቲካዊ ፣ መልካም ስም) ላይ ተጽዕኖ አያሳድርም ፣ ግን ለአንድ የተወሰነ መሠረተ ልማት ሳይሻሻሉ ፣ ግን በአጠቃላይ እነሱ በከፊል ይሸፍናሉ ። አደጋዎች. ቀድሞውኑ በአተገባበር እና በማዋቀር ሂደት ውስጥ, ዘመናዊ የመከላከያ ስርዓቶች በመያዝ ሚና ውስጥ ናቸው እና ለአዲሱ ጊዜ ተግዳሮቶች ምላሽ መስጠት አለባቸው.

ምንጭ

የዛቻ አደን ቴክኖሎጂ ለኢንፎርሜሽን ደህንነት ባለሙያ ለዘመናችን ተግዳሮቶች አንዱ መልስ ሊሆን ይችላል። አስጊ አደን (ከዚህ በኋላ TH ተብሎ የሚጠራው) የሚለው ቃል ከበርካታ ዓመታት በፊት ታየ። ቴክኖሎጂው ራሱ በጣም አስደሳች ነው, ነገር ግን እስካሁን ድረስ በአጠቃላይ ተቀባይነት ያላቸው ደረጃዎች እና ደንቦች የሉትም. በተጨማሪም ጉዳዮችን የሚያወሳስበው የመረጃ ምንጮች ልዩነት እና አነስተኛ ቁጥር ያላቸው የሩሲያ ቋንቋ የመረጃ ምንጮች በዚህ ርዕስ ላይ ነው. በዚህ ረገድ እኛ በ LANIT-Integration የዚህን ቴክኖሎጂ ግምገማ ለመጻፍ ወስነናል.

አስፈላጊነት

TH ቴክኖሎጂ በመሠረተ ልማት ቁጥጥር ሂደቶች ላይ የተመሰረተ ነው. ሁለት ዋና የውስጥ ክትትል ሁኔታዎች አሉ - ማንቂያ እና አደን. ማንቂያ (በ MSSP አገልግሎት ዓይነት) ቀደም ሲል የተገነቡ ፊርማዎችን እና የጥቃቶችን ምልክቶች መፈለግ እና ለእነሱ ምላሽ መስጠት የተለመደ ዘዴ ነው። ይህ ሁኔታ በተሳካ ሁኔታ የሚከናወነው በባህላዊ ፊርማ ላይ በተመሰረቱ የመከላከያ መሳሪያዎች ነው። አደን (MDR አይነት አገልግሎት) "ፊርማዎች እና ደንቦች ከየት መጡ?" የሚለውን ጥያቄ የሚመልስ የክትትል ዘዴ ነው. የተደበቁ ወይም ከዚህ ቀደም ያልታወቁ ጠቋሚዎችን እና የጥቃት ምልክቶችን በመተንተን የግንኙነት ህጎችን የመፍጠር ሂደት ነው። የዛቻ አደን ባለቤት የሆነው የዚህ አይነት ክትትል ነው።

ወደ ተስማሚ ጥበቃ የምንቀርበው ሁለቱንም የክትትል ዓይነቶች በማጣመር ብቻ ነው፣ ነገር ግን ሁልጊዜ የተወሰነ ደረጃ ያለው ቀሪ ስጋት አለ።

ሁለት ዓይነት ክትትልን በመጠቀም ጥበቃ

እና ለምን TH (እና በአጠቃላይ አደን!) የበለጠ እና የበለጠ ተዛማጅነት ያለው የሚሆነው፡-

ማስፈራሪያዎች, መከላከያ ዘዴዎች, አደጋዎች. ምንጭ

95% የሚሆኑት ስጋቶች ቀድሞውኑ በደንብ ተረድተዋል።. እነዚህ እንደ አይፈለጌ መልዕክት፣ DDoS፣ ቫይረሶች፣ rootkits እና ሌሎች ክላሲክ ማልዌር ዓይነቶችን ያካትታሉ። በተመሳሳይ ክላሲካል የጥበቃ ዘዴዎች እራስዎን ከእነዚህ ማስፈራሪያዎች መጠበቅ ይችላሉ።

በማንኛውም ፕሮጀክት ወቅት 20% የሚሆነው ጊዜ 80% ስራውን በመስራት ላይ ይውላል, እና ቀሪው 20% ስራው 80% ጊዜ ይወስዳል. በተመሳሳይ መልኩ ከጠቅላላው የአስጊ ሁኔታ ገጽታ መካከል 5% የሚሆኑት አዳዲስ የማስፈራሪያ ዓይነቶች ለኩባንያው ያለውን አደጋ 70% ይወክላሉ. የኢንፎርሜሽን ደህንነት አስተዳደር ሂደቶች በተደራጁበት ኩባንያ ውስጥ የታወቁትን ስጋቶች 30% በአንድ መንገድ ወይም በሌላ መንገድ በማስቀረት (ገመድ አልባ ኔትወርኮችን በመርህ ደረጃ ውድቅ በማድረግ) በመቀበል (አስፈላጊ የደህንነት እርምጃዎችን በመተግበር) ወይም በመቀየር (ለምሳሌ) መቆጣጠር እንችላለን። , በተዋሃዱ ትከሻዎች ላይ) ይህ አደጋ. እራስህን ጠብቅ ዜሮ-ቀን ተጋላጭነቶችየ APT ጥቃቶች፣ ማስገር፣ የአቅርቦት ሰንሰለት ጥቃቶች፣ የሳይበር-ስለላ እና ሀገራዊ ኦፕሬሽኖች ፣ እንዲሁም ከብዙ ቁጥር ያላቸው ጥቃቶች ፣ ቀድሞውኑ በጣም ከባድ ነው። የእነዚህ 5% ስጋቶች መዘዞች የበለጠ ከባድ ይሆናሉ (ከቡህትራፕ ቡድን አማካይ የባንክ ኪሳራ 143 ሚሊዮን ነው።) የጸረ-ቫይረስ ሶፍትዌር ከሚያድናቸው አይፈለጌ መልእክት ወይም ቫይረሶች ከሚያስከትላቸው ውጤቶች ይልቅ።

ሁሉም ሰው ማለት ይቻላል 5% አደጋዎችን መቋቋም አለበት። በቅርቡ፣ ከPEAR (PHP Extension and Application Repository) ማከማቻ መተግበሪያን የሚጠቀም አንድ ክፍት ምንጭ መፍትሄ መጫን ነበረብን። ይህን መተግበሪያ በpear install ለመጫን የተደረገው ሙከራ አልተሳካም ምክንያቱም ድር ጣቢያ አልተገኘም (አሁን ቀድሞውንም ድስት አለው)፣ ከ GitHub መጫን ነበረብኝ። እና በቅርቡ PEAR ተጠቂ ሆነ የአቅርቦት ሰንሰለት ጥቃቶች.

አሁንም ማስታወስ ትችላለህ ሲክሊነርን በመጠቀም ማጥቃት፣ የNePetya ransomware ወረርሽኝ በታክስ ሪፖርት ማቅረቢያ ሶፍትዌር ማሻሻያ ሞዱል በኩል ሜዶክ. ስጋቶች ከጊዜ ወደ ጊዜ እየተራቀቁ ናቸው, እና ምክንያታዊ ጥያቄ ይነሳል - "እነዚህን 5% ስጋቶች አሁንም እንዴት መቋቋም ይችላሉ?"

የዛቻ አደን ፍቺ

ስለዚህ፣ ዛቻ አደን በባህላዊ የጥበቃ ዘዴዎች ሊገኙ የማይችሉ የላቁ ስጋቶችን የነቃ እና ተደጋጋሚ ፍለጋ እና የማወቅ ሂደት ነው። የላቁ ስጋቶች ለምሳሌ እንደ APT ያሉ ጥቃቶች፣ በ0-ቀን ተጋላጭነቶች ላይ የሚደረጉ ጥቃቶች፣ ከመሬት ላይ መኖር እና የመሳሰሉትን ያካትታሉ።

እንዲሁም TH መላምቶችን የመሞከር ሂደት ነው ተብሎ ሊተረጎም ይችላል። ይህ በአብዛኛው በእጅ የሚሰራ ሂደት ሲሆን ተንታኙ በእውቀታቸው እና በክህሎታቸው በመተማመን ስለ አንድ የተወሰነ ስጋት መገኘት መጀመሪያ ላይ ከተገለጸው መላምት ጋር የሚዛመዱ የስምምነት ምልክቶችን ለመፈለግ ብዙ መረጃዎችን የሚያጣራበት። የእሱ ልዩ ባህሪ የተለያዩ የመረጃ ምንጮች ናቸው.

ማስፈራሪያ አደን አንድ ዓይነት የሶፍትዌር ወይም የሃርድዌር ምርት እንዳልሆነ ልብ ሊባል ይገባል። እነዚህ በአንዳንድ መፍትሄዎች ሊታዩ የሚችሉ ማንቂያዎች አይደሉም። ይህ IOCs (የማግባባት መለያዎች) የመፈለግ ሂደት አይደለም። ይህ ደግሞ ያለ የመረጃ ደህንነት ተንታኞች ተሳትፎ የሚካሄድ የሆነ ተገብሮ እንቅስቃሴ አይደለም። ዛቻ አደን በመጀመሪያ እና ከሁሉም በላይ ሂደት ነው.

የአደጋ አደን አካላት

የአስጊ አደን ሶስት ዋና ዋና ክፍሎች፡ መረጃ፣ ቴክኖሎጂ፣ ሰዎች።

ውሂብ (ምን?)ትልቅ ዳታ ጨምሮ። ሁሉም አይነት የትራፊክ ፍሰቶች፣ ያለፉት ኤፒቲዎች መረጃ፣ ትንታኔዎች፣ የተጠቃሚ እንቅስቃሴ ውሂብ፣ የአውታረ መረብ ውሂብ፣ የሰራተኞች መረጃ፣ በጨለማ ድር ላይ ያለ መረጃ እና ሌሎችም።

ቴክኖሎጂ (እንዴት?) ይህንን ውሂብ ማቀናበር - የማሽን መማርን ጨምሮ ይህንን ውሂብ ለማስኬድ ሁሉም ሊሆኑ የሚችሉ መንገዶች።

ሰዎች (ማን?) - የተለያዩ ጥቃቶችን በመተንተን ሰፊ ልምድ ያካበቱ፣ የዳበረ ግንዛቤ እና ጥቃትን የመለየት ችሎታ ያላቸው። ብዙውን ጊዜ እነዚህ መላምቶችን ማመንጨት እና የእነሱን ማረጋገጫ ማግኘት የሚችሉ የመረጃ ደህንነት ተንታኞች ናቸው። የሂደቱ ዋና ዋና ነገሮች ናቸው.

ሞዴል PARIS

አዳም ባተማን ይገልጻል የፓሪስ ሞዴል ለትክክለኛው TH ሂደት። ስሙ፣ ልክ እንደ ፈረንሣይ ታዋቂው ምልክት ይጠቁማል። ይህ ሞዴል በሁለት አቅጣጫዎች ሊታይ ይችላል - ከላይ እና ከታች.

ማስፈራሪያዎችን በማደን ሂደት ውስጥ ፣ ሞዴሉን ወደ ላይ በማንሳት ፣ የተንኮል-አዘል እንቅስቃሴዎችን ብዙ ማስረጃዎችን እናስተናግዳለን። እያንዳንዱ የማስረጃ ክፍል እርግጠኛነት የሚባል መለኪያ አለው፣ የዚያን ማስረጃ ክብደት የሚያንፀባርቅ ባህሪይ አለው። "ብረት" አለ ፣ የተንኮል አዘል እንቅስቃሴ ቀጥተኛ ማስረጃ ፣ በዚህ መሠረት ወዲያውኑ ወደ ፒራሚዱ አናት ላይ ልንደርስ እና ስለ አንድ የታወቀ ኢንፌክሽን ትክክለኛ ማንቂያ መፍጠር እንችላለን። እና ቀጥተኛ ያልሆነ ማስረጃ አለ, ድምርቱም ወደ ፒራሚዱ አናት ሊመራን ይችላል. እንደተለመደው ከቀጥታ ማስረጃዎች የበለጠ ብዙ ቀጥተኛ ያልሆኑ ማስረጃዎች አሉ ይህም ማለት እነሱ መደርደር እና መተንተን አለባቸው, ተጨማሪ ምርምር መደረግ አለበት, እና ይህንን በራስ-ሰር እንዲሰራ ይፈለጋል.

PARIS ሞዴል. ምንጭ

የአምሳያው የላይኛው ክፍል (1 እና 2) በአውቶሜሽን ቴክኖሎጂዎች እና በተለያዩ ትንታኔዎች ላይ የተመሰረተ ነው, እና የታችኛው ክፍል (3 እና 4) ሂደቱን በሚቆጣጠሩት የተወሰኑ መመዘኛዎች ላይ የተመሰረተ ነው. ከላይ ወደ ታች የሚንቀሳቀሰውን ሞዴል መመልከት ይችላሉ, በሰማያዊው ቀለም አናት ላይ ከባህላዊ መከላከያ መሳሪያዎች (ፀረ-ቫይረስ, ኢዲአር, ፋየርዎል, ፊርማዎች) በከፍተኛ እምነት እና እምነት እና ከአመላካቾች በታች ( IOC፣ URL፣ MD5 እና ሌሎች)፣ እርግጠኝነት ዝቅተኛ ደረጃ ያላቸው እና ተጨማሪ ጥናት የሚያስፈልጋቸው። እና ዝቅተኛው እና በጣም ወፍራም ደረጃ (4) መላምቶችን ማመንጨት ፣ ለባህላዊ የመከላከያ ዘዴዎች ሥራ አዳዲስ ሁኔታዎችን መፍጠር ነው። ይህ ደረጃ በተጠቀሱት የመላምት ምንጮች ብቻ የተወሰነ አይደለም። ዝቅተኛው ደረጃ, ተጨማሪ መስፈርቶች በተንታኙ ብቃት ላይ ይቀመጣሉ.

ተንታኞች ውሱን የሆነ አስቀድሞ የተገለጹ መላምቶችን ብቻ መፈተሽ ብቻ ሳይሆን አዳዲስ መላምቶችን እና እነሱን ለመፈተሽ አማራጮችን ለማፍለቅ ያለማቋረጥ መስራታቸው በጣም አስፈላጊ ነው።

TH አጠቃቀም ብስለት ሞዴል

ተስማሚ በሆነ ዓለም ውስጥ TH ቀጣይነት ያለው ሂደት ነው። ነገር ግን፣ ምንም ዓይነት ተስማሚ ዓለም ስለሌለ፣ እስቲ እንመርምር የብስለት ሞዴል እና ከሰዎች, ሂደቶች እና ቴክኖሎጂዎች አንጻር ዘዴዎች. ተስማሚ የሉል ቲኤች ሞዴልን አስቡበት። ይህንን ቴክኖሎጂ ለመጠቀም 5 ደረጃዎች አሉ። በአንድ የተንታኞች ቡድን የዝግመተ ለውጥ ምሳሌ ላይ እንደ ምሳሌ እንመልከት።

የብስለት ደረጃዎች
ሕዝብ
ሂደቶች
የቴክኖሎጂ

0 ደረጃ
የኤስኦሲ ተንታኞች
24/7
ባህላዊ መሳሪያዎች;

ባህላዊ
ማንቂያ ተዘጋጅቷል።
ተገብሮ ክትትል
IDS፣ AV፣ Sandboxing፣

ያለ TH
ከማንቂያዎች ጋር በመስራት ላይ

የፊርማ ትንተና መሳሪያዎች, ስጋት ኢንተለጀንስ ውሂብ.

1 ደረጃ
የኤስኦሲ ተንታኞች
የአንድ ጊዜ TH
ኢ.ዲ.

የሙከራ
የፎረንሲክስ መሰረታዊ እውቀት
IOC ፍለጋ
ከአውታረ መረብ መሳሪያዎች የውሂብ ከፊል ሽፋን

ሙከራዎች ከ TH
ስለ አውታረ መረቦች እና መተግበሪያዎች ጥሩ እውቀት

ከፊል መተግበሪያ

2 ደረጃ
ጊዜያዊ ሥራ
Sprints
ኢ.ዲ.

በየጊዜው
የፎረንሲክስ መካከለኛ እውቀት
በወር በሳምንት
ሙሉ መተግበሪያ

ጊዜያዊ TH
ስለ አውታረ መረቦች እና መተግበሪያዎች በጣም ጥሩ እውቀት
መደበኛ TH
የEDR ውሂብ አጠቃቀም ሙሉ አውቶማቲክ

የላቁ EDR ባህሪያትን በከፊል መጠቀም

3 ደረጃ
የተሰጠ TH ትዕዛዝ
24/7
TH መላምቶችን የመሞከር ከፊል ችሎታ

መከላከል
እጅግ በጣም ጥሩ የፎረንሲክስ እና ማልዌር እውቀት
መከላከያ TH
የላቁ የEDR ባህሪያትን ሙሉ በሙሉ መጠቀም

ልዩ ጉዳዮች TH
ስለ አጥቂው ጎን በጣም ጥሩ እውቀት
ልዩ ጉዳዮች TH
ከአውታረ መረብ መሳሪያዎች ሙሉ የውሂብ ሽፋን

ብጁ ውቅር

4 ደረጃ
የተሰጠ TH ትዕዛዝ
24/7
TH መላምቶችን የመሞከር ሙሉ ችሎታ

እየመራ ነው።
እጅግ በጣም ጥሩ የፎረንሲክስ እና ማልዌር እውቀት
መከላከያ TH
ደረጃ 3 ሲደመር፡

TH አጠቃቀም
ስለ አጥቂው ጎን በጣም ጥሩ እውቀት
የቲኤች መላምቶችን ማረጋገጥ ፣ ራስ-ሰር እና ማረጋገጥ
የውሂብ ምንጮች ጥብቅ ውህደት;

የምርምር ችሎታ

ለፍላጎቶች ልማት እና መደበኛ ያልሆነ የኤፒአይ አጠቃቀም።

TH የብስለት ደረጃዎች በሰዎች፣ ሂደቶች እና ቴክኖሎጂዎች

ደረጃ 0፡ ባህላዊ, TH ሳይጠቀሙ. ተራ ተንታኞች መደበኛ መሳሪያዎችን እና ቴክኖሎጅዎችን በመጠቀም በተለዋዋጭ የክትትል ሁነታ ከመደበኛ ማንቂያዎች ስብስብ ጋር ይሰራሉ-IDS, AV, sandboxes, የፊርማ ትንተና መሳሪያዎች.

ደረጃ 1፡ የሙከራ, TH በመጠቀም. መሰረታዊ የፎረንሲክስ እውቀት ያላቸው እና ስለኔትወርኮች እና አፕሊኬሽኖች ጥሩ እውቀት ያላቸው ተመሳሳይ ተንታኞች የስምምነት አመልካቾችን በመፈለግ የአንድ ጊዜ ስጋት አደን ማከናወን ይችላሉ። ኢዲአርዎች ከአውታረ መረብ መሳሪያዎች በከፊል የውሂብ ሽፋን ወደ መሳሪያዎች ይታከላሉ. መሳሪያዎቹ በከፊል ይተገበራሉ.

ደረጃ 2፡ ወቅታዊ, ጊዜያዊ TH. የፎረንሲክስ፣ ኔትወርኮች እና የተተገበሩ ክፍሎች እውቀታቸውን ያሻሻሉ እነዚሁ ተንታኞች በመደበኛነት (ስፕሪንት) ስጋት አደን ማድረግ ይጠበቅባቸዋል፣ በወር አንድ ሳምንት። መሳሪያዎቹ ከአውታረ መረብ መሳሪያዎች መረጃን ሙሉ በሙሉ በማሰስ፣ ከኢዲአር የመረጃ ትንተና በራስ-ሰር እና የላቀ የኢዲአር አቅምን በመጠቀም የተሟላ ነው።

ደረጃ 3፡ መከላከያ, በተደጋጋሚ የ TH. የኛ ተንታኞች እራሳቸውን ወደተለየ ቡድን አደራጅተው ስለ ፎረንሲክስ እና ማልዌር እንዲሁም ስለ አጥቂው ወገን ዘዴዎች እና ዘዴዎች ጥሩ እውቀት ነበራቸው። ሂደቱ አስቀድሞ 24/7 እየሰራ ነው። ቡድኑ የEDRን የላቀ ችሎታዎች ሙሉ በሙሉ ከኔትወርክ መሳሪያዎች ሙሉ የመረጃ ሽፋን ጋር ሲጠቀም የቲኤች መላምቶችን በከፊል መሞከር ይችላል። ተንታኞችም ለፍላጎታቸው ተስማሚ እንዲሆኑ መሳሪያዎቹን ማዋቀር ይችላሉ።

ደረጃ 4፡ ከፍተኛ-ደረጃ, የ TH አጠቃቀም. ተመሳሳዩ ቡድን TH መላምቶችን የመሞከር ፣የማመንጨት እና የማስኬድ ችሎታን አግኝቷል። አሁን፣ መሳሪያዎች ከውሂብ ምንጮች ጥብቅ ውህደት፣ ለፍላጎቶች ሶፍትዌር ልማት እና መደበኛ ያልሆነ የኤ.ፒ.አይ.ዎች አጠቃቀም ተጨምረዋል።

የዛቻ አደን ዘዴዎች

መሰረታዊ የአደጋ አደን ዘዴዎች

К ቴክኒሻኖች THs፣ በቴክኖሎጂ ብስለት ቅደም ተከተል፣ መሰረታዊ ፍለጋ፣ ስታቲስቲካዊ ትንተና፣ የእይታ ቴክኒኮች፣ ቀላል ድምር፣ የማሽን መማር እና የቤይዢያ ዘዴዎች ናቸው።

በጣም ቀላሉ ዘዴ, መሰረታዊ ፍለጋ, በተወሰኑ መጠይቆች እገዛ የጥናት መስክን ለማጥበብ ጥቅም ላይ ይውላል. የስታቲስቲክስ ትንታኔ ጥቅም ላይ ይውላል, ለምሳሌ, የተለመደ ተጠቃሚን ወይም የአውታረ መረብ እንቅስቃሴን በስታቲስቲክስ ሞዴል መልክ ለመገንባት. የእይታ ቴክኒኮችን በምስል ለማሳየት እና መረጃን በግራፍ እና በገበታዎች መልክ ለማቃለል ያገለግላሉ ፣ ይህም በናሙና ውስጥ ቅጦችን ለመያዝ በጣም ቀላል ያደርገዋል። በቁልፍ መስኮች ቀላል ድምር ቴክኒክ ፍለጋን እና ትንታኔን ለማመቻቸት ይጠቅማል። በድርጅት ውስጥ የቲኤችአይ ሂደት የበለጠ የበሰለ ፣ የማሽን መማሪያ ስልተ ቀመሮችን አጠቃቀም የበለጠ ተዛማጅ ይሆናል። እንዲሁም በአይፈለጌ መልዕክት ማጣሪያ፣ ተንኮል አዘል ትራፊክ ፈልጎ ማግኘት እና ማጭበርበርን በማወቅ በስፋት ጥቅም ላይ ይውላሉ። ይበልጥ የላቀ የማሽን መማሪያ ስልተ ቀመሮች ምድብ፣ የናሙና መጠንን መቀነስ እና አርእስት ሞዴሊንግ ለማድረግ የሚያስችሉ የቤኤዥያን ዘዴዎች ናቸው።

የአልማዝ ሞዴል እና TH ስትራቴጂዎች

ሰርጂዮ ካልታጊሮን ፣ አንድሪው ፔንደጋስት እና ክሪስቶፈር ቤዝ በስራቸው "የወረራ ትንተና የአልማዝ ሞዴል"የማንኛውም ተንኮል-አዘል እንቅስቃሴ ዋና ዋና ዋና ክፍሎችን እና በመካከላቸው ያለውን መሰረታዊ ግንኙነት አሳይቷል.

የአልማዝ ሞዴል ለተንኮል አዘል እንቅስቃሴ

በዚህ ሞዴል መሰረት, በተዛማጅ ቁልፍ ክፍሎች ላይ የተመሰረቱ 4 አስጊ አደን ስልቶች አሉ.

1. በተጠቂው ላይ ያተኮረ ስልት. ተጎጂው ተቃዋሚዎች እንዳሉት እንገምታለን, እና "እድሎችን" በኢሜል ያደርሳሉ. እኛ በፖስታ ውስጥ የጠላት ውሂብ እየፈለግን ነው። አገናኞችን፣ አባሪዎችን፣ ወዘተ ይፈልጉ። ለተወሰነ ጊዜ (አንድ ወር, ሁለት ሳምንታት) የዚህን መላምት ማረጋገጫ እየፈለግን ነው, ካልተገኘ, መላምቱ አልሰራም.

2. በመሠረተ ልማት ላይ ያተኮረ ስትራቴጂ. ይህንን ስትራቴጂ ለመጠቀም ብዙ መንገዶች አሉ። እንደ ተደራሽነት እና ታይነት, አንዳንዶቹ ከሌሎቹ ይልቅ ቀላል ናቸው. ለምሳሌ፣ ተንኮል-አዘል ጎራዎችን በማስተናገድ የሚታወቁትን የጎራ ስም አገልጋዮችን እንቆጣጠራለን። ወይም ሁሉንም አዲስ የጎራ ስም ምዝገባዎች በጠላት ጥቅም ላይ ለሚውል የታወቀ ስርዓተ-ጥለት የመከታተል ሂደት አለን።

3. በአጋጣሚ ላይ የተመሰረተ ስልት. በአብዛኛዎቹ የመስመር ላይ ተከላካዮች ከሚጠቀሙት ተጎጂ-ተኮር ስልት በተጨማሪ አቅም ላይ ያተኮረ ስልት አለ። ሁለተኛው በጣም ታዋቂ እና ከተቃዋሚዎች ማለትም "ማልዌር" እና እንደ psexec, powershell, certutil እና ሌሎች የመሳሰሉ ህጋዊ መሳሪያዎችን በመጠቀም ተቃዋሚዎችን በመፈለግ ላይ ያተኩራል.

4. በጠላት ላይ ያተኮረ ስልት. ጠላትን ያማከለ አካሄድ በራሱ ጠላት ላይ ያተኩራል። ይህም በይፋ ከሚገኙ ምንጮች (OSINT)፣ ስለ ጠላት መረጃ መሰብሰብ፣ የእሱ ቴክኒኮች እና ዘዴዎች (TTP)፣ ከዚህ ቀደም የተከሰቱትን ክስተቶች ትንተና፣ የአስጊ ኢንተለጀንስ መረጃን ወዘተ መጠቀምን ያጠቃልላል።

የመረጃ ምንጮች እና መላምቶች በ TH

ለዛቻ አደን አንዳንድ የመረጃ ምንጮች

ብዙ የመረጃ ምንጮች ሊኖሩ ይችላሉ። ጥሩ ተንታኝ በዙሪያው ካሉ ነገሮች ሁሉ መረጃ ማውጣት መቻል አለበት። በማንኛውም መሠረተ ልማት ውስጥ ያሉ የተለመዱ ምንጮች ከደህንነት መሳሪያዎች የተገኙ መረጃዎች ይሆናሉ፡ DLP፣ SIEM፣ IDS/IPS፣ WAF/FW፣ EDR። እንዲሁም ዓይነተኛ የመረጃ ምንጮች ሁሉም ዓይነት የስምምነት አመላካቾች፣ ዛቻ ኢንተለጀንስ አገልግሎቶች፣ CERT እና OSINT ውሂብ ይሆናሉ። በተጨማሪም ፣ ከጨለማው መረብ መረጃን መጠቀም ይችላሉ (ለምሳሌ ፣ በድንገት የድርጅቱን የመልእክት ሳጥን ለመጥለፍ ትእዛዝ አለ ፣ ወይም ለኔትወርክ መሐንዲስ ቦታ እጩ በእንቅስቃሴው ጎልቶ ታይቷል) ፣ ከ HR የተገኘ መረጃ (ከቀድሞው ሥራ ስለ እጩው ግምገማዎች), ከደህንነት አገልግሎት መረጃ (ለምሳሌ, የተጓዳኝ ቼክ ውጤቶች).

ነገር ግን ሁሉንም የሚገኙትን ምንጮች ከመጠቀምዎ በፊት, ቢያንስ አንድ መላምት ሊኖርዎት ይገባል.

ምንጭ

መላምቶችን ለመፈተሽ በመጀመሪያ ወደ ፊት መቅረብ አለባቸው. እና ብዙ የጥራት መላምቶችን ለማቅረብ ስልታዊ አቀራረብን መተግበር አስፈላጊ ነው. መላምቶችን የማመንጨት ሂደት በበለጠ ዝርዝር ውስጥ ተገልጿል ጽሑፍ, ይህንን እቅድ ለመውሰድ በጣም ምቹ ነው መላምቶችን ለማስቀመጥ ሂደት መሰረት.

ዋናው የመላምት ምንጭ ይሆናል። ATT&CK ማትሪክስ (አድቨርሳሪያል ስልቶች፣ ቴክኒኮች እና የጋራ እውቀት)። እሱ፣ በእውነቱ፣ የእውቀት መሰረት እና ተግባራቶቻቸውን በመጨረሻዎቹ የጥቃቱ ደረጃዎች ውስጥ የሚተገብሩ አጥቂዎችን ባህሪ ለመገምገም ተምሳሌት ነው፣ ይህም በተለምዶ የገዳይ ሰንሰለት ጽንሰ-ሀሳብን በመጠቀም ይገለጻል። ይህም ማለት, ተላላፊው የድርጅቱን ውስጣዊ አውታረመረብ ወይም የሞባይል መሳሪያን ከገባ በኋላ ባሉት ደረጃዎች. መጀመሪያ ላይ የእውቀት መሰረቱ በጥቃቱ ውስጥ ጥቅም ላይ የዋሉ የ 121 ስልቶችን እና ቴክኒኮችን መግለጫ ያካተተ ሲሆን እያንዳንዳቸው በዊኪ ቅርጸት በዝርዝር ተገልፀዋል. የተለያዩ የስጋት ኢንተለጀንስ ትንታኔዎች መላምቶችን ለማመንጨት እንደ ምንጭነት ተስማሚ ናቸው። ለየት ያለ ማስታወሻ የመሠረተ ልማት ትንተና እና የመግቢያ ፈተናዎች ውጤቶች ናቸው - እነዚህ የብረት መላምቶች በአንድ የተወሰነ መሠረተ ልማት ላይ ከተወሰኑ ድክመቶች ጋር በመተማመን ሊሰጡን የሚችሉት በጣም ጠቃሚ መረጃዎች ናቸው ።

የመላምት ሙከራ ሂደት

ሰርጌይ ሶልዳቶቭ አመጣ ጥሩ እቅድ ከሂደቱ ዝርዝር መግለጫ ጋር, በአንድ ስርዓት ውስጥ የ TH መላምት ሙከራ ሂደትን ያሳያል. ዋናዎቹን ደረጃዎች በአጭሩ መግለጫ እጠቁማለሁ.

ምንጭ

ደረጃ 1: TI እርሻ

በዚህ ደረጃ, መምረጥ አስፈላጊ ነው ዕቃዎች (ከሁሉም አስጊ መረጃዎች ጋር በመተንተን) እና በባህሪያቸው ምልክት በማድረግ። ይህ ፋይል፣ ዩአርኤል፣ MD5፣ ሂደት፣ መገልገያ፣ ክስተት ነው። በስጋት ኢንተለጀንስ ሲስተም ውስጥ እነሱን ማለፍ፣ መለያዎችን ማስቀመጥ ያስፈልግዎታል። ያም ማለት, ይህ ጣቢያ በሲኤንሲ ውስጥ በእንደዚህ አይነት እና በዓመት ውስጥ ታይቷል, ይህ MD5 ከእንደዚህ አይነት እና ከእንደዚህ አይነት ማልዌር ጋር የተቆራኘ ነው, ይህ MD5 ማልዌርን ከሚያሰራጭ ጣቢያ ወርዷል.

ደረጃ 2: ጉዳዮች

በሁለተኛው ደረጃ, በእነዚህ ነገሮች መካከል ያለውን ግንኙነት እንመለከታለን እና በእነዚህ ሁሉ ነገሮች መካከል ያለውን ግንኙነት እንገነዘባለን. መጥፎ ነገር የሚያደርጉ ምልክት የተደረገባቸው ስርዓቶች እናገኛለን.

ደረጃ 3: ተንታኝ

በሦስተኛው ደረጃ ጉዳዩ በመተንተን ሰፊ ልምድ ላለው ልምድ ያለው ተንታኝ ተላልፏል እና ፍርድ ይሰጣል. ይህ ኮድ ምን፣ የት፣ እንዴት፣ ለምን እና ለምን እንደሚሰራ ወደ ባይት ይተነተናል። ይህ አካል ማልዌር ነበር፣ ይህ ኮምፒውተር ተበክሏል። በእቃዎች መካከል ያለውን ግንኙነት ያሳያል, በአሸዋ ሳጥን ውስጥ የመሮጥ ውጤቶችን ይፈትሻል.

የተንታኙ ስራ ውጤቶች የበለጠ ተላልፈዋል. ዲጂታል ፎረንሲክስ ምስሎቹን ይመረምራል፣ የማልዌር ትንተና የተገኙትን "አካላት" ይመረምራል፣ እና የክስተት ምላሽ ቡድን ወደ ጣቢያው ሄዶ የሆነ ነገር ሊመረምር ይችላል። የሥራው ውጤት የተረጋገጠ መላምት, ተለይቶ የሚታወቅ ጥቃት እና የመቋቋም መንገዶች ይሆናል.

ምንጭ
 

ውጤቶች

ማስፈራሪያ አደን የተበጁ፣ አዲስ እና መደበኛ ያልሆኑ ስጋቶችን በብቃት መቋቋም የሚችል ወጣት ቴክኖሎጂ ነው፣ ይህም ከእንደዚህ አይነት አደጋዎች ብዛት እድገት እና የድርጅት መሠረተ ልማት ውስብስብነት አንፃር ትልቅ ተስፋ አለው። ሶስት አካላትን ይጠይቃል - ውሂብ, መሳሪያዎች እና ትንታኔዎች. የዛቻ አደን ጥቅሞች ማስፈራሪያዎችን በመከላከል ላይ ብቻ የተገደቡ አይደሉም። በፍተሻ ሂደት ውስጥ ወደ መሠረተ ልማታችን እና ደካማ ነጥቦቹ በፀጥታ ተንታኝ ዓይን ዘልቀን እነዚህን ቦታዎች የበለጠ ማጠናከር እንደምንችል አይርሱ።

በድርጅታችን ውስጥ የ TH ሂደትን ለመጀመር በእኛ አስተያየት, የመጀመሪያዎቹ እርምጃዎች መወሰድ አለባቸው.

1. የመጨረሻ ነጥቦችን እና የአውታር መሠረተ ልማትን ጥበቃን ይንከባከቡ. በአውታረ መረብዎ ውስጥ ያሉትን ሁሉንም ሂደቶች ታይነት (NetFlow) ይንከባከቡ እና (ፋየርዎል፣ አይዲኤስ፣ አይፒኤስ፣ ዲኤልፒ) ይቆጣጠሩ። አውታረ መረብዎን ከዳር ራውተር እስከ የመጨረሻው አስተናጋጅ ድረስ ይወቁ።
2. ያስሱ MITER ATT&CK.
3. ቢያንስ ቁልፍ የሆኑ የውጭ ሀብቶችን መደበኛ የመግባት ሙከራ ያካሂዱ፣ ውጤቶቹን ይተንትኑ፣ የጥቃቱን ዋና ኢላማዎች ይለዩ እና ተጋላጭነታቸውን ይዝጉ።
4. የክፍት ምንጭ የስጋት ኢንተለጀንስ ሲስተም (ለምሳሌ MISP፣ Yeti) ተግብር እና መዝገቦችን ከእሱ ጋር ተንትን።
5. የአደጋ ምላሽ መድረክን (IRP) ተግብር፡ R-Vision IRP፣ The Hive፣ አጠራጣሪ ፋይሎችን ለመተንተን ማጠሪያ (FortiSandbox፣ Cuckoo)።
6. የዕለት ተዕለት ሂደቶችን በራስ-ሰር ያድርጉ። የምዝግብ ማስታወሻ ትንተና, ክስተቶችን መፍጠር, ሰራተኞችን ማሳወቅ ለአውቶሜሽን ትልቅ መስክ ነው.
7. ከአደጋዎች ጋር አብሮ ለመስራት ከመሐንዲሶች፣ ገንቢዎች፣ የቴክኒክ ድጋፍ ጋር እንዴት በብቃት እንደሚገናኙ ይወቁ።
8. በኋላ ወደ እነርሱ ለመመለስ ወይም ይህን መረጃ ከሥራ ባልደረቦች ጋር ለማጋራት አጠቃላይ ሂደቱን ፣ ዋና ነጥቦችን ፣ የተገኙ ውጤቶችን ይመዝግቡ ።
9. ማህበራዊ ጎኑን በአእምሮህ አስቀምጥ፡ ከሰራተኞችህ ጋር ምን እየተፈጠረ እንዳለ፣ ማንን እየቀጠርክ እንደሆነ እና የድርጅቱን የመረጃ ምንጮች ለማን እንደምትሰጥ እወቅ።
10. በአዳዲስ አደጋዎች እና የጥበቃ ዘዴዎች መስክ ውስጥ ያሉትን አዝማሚያዎች ይከታተሉ ፣ የቴክኒካዊ እውቀት ደረጃዎን ያሻሽሉ (የ IT አገልግሎቶችን እና ንዑስ ስርዓቶችን ጨምሮ) ፣ ኮንፈረንስ ላይ ይሳተፉ እና ከባልደረባዎች ጋር ይገናኙ።

በአስተያየቶቹ ውስጥ የ TH ሂደቱን አደረጃጀት ለመወያየት ዝግጁ.

ወይም ከእኛ ጋር ይምጡ!

• መሪ አይኤስ አማካሪ
• የመረጃ ደህንነት ስርዓት አርክቴክት
• የአውታረ መረብ ደህንነት መሐንዲስ መሪ
• መሪ የመረጃ ደህንነት መሐንዲስ (SIEM)
• የመረጃ ደህንነት አርክቴክት (የተተገበረ)

ለጥናት ምንጮች እና ቁሳቁሶች

• አስፈራሪ.ጉሩ
• ጥቃት.mitre.org
• digital-forensics.sans.org
• resource.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• መልስ-ለሁሉም.blogspot.com
• lukatsky.blogspot.com
• ነጭ ወረቀቶች.theregister.co.uk

ምንጭ: hab.com