تهديد الصيد ، أو كيف تحمي نفسك من 5٪ من التهديدات

95٪ من تهديدات أمن المعلومات معروفة ، ويمكنك حماية نفسك منها باستخدام الوسائل التقليدية مثل مضادات الفيروسات ، والجدران النارية ، و IDS ، و WAF. 5٪ المتبقية من التهديدات غير معروفة والأخطر. إنها تشكل 70٪ من المخاطر التي تتعرض لها الشركة نظرًا لصعوبة اكتشافها بل وأكثر من ذلك للحماية منها. أمثلة "البجعة السوداء" هي أوبئة WannaCry و NotPetya / ExPetr ransomware و cryptominers و Stuxnet "السلاح السيبراني" (الذي أصاب المنشآت النووية الإيرانية) والعديد من الهجمات الأخرى (هل يتذكر Kido / Conficker؟) هجمات أخرى غير محمية بشكل جيد من وسائل الحماية التقليدية. نريد التحدث عن كيفية مواجهة هذه التهديدات بنسبة 5٪ باستخدام تقنية Threat Hunting.

يتطلب التطور المستمر للهجمات الإلكترونية اكتشافًا مستمرًا وتدابير مضادة ، الأمر الذي يقودنا في النهاية إلى التفكير في سباق تسلح لا نهاية له بين المهاجمين والمدافعين. لم تعد أنظمة الأمان الكلاسيكية قادرة على توفير مستوى مقبول من الأمان ، حيث لا يؤثر مستوى المخاطرة على المؤشرات الرئيسية للشركة (الاقتصادية ، السياسية ، السمعة) دون تعديلها لبنية تحتية محددة ، ولكنها تغطي بشكل عام جزء من المخاطر. بالفعل في عملية التنفيذ والتكوين ، تلعب أنظمة الحماية الحديثة دور اللحاق بالركب ويجب أن تستجيب لتحديات العصر الجديد.

مصدر

يمكن أن تكون تقنية Threat Hunting أحد الحلول لتحديات عصرنا بالنسبة لمتخصص في أمن المعلومات. ظهر مصطلح Threat Hunting (المشار إليه فيما يلي باسم TH) منذ عدة سنوات. التكنولوجيا بحد ذاتها مثيرة للاهتمام ، لكنها لا تملك بعد أي معايير وقواعد مقبولة بشكل عام. ومما يزيد الأمور تعقيدًا عدم تجانس مصادر المعلومات وقلة عدد مصادر المعلومات باللغة الروسية حول هذا الموضوع. في هذا الصدد ، قررنا في LANIT-Integration كتابة مراجعة لهذه التكنولوجيا.

موضوعية

تعتمد تقنية TH على عمليات مراقبة البنية التحتية. هناك سيناريوهان رئيسيان للمراقبة الداخلية - التنبيه والصيد. التنبيه (حسب نوع خدمة MSSP) هو طريقة تقليدية للبحث عن التوقيعات وعلامات الهجمات المطورة مسبقًا والرد عليها. يتم تنفيذ هذا السيناريو بنجاح بواسطة أدوات الحماية التقليدية القائمة على التوقيع. الصيد (خدمة نوع MDR) هي طريقة مراقبة تجيب على السؤال "من أين تأتي التوقيعات والقواعد؟". إنها عملية إنشاء قواعد الارتباط من خلال تحليل المؤشرات المخفية أو غير المعروفة سابقًا وعلامات الهجوم. ينتمي Threat Hunting إلى هذا النوع من المراقبة.

فقط من خلال الجمع بين كلا النوعين من المراقبة نقترب من الحماية المثالية ، ولكن هناك دائمًا مستوى معين من المخاطر المتبقية.

الحماية باستخدام نوعين من المراقبة

وهذا هو السبب في أن TH (والصيد بشكل عام!) سيصبح أكثر أهمية:

التهديدات ووسائل الحماية والمخاطر. مصدر

95٪ من جميع التهديدات مفهومة جيدًا بالفعل. وتشمل هذه أنواعًا مثل البريد العشوائي و DDoS والفيروسات والجذور الخفية والبرامج الضارة الكلاسيكية الأخرى. يمكنك حماية نفسك من هذه التهديدات بنفس وسائل الحماية التقليدية.

خلال أي مشروع يتم قضاء 20٪ من الوقت في إنجاز 80٪ من العملو 20٪ المتبقية من العمل تستغرق 80٪ من الوقت. وبالمثل ، من بين مشهد التهديدات بأكمله ، ستمثل 5٪ من أنواع التهديدات الجديدة 70٪ من المخاطر التي تتعرض لها الشركة. في شركة يتم فيها تنظيم عمليات إدارة أمن المعلومات ، يمكننا إدارة 30٪ من مخاطر التهديدات المعروفة بطريقة أو بأخرى عن طريق تجنب (رفض الشبكات اللاسلكية من حيث المبدأ) ، أو قبول (تنفيذ الإجراءات الأمنية اللازمة) أو التحول (على سبيل المثال) ، على أكتاف عامل تكامل) هذا الخطر. احم نفسك من نقاط ضعف يوم الصفر، هجمات APT ، التصيد ، هجمات سلسلة التوريدوالتجسس الإلكتروني والعمليات الوطنية ، وكذلك من عدد كبير من الهجمات الأخرى ، أصعب بكثير بالفعل. ستكون عواقب هذه التهديدات البالغة 5٪ أكثر خطورة (متوسط ​​مبلغ الخسائر المصرفية من مجموعة buhtrap هو 143 مليون) من عواقب البريد العشوائي أو الفيروسات التي يحفظ برنامج مكافحة الفيروسات منها.

يجب على الجميع تقريبًا التعامل مع 5٪ من التهديدات. في الآونة الأخيرة ، كان علينا تثبيت حل واحد مفتوح المصدر يستخدم تطبيقًا من مستودع PEAR (ملحق PHP ومستودع التطبيقات). فشلت محاولة تثبيت هذا التطبيق عبر تثبيت الكمثرى بسبب موقع لم يكن متاحًا (الآن يحتوي على كعب) ، اضطررت إلى تثبيته من GitHub. ومؤخرا فقط اتضح أن الكمثرى أصبح ضحية هجمات سلسلة التوريد.

هل مازلت تتذكر الهجوم باستخدام CCleaner، وباء NePetya ransomware من خلال وحدة تحديث برنامج الإبلاغ الضريبي ميدوك. أصبحت التهديدات أكثر تعقيدًا ، ويطرح السؤال المنطقي - "كيف يمكنك مواجهة هذه التهديدات بنسبة 5٪؟"

تعريف صيد التهديد

لذلك ، فإن Threat Hunting هي عملية بحث استباقي ومتكرر واكتشاف التهديدات المتقدمة التي لا يمكن اكتشافها بالوسائل التقليدية للحماية. تشمل التهديدات المتقدمة ، على سبيل المثال ، الهجمات مثل APT ، والهجمات على الثغرات الأمنية لمدة يوم واحد ، والعيش خارج الأرض ، وما إلى ذلك.

يمكن أيضًا إعادة صياغة أن TH هي عملية اختبار الفرضيات. هذه عملية يدوية في الغالب مع عناصر الأتمتة ، حيث يقوم المحلل ، بالاعتماد على معرفته ومهاراته ، بتفتيش كميات كبيرة من المعلومات بحثًا عن علامات التسوية التي تتوافق مع الفرضية المحددة في البداية حول وجود تهديد معين. السمة المميزة لها هي تنوع مصادر المعلومات.

وتجدر الإشارة إلى أن Threat Hunting ليس نوعًا من منتجات البرامج أو الأجهزة. هذه ليست تنبيهات يمكن رؤيتها في بعض الحلول. هذه ليست عملية بحث عن بطاقات IOC (معرفات التسوية). وهذا ليس نوعًا من النشاط السلبي الذي يستمر دون مشاركة محللي أمن المعلومات. تهديد الصيد هو أولاً وقبل كل شيء عملية.

مكونات صيد التهديد

ثلاثة مكونات رئيسية لمطاردة التهديد: البيانات والتكنولوجيا والأشخاص.

البيانات (ماذا؟)، بما في ذلك البيانات الضخمة. جميع أنواع تدفقات حركة المرور ، ومعلومات حول APTs السابقة ، والتحليلات ، وبيانات نشاط المستخدم ، وبيانات الشبكة ، والمعلومات من الموظفين ، والمعلومات الموجودة على الويب المظلم وغير ذلك الكثير.

التكنولوجيا (كيف؟) معالجة هذه البيانات - جميع الطرق الممكنة لمعالجة هذه البيانات ، بما في ذلك التعلم الآلي.

الناس الذين؟) - أولئك الذين لديهم خبرة واسعة في تحليل الهجمات المختلفة ، وقد طوروا الحدس والقدرة على اكتشاف الهجوم. عادةً ما يكون هؤلاء محللون لأمن المعلومات يجب أن يكونوا قادرين على إنشاء فرضيات والعثور على تأكيد لها. هم جوهر العملية.

موديل باريس

آدم بيتمان يصف نموذج باريس لعملية TH المثالية. الاسم ، كما كان ، يلمح إلى معلم فرنسا الشهير. يمكن رؤية هذا النموذج في اتجاهين - من أعلى وأسفل.

في عملية البحث عن التهديدات ، والانتقال إلى النموذج ، سوف نتعامل مع الكثير من الأدلة على النشاط الضار. كل قطعة من الأدلة لها مقياس يسمى اليقين ، وهي خاصية تعكس وزن هذا الدليل. هناك "حديد" ، دليل مباشر على نشاط ضار ، يمكننا بموجبه الوصول فورًا إلى قمة الهرم وإنشاء تنبيه فعلي بشأن إصابة معروفة. وهناك أدلة غير مباشرة يمكن أن يقودنا مجموعها أيضًا إلى قمة الهرم. كما هو الحال دائمًا ، هناك أدلة غير مباشرة أكثر بكثير من الأدلة المباشرة ، مما يعني أنها بحاجة إلى الفرز والتحليل ، وينبغي إجراء بحث إضافي ، ومن المرغوب فيه أتمتة ذلك.

نموذج باريس. مصدر

يعتمد الجزء العلوي من النموذج (1 و 2) على تقنيات الأتمتة ومجموعة متنوعة من التحليلات ، بينما يعتمد الجزء السفلي (3 و 4) على أشخاص لديهم مؤهلات معينة يديرون العملية. يمكنك إلقاء نظرة على النموذج وهو يتحرك من أعلى إلى أسفل ، حيث توجد في الجزء العلوي من اللون الأزرق تنبيهات من أدوات الحماية التقليدية (مكافحة الفيروسات ، EDR ، جدار الحماية ، التوقيعات) بدرجة عالية من الثقة والثقة ، وأسفل المؤشرات ( IOC و URL و MD5 وغيرها) ، والتي تتمتع بدرجة أقل من اليقين وتتطلب مزيدًا من الدراسة. والمستوى الأدنى والأثخن (4) هو توليد الفرضيات ، وخلق سيناريوهات جديدة لتشغيل وسائل الحماية التقليدية. لا يقتصر هذا المستوى على مصادر الفرضيات المشار إليها. كلما انخفض المستوى ، زادت المتطلبات الموضوعة على تأهيل المحلل.

من المهم جدًا ألا يقوم المحللون باختبار مجموعة محدودة من الفرضيات المحددة مسبقًا ، بل يعملون باستمرار على إنشاء فرضيات وخيارات جديدة لاختبارها.

نموذج نضج استخدام TH

في عالم مثالي ، تعتبر TH عملية مستمرة. ولكن ، نظرًا لعدم وجود عالم مثالي ، دعنا نحلل نموذج نضج والأساليب من حيث الأشخاص والعمليات والتقنيات المستخدمة. ضع في اعتبارك نموذج TH كروي مثالي. هناك 5 مستويات لاستخدام هذه التقنية. خذها في الاعتبار كمثال تطور فريق واحد من المحللين.

مستويات النضج
الناس
العمليات
تكنولوجيا

مستوى 0
محللو شركة نفط الجنوب
24/7
الآلات التقليدية:

تقليدي
مجموعة التنبيه
المراقبة السلبية
IDS ، AV ، وضع الحماية ،

بدون TH
التعامل مع التنبيهات

أدوات تحليل التوقيع ، بيانات استخبارات التهديدات.

مستوى 1
محللو شركة نفط الجنوب
لمرة واحدة TH
EDR

تجريبي
المعرفة الأساسية للطب الشرعي
بحث اللجنة الأولمبية الدولية
تغطية جزئية للبيانات من أجهزة الشبكة

تجارب مع TH
معرفة جيدة بالشبكات والتطبيقات

تطبيق جزئي

مستوى 2
الاحتلال المؤقت
سباقات السرعة
EDR

دوري
معرفة وسيطة بالطب الشرعي
أسبوع في الشهر
التطبيق الكامل

TH مؤقت
معرفة ممتازة بالشبكات والتطبيقات
TH العادية
أتمتة كاملة لاستخدام بيانات EDR

الاستخدام الجزئي لميزات EDR المتقدمة

مستوى 3
أمر TH مخصص
24/7
القدرة الجزئية على اختبار فرضيات TH

وقائي
معرفة ممتازة بالطب الشرعي والبرامج الضارة
TH الوقائي
الاستخدام الكامل لميزات EDR المتقدمة

حالات خاصة TH
معرفة ممتازة بالجانب المهاجم
حالات خاصة TH
تغطية كاملة للبيانات من أجهزة الشبكة

التكوين المخصص

مستوى 4
أمر TH مخصص
24/7
القدرة الكاملة على اختبار فرضيات TH

قيادة
معرفة ممتازة بالطب الشرعي والبرامج الضارة
TH الوقائي
المستوى 3 بلس:

استخدام TH
معرفة ممتازة بالجانب المهاجم
التحقق والأتمتة والتحقق من فرضيات TH
تكامل محكم لمصادر البيانات ؛

القدرة على البحث

تطوير الاحتياجات والاستخدام غير القياسي لواجهة برمجة التطبيقات.

مستويات نضج TH حسب الأشخاص والعمليات والتقنيات

مستوى 0: تقليدي ، بدون استخدام TH. يعمل المحللون العاديون مع مجموعة قياسية من التنبيهات في وضع المراقبة السلبية باستخدام الأدوات والتقنيات القياسية: IDS و AV و sandboxes وأدوات تحليل التوقيع.

مستوى 1: التجريبية ، باستخدام TH. يمكن لنفس المحللين الذين لديهم معرفة أساسية بالطب الشرعي ومعرفة جيدة بالشبكات والتطبيقات تنفيذ تهديد لمرة واحدة من خلال البحث عن مؤشرات التسوية. تتم إضافة EDRs إلى الأدوات مع تغطية جزئية للبيانات من أجهزة الشبكة. يتم تطبيق الأدوات جزئيًا.

مستوى 2: دورية ، مؤقتة TH. يُطلب من نفس المحللين الذين طوروا بالفعل معرفتهم بالطب الشرعي والشبكات والأجزاء التطبيقية المشاركة بانتظام في (العدو السريع) Threat Hunting ، على سبيل المثال ، أسبوعًا في الشهر. يتم استكمال الأدوات من خلال الاستكشاف الكامل للبيانات من أجهزة الشبكة ، وأتمتة تحليل البيانات من EDR ، والاستخدام الجزئي لقدرات EDR المتقدمة.

مستوى 3: الوقائية ، الحالات المتكررة من TH. نظم محللونا أنفسهم في فريق متخصص ، وبدأوا في امتلاك معرفة ممتازة بالطب الشرعي والبرمجيات الخبيثة ، بالإضافة إلى معرفة أساليب وتكتيكات الجانب المهاجم. العملية تعمل بالفعل على مدار الساعة طوال أيام الأسبوع. الفريق قادر على اختبار فرضيات TH جزئيًا مع الاستفادة الكاملة من القدرات المتقدمة لـ EDR مع تغطية كاملة للبيانات من أجهزة الشبكة. المحللون قادرون أيضًا على تكوين الأدوات لتناسب احتياجاتهم.

مستوى 4: الراقية ، واستخدام TH. اكتسب نفس الفريق القدرة على البحث ، والقدرة على توليد وأتمتة عملية اختبار الفرضيات TH. الآن ، تمت إضافة الأدوات مع تكامل محكم لمصادر البيانات ، وتطوير البرامج لتلبية الاحتياجات والاستخدام غير القياسي لواجهات برمجة التطبيقات.

تقنيات صيد التهديد

تقنيات صيد التهديد الأساسية

К فنيين إن THs ، بترتيب نضج التكنولوجيا ، هي: البحث الأساسي ، والتحليل الإحصائي ، وتقنيات التصور ، والتجميعات البسيطة ، والتعلم الآلي ، وطرق Bayesian.

يتم استخدام أبسط طريقة ، البحث الأساسي ، لتضييق مجال الدراسة بمساعدة استعلامات معينة. يستخدم التحليل الإحصائي ، على سبيل المثال ، لبناء مستخدم نموذجي أو نشاط شبكة في شكل نموذج إحصائي. تُستخدم تقنيات التصور لعرض وتبسيط تحليل البيانات بصريًا في شكل رسوم بيانية ومخططات ، مما يجعل من السهل جدًا التقاط الأنماط في العينة. يتم استخدام تقنية التجميعات البسيطة حسب الحقول الرئيسية لتحسين البحث والتحليل. كلما زادت نضج عملية TH في المنظمة ، كلما أصبح استخدام خوارزميات التعلم الآلي أكثر ملاءمة. كما أنها تستخدم على نطاق واسع في تصفية البريد العشوائي واكتشاف حركة المرور الضارة واكتشاف الاحتيال. هناك نوع أكثر تقدمًا من خوارزميات التعلم الآلي وهي طرق بايز ، والتي تسمح بالتصنيف وتقليل حجم العينة ونمذجة الموضوع.

نموذج الماس واستراتيجيات TH

سيرجيو كالتاجيرون وأندرو بينديغاست وكريستوفر بيتز في عملهم "النموذج الماسي لتحليل التسلل"المكونات الرئيسية الرئيسية لأي نشاط ضار والاتصال الأساسي بينها.

النموذج الماسي للنشاط الضار

وفقًا لهذا النموذج ، هناك 4 استراتيجيات لصيد التهديدات ، والتي تستند إلى المكونات الرئيسية المقابلة.

1. استراتيجية تركز على الضحية. نحن نفترض أن للضحية خصوم ، وسوف يقدمون "الفرص" عبر البريد الإلكتروني. نحن نبحث عن بيانات العدو في البريد. ابحث عن الروابط والمرفقات وما إلى ذلك. نحن نبحث عن تأكيد لهذه الفرضية لفترة معينة (شهر ، أسبوعين) ، إذا لم يتم العثور عليها ، فإن الفرضية لم تنجح.

2. استراتيجية تركز على البنية التحتية. هناك عدة طرق لاستخدام هذه الاستراتيجية. اعتمادًا على إمكانية الوصول والرؤية ، يكون بعضها أسهل من البعض الآخر. على سبيل المثال ، نحن نراقب خوادم أسماء النطاقات المعروفة باستضافة المجالات الضارة. أو لدينا عملية تعقب جميع تسجيلات اسم المجال الجديد لنمط معروف يستخدمه أحد الخصوم.

3. استراتيجية مدفوعة الفرص. بالإضافة إلى الاستراتيجية التي تركز على الضحية والتي يستخدمها معظم المدافعين عبر الإنترنت ، هناك استراتيجية تركز على القدرات. وهي ثاني أكثر البرامج شيوعًا وتركز على اكتشاف الفرص من الخصم ، وهي "البرامج الضارة" وإمكانية استخدام الخصم لأدوات مشروعة مثل psexec وowershell و certutil وغيرها.

4. استراتيجية تركز على العدو. يركز النهج المتمحور حول الخصم على الخصم نفسه. يتضمن ذلك استخدام المعلومات المفتوحة من المصادر المتاحة للجمهور (OSINT) ، وجمع البيانات حول العدو ، وتقنياته وأساليبه (TTP) ، وتحليل الحوادث السابقة ، وبيانات استخبارات التهديدات ، وما إلى ذلك.

مصادر المعلومات والفرضيات في TH

بعض مصادر المعلومات الخاصة بالتهديدات الصيد

يمكن أن يكون هناك العديد من مصادر المعلومات. يجب أن يكون المحلل المثالي قادرًا على استخراج المعلومات من كل ما هو موجود. ستكون المصادر النموذجية في أي بنية أساسية تقريبًا عبارة عن بيانات من أدوات الأمان: DLP و SIEM و IDS / IPS و WAF / FW و EDR. أيضًا ، ستكون مصادر المعلومات النموذجية جميع أنواع مؤشرات التسوية ، وخدمات استخبارات التهديدات ، وبيانات CERT و OSINT. بالإضافة إلى ذلك ، يمكنك استخدام المعلومات من darknet (على سبيل المثال ، هناك أمر مفاجئ لاختراق صندوق بريد رئيس المؤسسة ، أو تم تمييز مرشح لمنصب مهندس شبكة من خلال نشاطه) ، المعلومات الواردة من الموارد البشرية (مراجعات حول المرشح من وظيفة سابقة) ، معلومات من خدمة الأمن (على سبيل المثال ، نتائج فحص الطرف المقابل).

ولكن قبل استخدام جميع المصادر المتاحة ، من الضروري أن يكون لديك فرضية واحدة على الأقل.

مصدر

من أجل اختبار الفرضيات ، يجب طرحها أولاً. ومن أجل طرح العديد من الفرضيات النوعية ، من الضروري تطبيق نهج منظم. تم وصف عملية تكوين الفرضيات بمزيد من التفصيل في مقالة، من المريح جدًا اعتبار هذا المخطط أساسًا لعملية طرح الفرضيات.

المصدر الرئيسي للفرضيات سيكون مصفوفة ATT & CK (التكتيكات العدائية والتقنيات والمعرفة العامة). إنها في الواقع قاعدة معرفية ونموذج لتقييم سلوك المهاجمين الذين ينفذون أنشطتهم في الخطوات الأخيرة للهجوم ، وعادة ما يتم وصفهم باستخدام مفهوم سلسلة القتل. أي في المراحل التي تلي اختراق الدخيل الشبكة الداخلية للمؤسسة أو الجهاز المحمول. في البداية ، تضمنت قاعدة المعرفة وصفًا لـ 121 من التكتيكات والتقنيات المستخدمة في الهجوم ، كل منها موصوف بالتفصيل في تنسيق Wiki. تعد مجموعة متنوعة من تحليلات معلومات التهديدات مناسبة تمامًا كمصدر لإنشاء الفرضيات. وتجدر الإشارة بشكل خاص إلى نتائج تحليل البنية التحتية واختبارات الاختراق - فهذه هي البيانات الأكثر قيمة التي يمكن أن تقدمها لنا فرضيات الحديد نظرًا لحقيقة أنها تعتمد على بنية تحتية محددة مع أوجه القصور الخاصة بها.

عملية اختبار الفرضية

أحضر سيرجي سولداتوف مخطط جيد مع وصف تفصيلي للعملية ، فإنه يوضح عملية اختبار فرضية TH في نظام واحد. سأشير إلى المراحل الرئيسية مع وصف موجز.

مصدر

المرحلة 1: TI Farm

في هذه المرحلة ، من الضروري الاختيار شاء (من خلال تحليلها مع جميع بيانات التهديد) وتصنيفها بخصائصها. هذا ملف ، URL ، MD5 ، عملية ، فائدة ، حدث. من خلال تمريرها عبر أنظمة استخبارات التهديدات ، تحتاج إلى وضع ملصقات. وهذا يعني أن هذا الموقع شوهد في CNC في مثل هذا العام ، وكان MD5 هذا مرتبطًا بمثل هذه البرامج الضارة ، وقد تم تنزيل MD5 هذا من موقع يوزع برامج ضارة.

المرحلة 2: الحالات

في المرحلة الثانية ، ننظر إلى التفاعل بين هذه الكائنات ونحدد العلاقات بين كل هذه الأشياء. نحصل على أنظمة مميزة تفعل شيئًا سيئًا.

المرحلة الثالثة: المحلل

في المرحلة الثالثة ، يتم تحويل القضية إلى محلل متمرس ذي خبرة واسعة في التحليل ، ويقوم بإصدار الحكم. إنه يوزع إلى بايت ماذا وأين وكيف ولماذا ولماذا يعمل هذا الرمز. كان هذا الجسم من البرامج الضارة ، وأصيب هذا الكمبيوتر. يكشف عن العلاقات بين الكائنات ، ويتحقق من نتائج الركض عبر الصندوق الرمل.

يتم نقل نتائج عمل المحلل بشكل أكبر. يفحص الطب الشرعي الرقمي الصور ، ويفحص تحليل البرامج الضارة "الجثث" التي تم العثور عليها ، ويمكن لفريق الاستجابة للحوادث الانتقال إلى الموقع وفحص شيء موجود بالفعل. ستكون نتيجة العمل فرضية مؤكدة وهجوم محدد وطرق مواجهته.

مصدر
 

نتائج

Threat Hunting هي تقنية حديثة إلى حد ما يمكنها مواجهة التهديدات المخصصة والجديدة وغير القياسية بشكل فعال ، والتي لها آفاق كبيرة نظرًا للنمو في عدد هذه التهديدات وتعقيد البنية التحتية للشركات. يتطلب ثلاثة مكونات - البيانات والأدوات والتحليلات. لا تقتصر فوائد Threat Hunting على منع التهديدات. لا تنس أنه في عملية البحث ، نتعمق في بنيتنا التحتية ونقاط ضعفها من خلال أعين محلل أمني ويمكننا تعزيز هذه الأماكن بشكل أكبر.

الخطوات الأولى التي ، في رأينا ، يجب اتخاذها من أجل بدء عملية TH في مؤسستنا.

1. اهتم بحماية نقاط النهاية والبنية التحتية للشبكة. اعتن برؤية (NetFlow) والتحكم (جدار الحماية ، IDS ، IPS ، DLP) في جميع العمليات في شبكتك. تعرف على شبكتك من جهاز التوجيه Edge إلى آخر مضيف.
2. يكتشف MITER ATT & CK.
3. قم بإجراء اختبار اختراق منتظم على الأقل للموارد الخارجية الرئيسية ، وتحليل نتائجه ، وتحديد الأهداف الرئيسية للهجوم وإغلاق نقاط الضعف الخاصة بهم.
4. تنفيذ نظام استخبارات تهديدات مفتوح المصدر (على سبيل المثال ، MISP و Yeti) وتحليل السجلات معه.
5. تنفيذ منصة الاستجابة للحوادث (IRP): R-Vision IRP و The Hive و sandbox لتحليل الملفات المشبوهة (FortiSandbox و Cuckoo).
6. أتمتة العمليات الروتينية. يعد تحليل السجل ، وإنشاء الحوادث ، وإبلاغ الموظفين مجالًا ضخمًا للأتمتة.
7. تعرف على كيفية التفاعل الفعال مع المهندسين والمطورين والدعم الفني للعمل معًا بشأن الحوادث.
8. توثيق العملية برمتها والنقاط الرئيسية والنتائج المحققة للعودة إليها لاحقًا أو مشاركة هذه البيانات مع الزملاء ؛
9. ضع الجانب الاجتماعي في الاعتبار: كن على دراية بما يحدث لموظفيك ، ومن تقوم بتعيينه ومن تمنحه الوصول إلى موارد المعلومات الخاصة بالمنظمة.
10. مواكبة الاتجاهات في مجال التهديدات وأساليب الحماية الجديدة ، وتحسين مستواك في المعرفة التقنية (بما في ذلك في تشغيل خدمات تكنولوجيا المعلومات والأنظمة الفرعية) ، وحضور المؤتمرات والتواصل مع الزملاء.

على استعداد لمناقشة تنظيم عملية TH في التعليقات.

أو تعال واعمل معنا!

• استشاري قيادة
• مهندس نظام أمن المعلومات
• مهندس أمن الشبكات الرائد
• مهندس أمن المعلومات الرئيسي (SIEM)
• مهندس أمن المعلومات (تطبيقي)

مصادر ومواد للدراسة

• التهديدhunter.guru
• Attack.mitre.org
• الطب الشرعي الرقمي.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybeason.com
• www.anti-malware.ru
• www.anti-malware.ru
• الرد على all.blogspot.com
• lukatsky.blogspot.com
• Whitepapers.theregister.co.uk

المصدر: www.habr.com