İnformasiya təhlükəsizliyi təhdidlərinin 95%-i məlumdur və siz antiviruslar, firewall, IDS, WAF kimi ənənəvi vasitələrdən istifadə edərək özünüzü onlardan qoruya bilərsiniz. Qalan 5% təhdid naməlum və ən təhlükəlidir. Onlar şirkət üçün riskin 70%-ni təşkil edir, çünki onları aşkar etmək və hətta onlardan qorunmaq çox çətindir. Nümunələr Bunlar WannaCry, NotPetya/ExPetr ransomware, kriptominatorlar, Stuxnet “kiber silahı” (İranın nüvə obyektlərinə zərbə vuran) və bir çox başqa hücumların (Kido/Conficker-i xatırlayırmı?) klassik qorunma vasitələrindən çox yaxşı qorunmayan epidemiyalardır. Biz Threat Hunting texnologiyasından istifadə edərək bu 5%-lik təhlükələrə qarşı necə mübarizə aparmaq barədə danışmaq istəyirik.
Kiberhücumların davamlı təkamülü daimi aşkarlanma və əks tədbirlər tələb edir ki, bu da son nəticədə bizi hücum edənlər və müdafiəçilər arasında sonsuz silah yarışı haqqında düşünməyə vadar edir. Klassik təhlükəsizlik sistemləri daha məqbul təhlükəsizlik səviyyəsini təmin edə bilmir, bu zaman risk səviyyəsi şirkətin əsas göstəricilərinə (iqtisadi, siyasi, reputasiya) təsir göstərmir, lakin ümumilikdə onlar müəyyən bir infrastruktur üçün modifikasiya edilmədən onların bir hissəsini əhatə edir. risklər. Artıq tətbiq və konfiqurasiya prosesində müasir mühafizə sistemləri yetişmək rolundadır və yeni zamanın çağırışlarına cavab verməlidir.
Threat Hunting texnologiyası informasiya təhlükəsizliyi üzrə mütəxəssis üçün dövrümüzün çağırışlarına cavablardan biri ola bilər. Threat Hunting (bundan sonra TH adlandırılacaq) termini bir neçə il əvvəl ortaya çıxdı. Texnologiyanın özü olduqca maraqlıdır, lakin hələlik ümumi qəbul edilmiş standartlar və qaydalar yoxdur. Məlumat mənbələrinin heterojenliyi və bu mövzuda rusdilli məlumat mənbələrinin azlığı da məsələləri çətinləşdirir. Bununla əlaqədar olaraq, biz LANIT-Integration-da bu texnologiya haqqında rəy yazmaq qərarına gəldik.
Uyğunluq
TH texnologiyası infrastrukturun monitorinqi proseslərinə əsaslanır.. Xəbərdarlıq (MSSP xidmətinin növünə görə) ənənəvi üsuldur, əvvəllər hazırlanmış imzaları və hücum əlamətlərini axtarır və onlara cavab verir. Bu ssenari ənənəvi imza əsaslı mühafizə vasitələri ilə uğurla həyata keçirilir. Ovçuluq (MDR tipli xidmət) “İmzalar və qaydalar haradan gəlir?” sualına cavab verən monitorinq üsuludur. Gizli və ya əvvəllər məlum olmayan göstəriciləri və hücum əlamətlərini təhlil edərək korrelyasiya qaydalarının yaradılması prosesidir. Threat Hunting məhz bu tip monitorinqlərə aiddir.
Yalnız hər iki növ monitorinqi birləşdirməklə ideal qorunmaya yaxınlaşırıq, lakin həmişə müəyyən dərəcədə qalıq risk var.
İki növ monitorinqdən istifadə etməklə qorunma
Və bu səbəbdən TH (və ümumiyyətlə ovçuluq!) getdikcə aktuallaşacaq:
Təhdidlər, qorunma vasitələri, risklər.
. Bunlara spam, DDoS, viruslar, rootkitlər və digər klassik zərərli proqramlar daxildir. Eyni klassik müdafiə vasitələri ilə özünüzü bu təhlükələrdən qoruya bilərsiniz.
İstənilən layihə zamanı, qalan 20% iş isə vaxtın 80% -ni alır. Eynilə, bütün təhlükə mənzərəsi arasında yeni təhdid növlərinin 5%-i şirkət üçün riskin 70%-ni təşkil edəcək. İnformasiya təhlükəsizliyinin idarə edilməsi proseslərinin təşkil edildiyi bir şirkətdə biz bu və ya digər şəkildə qaçınmaqla (simsiz şəbəkələrdən imtina etməklə), qəbul etməklə (lazımi təhlükəsizlik tədbirlərini həyata keçirməklə) və ya dəyişdirməklə (məs. , bir inteqratorun çiyinlərinə) bu risk. Özünüzü qoruyun, APT hücumları, fişinq,, kiber-casusluq və milli əməliyyatlar, eləcə də çoxlu sayda digər hücumlar artıq çox çətindir. Bu 5% təhdidlərin nəticələri daha ciddi olacaq () antivirus proqramının xilas etdiyi spam və ya virusların nəticələrindən daha çox.
Demək olar ki, hər kəs təhdidlərin 5%-i ilə qarşılaşmalıdır. Bu yaxınlarda biz PEAR (PHP Extension and Application Repository) repozitoriyasından tətbiqi istifadə edən açıq mənbəli bir həll quraşdırmalı olduq. Bu proqramı armud quraşdırma vasitəsilə quraşdırmaq cəhdi uğursuz oldu, çünki əlçatmaz idi (indi artıq qaralama var), onu GitHub-dan quraşdırmalı oldum. Və bu yaxınlarda məlum oldu ki, PEAR qurban oldu.
Hələ də xatırlaya bilərsən, vergi hesabatı proqramının yeniləmə modulu vasitəsilə NePetya ransomware epidemiyası. Təhdidlər getdikcə daha da təkmilləşir və məntiqi sual yaranır - “Siz hələ də bu 5%-lik təhlükələrə necə qarşı çıxa bilərsiniz?”
Təhdid ovunun tərifi
Beləliklə, Təhdid Ovçuluğu ənənəvi qorunma vasitələri ilə aşkar edilə bilməyən qabaqcıl təhdidlərin proaktiv və təkrarlanan axtarışı və aşkarlanması prosesidir. Qabaqcıl təhdidlərə, məsələn, APT kimi hücumlar, 0 günlük zəifliklərə hücumlar, Torpaqdan kənarda yaşamaq və s. daxildir.
TH-nin fərziyyələri yoxlamaq prosesi olduğunu da ifadə etmək olar. Bu, avtomatlaşdırma elementləri olan əsasən əl ilə həyata keçirilən bir prosesdir ki, burada analitik öz bilik və bacarıqlarına güvənərək, müəyyən bir təhlükənin mövcudluğu ilə bağlı ilkin müəyyən edilmiş fərziyyəyə uyğun gələn kompromis əlamətlərini axtarmaq üçün böyük həcmdə məlumatı süzür. Onun fərqli bir xüsusiyyəti məlumat mənbələrinin müxtəlifliyidir.
Qeyd etmək lazımdır ki, Threat Hunting bir növ proqram və ya aparat məhsulu deyil. Bunlar bəzi həll yollarında görünə bilən xəbərdarlıqlar deyil. Bu, IOC-ları (İdentifikatorlar Kompromis) axtarmaq prosesi deyil. Və bu, informasiya təhlükəsizliyi üzrə analitiklərin iştirakı olmadan gedən bir növ passiv fəaliyyət deyil. Təhdid Ovçuluğu ilk növbədə bir prosesdir.
Təhdid ovunun komponentləri
Threat Hunting-in üç əsas komponenti: məlumat, texnologiya, insanlar.
Məlumat (nə?), o cümlədən Big Data. Hər cür trafik axınları, keçmiş APT-lər haqqında məlumat, analitika, istifadəçi fəaliyyəti məlumatları, şəbəkə məlumatları, işçilərdən alınan məlumatlar, qaranlıq internetdəki məlumatlar və daha çox.
Texnologiya (necə?) bu məlumatların işlənməsi - Maşın Öyrənməsi daxil olmaqla, bu məlumatların emalının bütün mümkün yolları.
O insanlar ki?) - müxtəlif hücumları təhlil etməkdə böyük təcrübəyə malik olanlar, inkişaf etmiş intuisiya və hücumu aşkar etmək bacarığı. Adətən bunlar informasiya təhlükəsizliyi analitikləridir, onlar fərziyyələr yaratmağı və onların təsdiqini tapmağı bacarmalıdırlar. Onlar prosesin əsasını təşkil edirlər.
Model PARIS
Adam Beytman İdeal TH prosesi üçün PARİS modeli. Adı, sanki, Fransanın məşhur əlamətdarlığına işarə edir. Bu modelə iki istiqamətdə baxmaq olar - yuxarıdan və aşağıdan.
Təhdidlərin axtarışı prosesində, modeli irəliləyərək, zərərli fəaliyyətin bir çox sübutu ilə qarşılaşacağıq. Hər bir dəlilin müəyyənlik adlanan bir ölçüsü var, o dəlilin ağırlığını əks etdirən bir xüsusiyyət. "Dəmir", zərərli fəaliyyətin birbaşa sübutu var, ona görə biz dərhal piramidanın zirvəsinə çata və tanınmış infeksiya haqqında faktiki xəbərdarlıq yarada bilərik. Və dolayı sübutlar var ki, onların cəmi bizi piramidanın zirvəsinə apara bilər. Həmişə olduğu kimi, birbaşa sübutlardan daha çox dolayı sübutlar var, yəni onları çeşidləmək və təhlil etmək lazımdır, əlavə tədqiqatlar aparılmalıdır və bunun avtomatlaşdırılması arzu edilir.
PARİS modeli.
Modelin yuxarı hissəsi (1 və 2) avtomatlaşdırma texnologiyalarına və müxtəlif analitikalara, aşağı hissəsi isə (3 və 4) prosesi idarə edən müəyyən ixtisaslara malik olan şəxslərə əsaslanır. Siz yuxarıdan aşağıya doğru hərəkət edən modelə baxa bilərsiniz, burada mavi rəngin yuxarı hissəsində yüksək dərəcədə inam və etibara malik ənənəvi qorunma vasitələrindən (antivirus, EDR, firewall, imzalar) xəbərdarlıqlar və göstəricilərin altında ( IOC, URL, MD5 və s.), daha az əminlik dərəcəsinə malikdir və əlavə tədqiqat tələb edir. Ən aşağı və ən qalın səviyyə isə (4) fərziyyələrin yaranması, ənənəvi mühafizə vasitələrinin işləməsi üçün yeni ssenarilərin yaradılmasıdır. Bu səviyyə göstərilən fərziyyə mənbələri ilə məhdudlaşmır. Səviyyə nə qədər aşağı olarsa, analitikin ixtisasına bir o qədər çox tələblər qoyulur.
Çox vacibdir ki, analitiklər sadəcə əvvəlcədən müəyyən edilmiş fərziyyələrin sonlu dəstini sınaqdan keçirməsinlər, həm də onların sınaqdan keçirilməsi üçün yeni fərziyyələr və seçimlər yaratmaq üçün daim çalışırlar.
TH İstifadə Yetkinlik Modeli
İdeal bir dünyada TH davamlı bir prosesdir. Amma ideal dünya olmadığı üçün təhlil edək və istifadə olunan insanlar, proseslər və texnologiyalar baxımından metodlar. İdeal sferik TH modelini nəzərdən keçirək. Bu texnologiyadan istifadənin 5 səviyyəsi var. Onları tək analitiklər qrupunun təkamülü timsalında nəzərdən keçirək.
yetkinlik səviyyələri
Xalq
Proseslər
Texnologiya
Level 0
SOC analitikləri
24/7
Ənənəvi Alətlər:
Ənənəvi
Xəbərdarlıq dəsti
Passiv Monitorinq
IDS, AV, Sandboxing,
TH olmadan
Xəbərdarlıqlarla işləmək
imza analizi alətləri, Təhdid Kəşfiyyatı məlumatları.
Level 1
SOC analitikləri
Birdəfəlik TH
EDR
Eksperimental
Məhkəmə ekspertizası üzrə əsas biliklər
IOC Axtarışı
Şəbəkə cihazlarından məlumatların qismən əhatə dairəsi
TH ilə təcrübələr
Şəbəkələr və proqramlar haqqında yaxşı bilik
Qismən tətbiq
Level 2
Müvəqqəti işğal
Sprintlər
EDR
Dövri
Məhkəmə ekspertizası üzrə orta biliklər
Ayda həftəlik
Tam tətbiq
Müvəqqəti TH
Şəbəkələr və proqramlar haqqında mükəmməl bilik
Daimi TH
EDR məlumatlarının istifadəsinin tam avtomatlaşdırılması
Qabaqcıl EDR xüsusiyyətlərinin qismən istifadəsi
Level 3
Xüsusi TH əmri
24/7
TH fərziyyələrini sınamaq üçün qismən qabiliyyət
Profilaktik
Məhkəmə ekspertizası və zərərli proqramlar haqqında mükəmməl bilik
Profilaktik TH
Qabaqcıl EDR xüsusiyyətlərindən tam istifadə
Xüsusi hallar TH
Hücum edən tərəf haqqında əla məlumat
Xüsusi hallar TH
Şəbəkə cihazlarından məlumatların tam əhatə dairəsi
Fərdi konfiqurasiya
Level 4
Xüsusi TH əmri
24/7
TH fərziyyələrini yoxlamaq üçün tam qabiliyyət
Aparıcı
Məhkəmə ekspertizası və zərərli proqramlar haqqında mükəmməl bilik
Profilaktik TH
Səviyyə 3 plus:
TH istifadəsi
Hücum edən tərəf haqqında əla məlumat
TH hipotezlərinin yoxlanılması, avtomatlaşdırılması və yoxlanılması
məlumat mənbələrinin sıx inteqrasiyası;
Tədqiqat bacarığı
ehtiyaclar üçün inkişaf və API-nin qeyri-standart istifadəsi.
İnsanlar, proseslər və texnologiyalar üzrə TH yetkinlik səviyyələri
Səviyyə 0: ənənəvi, TH istifadə etmədən. Adi analitiklər standart alətlər və texnologiyalardan istifadə edərək passiv monitorinq rejimində standart siqnallar dəsti ilə işləyirlər: IDS, AV, sandboxlar, imza analizi alətləri.
Səviyyə 1: TH istifadə edərək eksperimental. Məhkəmə ekspertizasının əsas biliyi və şəbəkələr və tətbiqlər haqqında yaxşı biliyə malik olan eyni analitiklər kompromis göstəricilərini axtararaq birdəfəlik Təhdid Ovunu həyata keçirə bilərlər. Şəbəkə cihazlarından məlumatların qismən əhatə olunduğu alətlərə EDR-lər əlavə olunur. Alətlər qismən tətbiq olunur.
Səviyyə 2: dövri, müvəqqəti TH. Məhkəmə ekspertizası, şəbəkələr və tətbiq olunan hissələr haqqında biliklərini artırmış eyni analitiklərdən, məsələn, ayda bir həftə müntəzəm olaraq (sprint) Təhdid Ovçuluğu ilə məşğul olmaları tələb olunur. Alətlər şəbəkə cihazlarından məlumatların tam tədqiqi, EDR-dən verilənlərin təhlilinin avtomatlaşdırılması və qabaqcıl EDR imkanlarının qismən istifadəsi ilə tamamlanır.
Səviyyə 3: profilaktik, tez-tez TH halları. Analitiklərimiz özlərini xüsusi bir komanda şəklində təşkil etdilər, kriminalistika və zərərli proqramlar haqqında mükəmməl biliyə, habelə hücum edən tərəfin üsul və taktikalarına dair biliklərə sahib olmağa başladılar. Proses artıq 24/7 işləyir. Komanda şəbəkə cihazlarından məlumatların tam əhatə dairəsi ilə EDR-in qabaqcıl imkanlarından tam istifadə etməklə TH fərziyyələrini qismən sınaqdan keçirə bilir. Analitiklər həmçinin alətləri ehtiyaclarına uyğun konfiqurasiya edə bilirlər.
Səviyyə 4: yüksək səviyyəli, TH istifadəsi. Eyni komanda tədqiqat qabiliyyəti, TH hipotezlərinin sınaqdan keçirilməsi prosesini yaratmaq və avtomatlaşdırmaq bacarığı əldə etdi. İndi məlumat mənbələrinin sıx inteqrasiyası, ehtiyaclar üçün proqram təminatının inkişafı və API-lərin qeyri-standart istifadəsi ilə alətlər əlavə edilmişdir.
Təhdid ovlama texnikaları
Əsas Təhdid Ovlama Texnikaları
К Texnoloji yetkinlik sırasına görə TH-lər bunlardır: əsas axtarış, statistik təhlil, vizuallaşdırma üsulları, sadə birləşmələr, maşın öyrənməsi və Bayes metodları.
Müəyyən sorğuların köməyi ilə tədqiqat sahəsini daraltmaq üçün ən sadə üsul, əsas axtarışdan istifadə edilir. Statistik təhlil, məsələn, statistik model şəklində tipik bir istifadəçi və ya şəbəkə fəaliyyəti qurmaq üçün istifadə olunur. Vizuallaşdırma üsulları, nümunədə nümunələri tutmağı xeyli asanlaşdıran qrafiklər və diaqramlar şəklində məlumatların təhlilini vizual olaraq göstərmək və sadələşdirmək üçün istifadə olunur. Axtarış və təhlili optimallaşdırmaq üçün əsas sahələr üzrə sadə birləşmələr texnikasından istifadə olunur. Təşkilatda TH prosesi nə qədər yetkinləşərsə, maşın öyrənməsi alqoritmlərinin istifadəsi bir o qədər aktuallaşır. Onlar həmçinin spam filtrasiyasında, zərərli trafikin aşkarlanmasında və fırıldaqçılığın aşkarlanmasında geniş istifadə olunur. Maşın öyrənmə alqoritmlərinin daha təkmil növü təsnifat, nümunə ölçüsünü azaltmaq və mövzu modelləşdirməyə imkan verən Bayes metodlarıdır.
Diamond Model və TH Strategiyaları
Sergio Caltagiron, Andrew Pendegast və Christopher Betz öz işlərində "” hər hansı bir zərərli fəaliyyətin əsas əsas komponentlərini və onlar arasındakı əsas əlaqəni göstərdi.
Zərərli fəaliyyət üçün almaz modeli
Bu modelə uyğun olaraq, müvafiq əsas komponentlərə əsaslanan 4 Təhdid Ov strategiyası mövcuddur.
1. Qurbana yönəlmiş strategiya. Güman edirik ki, qurbanın rəqibləri var və onlar e-poçt vasitəsilə "imkanlar" verəcəklər. Biz poçtda düşmən məlumatlarını axtarırıq. Bağlantılar, qoşmalar və s. axtarın. Biz bu fərziyyənin müəyyən müddət ərzində (bir ay, iki həftə) təsdiqini axtarırıq, əgər tapılmasa, deməli, fərziyyə işləmir.
2. İnfrastruktura yönəlmiş strategiya. Bu strategiyadan istifadə etməyin bir neçə yolu var. Giriş və görünürlükdən asılı olaraq, bəziləri digərlərindən daha asandır. Məsələn, biz zərərli domenlərə ev sahibliyi etdiyi məlum olan domen adı serverlərinə nəzarət edirik. Yaxud bizdə düşmən tərəfindən istifadə edilən məlum model üçün bütün yeni domen adı qeydiyyatlarını izləmək prosesi var.
3. Fürsətlərə əsaslanan strategiya. Əksər onlayn müdafiəçilərin istifadə etdiyi qurbana yönəlmiş strategiyaya əlavə olaraq, qabiliyyətə əsaslanan strategiya da mövcuddur. O, ikinci ən populyardır və rəqibin imkanlarını, yəni "zərərli proqram" və rəqibin psexec, powershell, certutil və başqaları kimi qanuni vasitələrdən istifadə etmək imkanlarını aşkar etməyə yönəlib.
4. Düşmənə yönəlmiş strategiya. Düşmən mərkəzli yanaşma rəqibin özünə diqqət yetirir. Buraya açıq mənbələrdən (OSINT) açıq məlumatların istifadəsi, düşmən, onun texnika və üsulları haqqında məlumatların toplanması (TTP), əvvəlki hadisələrin təhlili, Təhdid Kəşfiyyatı məlumatları və s.
TH-də məlumat və fərziyyə mənbələri
Threat Hunting üçün bəzi məlumat mənbələri
Bir çox məlumat mənbəyi ola bilər. İdeal analitik ətrafdakı hər şeydən məlumat çıxarmağı bacarmalıdır. Demək olar ki, hər hansı bir infrastrukturda tipik mənbələr təhlükəsizlik alətlərindən alınan məlumatlar olacaq: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Həmçinin, tipik məlumat mənbələri hər cür kompromis göstəriciləri, Təhdid Kəşfiyyat xidmətləri, CERT və OSINT məlumatları olacaqdır. Bundan əlavə, qaranlıq şəbəkədən məlumatlardan istifadə edə bilərsiniz (məsələn, birdən təşkilat rəhbərinin poçt qutusunu sındırmaq əmri var və ya şəbəkə mühəndisi vəzifəsinə namizəd onun fəaliyyəti ilə vurğulanıb), HR-dən alınan məlumatlardan istifadə edə bilərsiniz. (əvvəlki işindən namizəd haqqında rəylər), təhlükəsizlik xidmətinin məlumatı (məsələn, qarşı tərəfin yoxlamasının nəticələri).
Ancaq bütün mövcud mənbələrdən istifadə etməzdən əvvəl ən azı bir fərziyyəyə sahib olmaq lazımdır.
Hipotezləri yoxlamaq üçün ilk növbədə onlar irəli sürülməlidir. Və bir çox keyfiyyət fərziyyələri irəli sürmək üçün sistemli yanaşma tətbiq etmək lazımdır. Hipotezlərin yaradılması prosesi daha ətraflı şəkildə təsvir edilmişdir, hipotezlərin irəli sürülməsi prosesi üçün bu sxemi əsas götürmək çox rahatdır.
Hipotezlərin əsas mənbəyi olacaq ATT&CK matrisi (Rəqib taktikası, texnikası və ümumi bilik). Bu, əslində Kill Chain konsepsiyasından istifadə etməklə təsvir edilən hücumun son addımlarında fəaliyyətlərini həyata keçirən təcavüzkarların davranışlarını qiymətləndirmək üçün bir məlumat bazası və bir modeldir. Yəni, təcavüzkar müəssisənin daxili şəbəkəsinə və ya mobil cihaza daxil olduqdan sonrakı mərhələlərdə. İlkin olaraq, bilik bazasına hücumda istifadə olunan 121 taktika və texnikanın təsviri daxil edilib və onların hər biri Wiki formatında ətraflı təsvir edilib. Müxtəlif Təhdid Kəşfiyyatı analitikaları fərziyyələr yaratmaq üçün mənbə kimi çox uyğundur. İnfrastruktur təhlili və nüfuz testlərinin nəticələri xüsusilə diqqətəlayiqdir - bunlar dəmir fərziyyələrinin spesifik çatışmazlıqları olan konkret infrastruktura etibar etmələri səbəbindən bizə verə biləcəyi ən qiymətli məlumatlardır.
Hipotez Test Prosesi
Sergey Soldatov gətirdi prosesin ətraflı təsviri ilə bir sistemdə TH fərziyyəsinin sınaqdan keçirilməsi prosesini təsvir edir. Əsas mərhələləri qısa təsvirlə göstərəcəyəm.
Mərhələ 1: TI Farm
Bu mərhələdə seçim etmək lazımdır obyektlər (onları bütün təhlükə məlumatları ilə birlikdə təhlil etməklə) və xüsusiyyətləri ilə etiketləmək. Bu fayl, URL, MD5, proses, yardım proqramı, hadisədir. Onları Təhdid Kəşfiyyat sistemlərindən keçirərək etiketlər qoymalısınız. Yəni bu sayt filan ildə CNC-də görülüb, bu MD5 filan zərərli proqramla əlaqəli olub, bu MD5 zərərli proqram yayan saytdan endirilib.
Mərhələ 2: Davalar
İkinci mərhələdə biz bu obyektlər arasındakı qarşılıqlı əlaqəyə baxırıq və bütün bu obyektlər arasındakı əlaqələri müəyyənləşdiririk. Biz pis bir şey edən qeyd sistemləri alırıq.
Mərhələ 3: Analitik
Üçüncü mərhələdə iş təhlildə böyük təcrübəyə malik təcrübəli analitikə verilir və o, hökm çıxarır. Bu kodun nəyi, harada, necə, niyə və niyə etdiyini baytlara təhlil edir. Bu bədən zərərli proqram idi, bu kompüter yoluxmuşdu. Obyektlər arasındakı əlaqələri aşkar edir, qum qutusundan keçməyin nəticələrini yoxlayır.
Analitikin işinin nəticələri daha sonra ötürülür. Digital Forensics şəkilləri araşdırır, Zərərli Proqram Təhlili aşkar edilmiş "cəsədləri" araşdırır və İnsidentə Müdaxilə komandası sayta gedib orada olan bir şeyi yoxlaya bilər. İşin nəticəsi təsdiqlənmiş fərziyyə, müəyyən edilmiş hücum və ona qarşı mübarizə yolları olacaq.
Nəticələri
Threat Hunting, fərdiləşdirilmiş, yeni və qeyri-standart təhdidlərə effektiv şəkildə qarşı çıxa bilən kifayət qədər gənc texnologiyadır və bu cür təhlükələrin sayının artması və korporativ infrastrukturun mürəkkəbliyi nəzərə alınmaqla böyük perspektivlərə malikdir. Bunun üçün üç komponent tələb olunur - məlumatlar, alətlər və analitika. Threat Hunting-in faydaları təhdidlərin qarşısının alınması ilə məhdudlaşmır. Unutmayın ki, axtarış prosesində biz bir təhlükəsizlik analitikinin gözü ilə infrastrukturumuza və onun zəif nöqtələrinə dalırıq və bu yerləri daha da gücləndirə bilərik.
Fikrimizcə, təşkilatımızda TH prosesinə başlamaq üçün atılmalı olan ilk addımlar.
- Son nöqtələrin və şəbəkə infrastrukturunun qorunmasına diqqət yetirin. Şəbəkənizdəki bütün proseslərin görünməsinə (NetFlow) və nəzarətinə (firewall, IDS, IPS, DLP) diqqət yetirin. Şəbəkənizi kənar marşrutlaşdırıcıdan ən son hosta qədər tanıyın.
- Kəşf edin.
- Ən azı əsas xarici resursların mütəmadi olaraq nüfuz testini aparın, onun nəticələrini təhlil edin, hücumun əsas hədəflərini müəyyənləşdirin və zəifliklərini bağlayın.
- Açıq mənbə Təhdid Kəşfiyyatı sistemini (məsələn, MISP, Yeti) tətbiq edin və onunla birlikdə qeydləri təhlil edin.
- Insident Response Platform (IRP) tətbiq edin: R-Vision IRP, The Hive, şübhəli faylları təhlil etmək üçün sandbox (FortiSandbox, Cuckoo).
- Rutin prosesləri avtomatlaşdırın. Qeydiyyatın təhlili, insidentlərin yaradılması, işçilərin məlumatlandırılması avtomatlaşdırma üçün böyük bir sahədir.
- İnsidentlər üzərində birlikdə işləmək üçün mühəndislər, tərtibatçılar, texniki dəstək ilə effektiv qarşılıqlı əlaqə qurmağı öyrənin.
- Bütün prosesi, əsas məqamları, əldə edilmiş nəticələri sonradan onlara qaytarmaq və ya bu məlumatları həmkarları ilə bölüşmək üçün sənədləşdirin;
- Sosial tərəfi nəzərə alın: İşçilərinizlə nə baş verdiyindən, kimi işə götürdüyünüzdən və təşkilatın informasiya resurslarına giriş icazəsi verdiyinizdən xəbərdar olun.
- Yeni təhdidlər və qorunma üsulları sahəsində tendensiyalardan xəbərdar olun, texniki savadlılıq səviyyənizi yüksəldin (o cümlədən İT xidmətlərinin və alt sistemlərinin istismarında), konfranslarda iştirak edin və həmkarlarınızla ünsiyyət qurun.
Şərhlərdə TH prosesinin təşkilini müzakirə etməyə hazırıq.
Ya da bizimlə işləyin!
Tədqiqat üçün mənbələr və materiallar
Mənbə: www.habr.com