95% пагроз інфармацыйнай бяспецы з'яўляюцца вядомымі, і абараніцца ад іх можна традыцыйнымі сродкамі тыпу антывірусаў, міжсеткавых экранаў, IDS, WAF. Астатнія 5% пагроз - невядомыя і самыя небяспечныя. Яны складаюць 70% рызыкі для кампаніі ў сілу таго, што вельмі няпроста іх выявіць і ўжо тым больш ад іх абараніцца. Прыкладамі з'яўляюцца эпідэміі шыфравальшчыкаў WannaCry, NotPetya/ExPetr, криптомайнеры, «кіберзброя» Stuxnet (якая ўразіла ядзерныя аб'екты Ірана) і мноства (хто-небудзь яшчэ памятае Kido/Conficker?) іншых нападаў, ад якіх не вельмі добрае атрымліваецца абараняцца класічнымі сродкамі абароны. Аб тым, як супрацьстаяць гэтым 5% пагроз з дапамогай тэхналогіі Threat Hunting, мы і жадаем пагаварыць.
Бесперапыннае развіццё кібер-нападаў патрабуе пастаяннага выяўлення і процідзеяння, што ў канчатковым выніку прыводзіць нас да думкі аб бясконцай гонцы ўзбраенняў паміж зламыснікамі і абаронцамі. Класічныя сістэмы абароны ўжо не ў стане забяспечыць прымальны ўзровень абароненасці, пры якім узровень рызыкі не ўплывае на ключавыя паказчыкі кампаніі (эканамічныя, палітычныя, рэпутацыю) без іх дапрацоўкі пад пэўную інфраструктуру, але ў цэлым яны закрываюць частку рызык. Ужо ў працэсе прымянення і канфігурацыі сучасныя сістэмы абароны аказваюцца ў ролі даганяе і павінны адказваць на выклікі новага часу.
Адным з адказаў на выклікі сучаснасці для адмыслоўца па ИБ можа быць тэхналогія Threat Hunting. Тэрмін Threat Hunting (далей па тэксце - TH) з'явіўся некалькі гадоў таму. Сама тэхналогія даволі цікавая, але яшчэ не мае ніякіх агульнапрынятых стандартаў і правіл. Таксама ўскладняе справу разнастайнасць крыніц інфармацыі і малая колькасць рускамоўных крыніц інфармацыі па гэтай тэме. У сувязі з гэтым мы ў «шчокі-Інтэграцыі» вырашылі напісаць нейкі агляд дадзенай тэхналогіі.
актуальнасць
Тэхналогія TH абапіраецца на працэсы маніторынгу інфраструктуры.. Алертынг (па тыпе паслуг MSSP) - традыцыйны метад, пошук распрацаваных раней сігнатур і прыкмет нападаў і рэагаванне на іх. Гэты сцэнар паспяхова выконваюць традыцыйныя сігнатурныя сродкі абароны. Хантынг (паслуга тыпу MDR) - метад маніторынгу, які адказвае на пытанне "Адкуль бяруцца сігнатуры і правілы?". Гэта працэс стварэння правіл карэляцыі шляхам аналізу ўтоеных ці раней невядомых індыкатараў і прыкмет нападу. Менавіта да дадзенага тыпу маніторынгу і адносіцца Threat Hunting.
Толькі камбінуючы абодва тыпу маніторынгу, мы атрымліваем абарону, блізкую да ідэальнай, але заўсёды застаецца некаторы ўзровень рэшткавага рызыкі.
Абарона з выкарыстаннем двух тыпаў маніторынгу
А вось чаму TH (і хантынг цалкам!) будзе ўсё больш актуальным:
Пагрозы, сродкі аховы, рызыкі.
. Да іх ставяцца такія выгляды, як спам, DDoS, вірусы, руткіты і іншыя класічныя зловреды. Абараніцца ад гэтых пагроз можна тымі ж класічнымі сродкамі абароны.
У ходзе выканання любога праекта, а астатнія 20% працы займаюць 80% часу. Аналагічнай выявай сярод усяго ландшафту пагроз 5% пагроз новага тыпу будуць складаць 70% рызыкі для кампаніі. У кампаніі, дзе арганізаваны працэсы кіравання інфармацыйнай бяспекай, 30% рызыкі рэалізацыі вядомых пагроз мы можам так ці інакш кіраваць, пазбягаючы (адмова ад бесправадных сетак у прынцыпе), прымаючы (укараняючы неабходныя сродкі абароны) або перакладаючы (напрыклад, на плечы інтэгратара) гэты рызыка. Абараніцца ж ад, APT-напад, фішынгу,, кібершпіёнскіх і нацыянальных аперацый, а таксама ад вялікай колькасці іншых нападаў ужо нашмат складаней. Наступствы ж ад гэтых 5% пагроз будуць нашмат сур'ёзней (), чым наступствы ад спаму або вірусаў, ад якіх ратуе антывіруснае ПА.
З 5% пагроз даводзіцца сутыкацца практычна ўсім. Нядаўна нам даводзілася ўсталёўваць адно open-source-рашэнне, якое выкарыстоўвае дадатак з рэпазітара PEAR (PHP Extension and Application Repository). Спроба ўсталяваць гэта дадатак праз pear install завяршылася няўдачай, бо быў недаступны (цяпер на ім ужо вісіць заглушка), прыйшлося ўсталёўваць яго з GitHub. А літаральна нядаўна высветлілася, што PEAR стаў ахвярай.
Можна яшчэ ўспомніць, эпідэмію шыфравальшчыка NePetya праз модуль абнаўлення праграмы для вядзення падатковай справаздачнасці. Пагрозы становяцца ўсё больш выдасканаленымі, і ўзнікае лагічнае пытанне - "Як жа ўсё ж такі супрацьстаяць гэтым 5% пагроз?"
Вызначэнне Threat Hunting
Такім чынам, Threat Hunting - працэс праактыўнага і ітэратыўнага пошуку і выяўлення прасунутых пагроз, якія немагчыма выявіць традыцыйнымі сродкамі абароны. Да прасунутых пагроз ставяцца, напрыклад, такія напады, як APT, напады на 0-day уразлівасці, Living off the Land і гэтак далей.
Таксама можна перафразаваць, што TH - гэта працэс праверкі гіпотэз. Гэта пераважна ручны працэс з элементамі аўтаматызацыі, у рамках якога аналітык, абапіраючыся на свае веды і кваліфікацыю, прасейваюць вялікія аб'ёмы інфармацыі ў пошуках прыкмет кампраметацыі, якія адпавядаюць першапачаткова вызначанай гіпотэзе аб прысутнасці вызначанай пагрозы. Адметнай асаблівасцю яго з'яўляецца разнастайнасць крыніц інфармацыі.
Неабходна адзначыць, што Threat Hunting - гэта не нейкі праграмны або жалезны прадукт. Гэта не алерты, якія можна ўбачыць у нейкім рашэнні. Гэта не працэс пошуку IOC (ідэнтыфікатараў кампраметацыі). І гэта не нейкая пасіўная актыўнасць, якая ідзе без удзелу аналітыкаў ИБ. Threat Hunting - перш за ўсё, працэс.
Складнікі Threat Hunting
Тры асноўныя складнікі Threat Hunting: дадзеныя, тэхналогіі, людзі.
Дадзеныя (што?), у тым ліку і Big Data. Разнастайныя патокі трафіку, інфармацыя аб раней праведзеных APT, аналітыка, дадзеныя аб карыстацкай актыўнасці, сеткавыя дадзеныя, інфармацыя ад супрацоўнікаў, інфармацыя ў даркнеце і многае іншае.
Тэхналогіі (як?) апрацоўкі гэтых дадзеных - усе магчымыя спосабы апрацоўкі гэтых дадзеных, уключаючы Machine Learning.
Людзі (хто?) - тыя, хто валодае вялікім досведам аналізу разнастайных нападаў, развітой інтуіцыяй і здольнасцю выявіць напад. Звычайна гэта аналітыкі інфармацыйнай бяспекі, якія павінны мець здольнасць генераваць гіпотэзы і знаходзіць ім пацвярджэнне. Яны - асноўнае звяно працэсу.
Мадэль PARIS
Адам Бейтман мадэль PARIS для ідэальнага працэсу TH. Назва як бы намякае на вядомую славутасць Францыі. Гэтую мадэль можна разглядаць у двух кірунках - зверху і знізу.
У працэсе палявання на пагрозы, рухаючыся па мадэлі знізу ўверх, мы будзем мець справу са мноствам доказаў шкоднаснай актыўнасці. У кожнага доказу ёсць такая мера, як упэўненасць - характарыстыка, якая адлюстроўвае вагу гэтага доказу. Ёсць «жалезныя», прамыя сведчанні шкоднаснай актыўнасці, па якіх мы адразу можам дасягнуць вяршыні піраміды і стварыць фактычнае апавяшчэнне аб сапраўды вядомым заражэнні. І ёсць ускосныя доказы, сума якіх таксама можа прывесці нас да вяршыні піраміды. Як заўсёды, ускосных сведчанняў нашмат больш, чым прамых, а значыць, іх трэба сартаваць і аналізаваць, праводзіць дадатковыя даследаванні і пажадана гэта аўтаматызаваць.
Мадэль PARIS.
Верхняя частка мадэлі (1 і 2) заснавана на тэхналогіях аўтаматызацыі і разнастайнай аналітыцы, а ніжняя частка (3 і 4) на людзях з вызначанай кваліфікацыяй, якія кіруюць працэсам. Можна разглядаць мадэль, рухаючыся зверху ўніз, дзе ў верхняй частцы сіняга колеру ў нас абвесткі ад традыцыйных сродкаў абароны (антывірус, EDR, файрвол, сігнатуры) з высокай ступенню ўпэўненасці і даверу, а ніжэй паказчыкі (IOC, URL, MD5 і іншыя), якія маюць меншую ступень упэўненасці і патрабуюць дадатковага вывучэння. І самы ніжні і самы тоўсты ўзровень (4) - генерацыя гіпотэз, стварэнне новых сцэнарыяў працы традыцыйных сродкаў абароны. Гэты ўзровень не абмяжоўваецца толькі названымі крыніцамі гіпотэз. Чым ніжэйшы ўзровень, тым больш патрабаванняў прад'яўляецца да кваліфікацыі аналітыка.
Вельмі важна, каб аналітыкі не проста правяралі канчатковы набор загадзя вызначаных гіпотэз, а ўвесь час працавалі над тым, каб генераваць новыя гіпотэзы і варыянты іх праверкі.
Мадэль сталасці выкарыстання TH
У ідэальным свеце TH - гэта бесперапынны працэс. Але, паколькі ідэальнага свету не бывае, прааналізуем і метады ў разрэзе людзей, працэсаў і выкарыстоўваных тэхналогій. Разгледзім мадэль ідэальнага сферычнага TH. Ёсць 5 узроўняў выкарыстання гэтай тэхналогіі. Разгледзім іх на прыкладзе эвалюцыі асобна ўзятай каманды аналітыкаў.
Узроўні сталасці
Людзі
працэсы
Тэхналогіі
узровень 0
Аналітыкі SOC
24/7
Традыцыйныя інструменты:
Традыцыйны
Набор алертаў
Пасіўны маніторынг
IDS, AV, Sandboxing,
Без TH
Праца з алертамі
сродкі сігнатурнага аналізу, дадзеныя Threat Intelligence.
узровень 1
Аналітыкі SOC
Аднаразовы TH
EDR
Эксперыментальны
Базавыя веды фарэнзікі
Пошук IOC
Частковы ахоп дадзеных ад сеткавых прылад
Эксперыменты з TH
Добрае веданне сетак і прыкладной часткі
Частковае прымяненне
узровень 2
Часовы занятак
Спрынты
EDR
Перыядычны
Сярэднія веды фарэнзікі
Тыдзень у месяц
Поўнае прымяненне
Часовы TH
Выдатнае веданне сетак і прыкладной часткі
Рэгулярны TH
Поўная аўтаматызацыя выкарыстання дадзеных EDR
Частковае выкарыстанне пашыраных магчымасцей EDR
узровень 3
Выдзеленая каманда TH
24/7
Частковая магчымасць правяраць гіпотэзы TH
Прэвентыўны
Выдатныя веды фарэнзікі і шкоднаснага ПЗ
Прэвентыўны TH
Поўнае выкарыстанне пашыраных магчымасцяў EDR
Прыватныя выпадкі TH
Выдатныя веды атакавалага боку
Прыватныя выпадкі TH
Поўны ахоп дадзеных ад сеткавых прылад
Канфігурацыя пад патрэбнасці
узровень 4
Выдзеленая каманда TH
24/7
Поўная магчымасць правяраць гіпотэзы TH
Лідзіруючы
Выдатныя веды фарэнзікі і шкоднаснага ПЗ
Прэвентыўны TH
Узровень 3, плюс:
Выкарыстанне TH
Выдатныя веды атакавалага боку
Праверка, аўтаматызацыя і верыфікацыя гіпотэз TH
цесная інтэграцыя крыніц даных;
Здольнасць да даследаванняў
распрацоўка пад патрэбнасці і нестандартнае выкарыстанне API.
Узроўні сталасці TH у разрэзе людзей, працэсаў і тэхналогій
Узровень 0: традыцыйны, без выкарыстання TH. Звычайныя аналітыкі працуюць са стандартным наборам алертаў у рэжыме пасіўнага маніторынгу з выкарыстаннем стандартных інструментаў і тэхналогій: IDS, AV, пясочніцы, сродкаў сігнатурнага аналізу.
Узровень 1: эксперыментальны, з выкарыстаннем TH. Тыя ж аналітыкі з базавымі ведамі фарэнзікі і добрым веданнем сетак і прыкладной часткі могуць ажыццявіць аднаразовы Threat Hunting пасродкам пошуку індыкатараў кампраметацыі. Да прылад дадаюцца EDR з частковым ахопам дадзеных ад сеткавых прылад. Інструменты прымяняюцца часткова.
Узровень 2: перыядычны, часовы TH. Тым жа самым аналітыкам, якія ўжо прапампавалі свае веды па фарэнзіцы, сетках і прыкладной частцы ставіцца ў абавязак рэгулярны занятак (спрынт) Threat Hunting'ом, скажам, тыдзень у месяц. Да прылад дадаюцца поўнае даследаванне дадзеных ад сеткавых прылад, аўтаматызацыя аналізу дадзеных ад EDR і частковае выкарыстанне пашыраных магчымасцяў EDR.
Узровень 3: прэвентыўны, частыя выпадкі TH. Нашы аналітыкі арганізаваліся ў выдзеленую каманду, сталі валодаць выдатнымі ведамі фарэнзікі і шкоднаснага ПЗ, таксама ведамі аб метадах і тактыках працы атакавалага боку. Працэс ужо ажыццяўляецца ў рэжыме 24/7. Каманда здольная часткова правяраць гіпотэзы TH, поўнасцю выкарыстоўваючы пашыраныя магчымасці EDR з поўным ахопам дадзеных ад сеткавых прылад. Таксама аналітыкі здольныя канфігураваць прылады пад свае запатрабаванні.
Узровень 4: які лідыруе, выкарыстанне TH. Тая ж каманда набыла здольнасць да даследаванняў, уменне генераваць і аўтаматызаваць працэс праверкі гіпотэз TH. Зараз да прылад дадалася цесная інтэграцыя крыніц дадзеных, распрацоўка ПА пад запатрабаванні і нестандартнае выкарыстанне API.
Тэхнікі Threat Hunting
Базавыя тэхнікі Threat Hunting
К TH у парадку сталасці выкарыстоўванай тэхналогіі ставяцца: базавы пошук, статыстычны аналіз, тэхнікі візуалізацыі, простыя агрэгацыі, машыннае навучанне і байесаўскія метады.
Самы просты метад - базавы пошук, выкарыстоўваецца для таго, каб з дапамогай пэўных запытаў звузіць вобласць даследавання. Статыстычны аналіз ужываюць, напрыклад, для пабудовы тыпавой карыстацкай ці сеткавай актыўнасці ў выглядзе статыстычнай мадэлі. Тэхнікі візуалізацыі выкарыстоўваюцца для нагляднага адлюстравання і спрашчэння аналізу дадзеных у выглядзе графікаў і дыяграм, на якіх значна прасцей улавіць заканамернасці ў выбарцы. Тэхніка простых агрэгацый па ключавых палях выкарыстоўваецца для аптымізацыі пошуку і аналізу. Чым большага ўзроўню сталасці дасягае ў арганізацыі працэс TH, тым больш актуальным становіцца выкарыстанне алгарытмаў машыннага навучання. Яны таксама шырока выкарыстоўваюцца ў тым ліку пры фільтрацыі спаму, выяўленні шкоднаснага трафіку і дэтэктаванні ашуканскіх дзеянняў. Больш прасунуты тып алгарытмаў машыннага навучання - байесаўскія метады, якія дазваляюць праводзіць класіфікацыю, памяншэнне памернасці выбаркі і тэматычнае мадэляванне.
Мадэль алмаза і стратэгіі TH
Сэрджыа Калтагірон, Эндру Пендэгаст і Крыстафер Бетц у сваёй працы» паказалі асноўныя ключавыя складнікі любой шкоднаснай актыўнасці і базавую сувязь паміж імі.
Мадэль дыямента для шкоднаснай актыўнасці
У адпаведнасці з гэтай мадэллю ёсць 4 стратэгіі Threat Hunting, якія абапіраюцца на адпаведныя ключавыя складнікі.
1. Стратэгія, арыентаваная на ахвяру. Мяркуем, што ў ахвяры ёсць супернікі, і яны будуць дастаўляць "магчымасці" праз электронную пошту. Шукаем дадзеныя ворага ў пошце. Пошук спасылак, укладанняў і тп. Шукаем пацверджання гэтай гіпотэзы пэўны тэрмін (месяц, два тыдні), калі не знайшлі, то гіпотэза не згуляла.
2. Стратэгія, арыентаваная на інфраструктуру. Ёсць некалькі метадаў выкарыстання гэтай стратэгіі. У залежнасці ад доступу і бачнасці некаторыя з іх лягчэй, чым іншыя. Напрыклад, вырабляем маніторынг сервераў даменных імёнаў, вядомых для размяшчэння шкоднасных даменаў. Або праводжаны працэс адсочвання ўсіх новых рэгістрацый даменных імёнаў на прадмет вядомага патэрна, выкарыстоўванага супернікам.
3. Стратэгія, арыентаваная на магчымасці. Апроч стратэгіі, арыентаванай на ахвяру, якая выкарыстоўваецца большасцю сеткавых абаронцаў, ёсць стратэгія, арыентаваная на магчымасці. Яна з'яўляецца другой па папулярнасці і факусуецца на выяўленні магчымасцяў ад суперніка, а менавіта «шкоднасных праграм» і магчымасць ужывання супернікам такіх легітымных прылад, як psexec, powershell, certutil і іншых.
4. Стратэгія, арыентаваная на суперніка. Падыход, арыентаваны на суперніка, факусуецца на самім суперніку. Сюды адносяць выкарыстанне адкрытай інфармацыі з агульнадаступных крыніц (OSINT), збор дадзеных аб суперніку, яго тэхніках і метадах (TTP), аналіз раней якія адбыліся інцыдэнтаў, дадзеных Threat Intelligence і да т.п.
Крыніцы інфармацыі і гіпотэз у TH
Некаторыя крыніцы інфармацыі для Threat Hunting
Крыніц інфармацыі можа быць вельмі шмат. Ідэальны аналітык павінен умець здабываць інфармацыю з усяго, што ёсць навокал. Тыпавымі крыніцамі практычна ў любой інфраструктуры будуць дадзеныя ад сродкаў абароны: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Таксама тыпавымі крыніцамі інфармацыі будуць з'яўляцца разнастайныя індыкатары кампраметацыі, сэрвісы Threat Intelligence, дадзеныя CERT і OSINT. Дадаткова можна выкарыстоўваць інфармацыю з даркнета (напрыклад, раптоўна ёсць замова на ўзлом паштовай скрыні кіраўніка арганізацыі, ці сваёй актыўнасцю засвяціўся кандыдат на пасаду сеткавага інжынера), інфармацыю, атрыманую ад HR (водгукі аб кандыдаце з мінулага месца працы), інфармацыю ад службы бяспекі ( напрыклад, вынікі праверкі контрагента).
Але перш, чым карыстацца ўсімі даступнымі крыніцамі, неабходна мець хаця б адну гіпотэзу.
Для таго, каб правяраць гіпотэзы, іх неабходна спачатку вылучыць. А каб вылучаць шмат якасных гіпотэз, неабходна прымяняць сістэмны падыход. Больш падрабязна працэс генерацыі гіпотэз апісаны ў, За аснову працэсу вылучэння гіпотэз вельмі зручна ўзяць гэтую схему.
Асноўнай крыніцай гіпотэз будзе з'яўляцца матрыца ATT&CK (Adversarial Tactics, Techniques and Common Knowledge). Яна, у сутнасці, з'яўляецца базай ведаў і мадэллю для адзнакі паводзін зламыснікаў, якія рэалізуюць свае актыўнасці на апошніх кроках нападу, звычайна апісванага з дапамогай паняцця Kill Chain. Гэта значыць на этапах пасля пранікнення зламысніка ва ўнутраную сетку прадпрыемства або на мабільную прыладу. Першапачаткова ў базу ведаў уваходзіла апісанне 121 тактыкі і тэхнікі, якія выкарыстоўваюцца пры нападзе, кожная з якіх падрабязна апісана ў фармаце Wiki. У якасці крыніцы для генерацыі гіпотэз добра падыходзіць разнастайная аналітыка Threat Intelligence. Асоба варта адзначыць вынікі аналізу інфраструктуры і тэстаў на пранікненне - гэта найбольш каштоўныя дадзеныя, якія могуць даць нам жалезныя гіпотэзы ў сілу таго, што яны абапіраюцца на канкрэтную інфраструктуру з яе канкрэтнымі недахопамі.
Працэс праверкі гіпотэз
Сяргей Салдатаў прывёў з падрабязным апісаннем працэсу, яна ілюструе працэс праверкі гіпотэз TH у асобна ўзятай сістэме. Пакажу асноўныя этапы з кароткім апісаннем.
Этап 1: TI Farm
На гэтым этапе неабходна вылучыць аб'екты (шляхам іх аналізу сумесна з усімі дадзенымі аб пагрозах) з прысваеннем ім пазнак іх характарыстык. Гэта файл, URL, MD5, працэс, утыліта, падзея. Праводзячы іх праз сістэмы Threat Intelligence, неабходна навесіць пазнакі. Гэта значыць гэты сайт быў заўважаны ў CNC у такім-то годзе, гэтая MD5 была злучана з вось такой малварай, гэтая MD5 пампавалася з сайта, які раздаваў малвары.
Этап 2: Cases
На другім этапе глядзім на ўзаемадзеянне паміж гэтымі аб'ектамі і выяўляем узаемасувязі паміж усімі гэтымі аб'ектамі. Атрымліваем прамаркіраваныя сістэмы, якія робяць нешта нядобрае.
Этап 3: Аналітык
На трэцім этапе справа перадаецца дасведчанаму аналітыку, які мае велізарны досвед аналізу, ён і выносіць вердыкт. Ён разбірае да байтаў, што адкуль, як, навошта і чаму робіць гэты код. Гэтае цела было зловредом, гэты кампутар быў заражаны. Раскрывае сувязі паміж аб'ектамі, правярае вынікі прагону праз пясочніцу.
Вынікі працы аналітыка перадаюцца далей. Digital Forensics даследуе вобразы, Malware Analysis даследуе знойдзеныя "цела", а каманда Incident Response можа выехаць на месца і даследаваць нешта ўжо там. Вынікам працы будзе пацверджаная гіпотэза, выяўленая атака і шляхі процідзеяння ёй.
Вынікі
Threat Hunting – дастаткова маладая тэхналогія, здольная эфектыўна супрацьстаяць кастамізаваным, новым і нестандартным пагрозам, якая мае вялікія перспектывы з улікам росту колькасці такіх пагроз і ўскладненні карпаратыўнай інфраструктуры. Для яе патрэбны тры складнікі - дадзеныя, інструменты і аналітыкі. Карысць ад Threat Hunting не абмяжоўваецца апярэджаннем рэалізацыі пагроз. Не варта забываць, што ў працэсе пошуку мы апускаемся ў сваю інфраструктуру і яе слабыя месцы вачыма аналітыка-спецыяліста ў галіне бяспекі і можам гэтыя месцы дадаткова ўзмацніць.
Першыя крокі, якія, на наш погляд, трэба зрабіць, каб пакласці пачатак працэсу TH у сябе ў арганізацыі.
- Паклапаціцца аб абароне канчатковых кропак і сеткавай інфраструктуры. Паклапаціцца аб бачнасці (NetFlow) і кантролі (firewall, IDS, IPS, DLP) усіх працэсаў у вашай сеткі. Ведаць сваю сетку ад межавага маршрутызатара да самага апошняга хаста.
- Вывучыць.
- Праводзіць рэгулярны пентэст хаця б ключавых знешніх рэсурсаў, аналізаваць яго вынікі, выдзяляць асноўныя мэты для атакі і закрываць іх уразлівасці.
- Укараніць сістэму Threat Intelligence з адкрытым зыходным кодам (напрыклад, MISP, Yeti) і праводзіць аналіз логаў сумесна з ёй.
- Укараніць платформу рэагавання на інцыдэнты (IRP): R-Vision IRP, The Hive, пясочніцу для аналізу падазроных файлаў (FortiSandbox, Cuckoo).
- Аўтаматызаваць руцінныя працэсы. Аналіз логаў, установа інцыдэнтаў, інфармаванне персанала - велізарнае поле для аўтаматызацыі.
- Навучыцца эфектыўна ўзаемадзейнічаць з інжынерамі, распрацоўшчыкамі, тэхнічнай падтрымкай для сумеснай працы над інцыдэнтамі.
- Дакументаваць ўвесь працэс, ключавыя кропкі, дасягнутыя вынікі, каб вярнуцца да іх потым або падзяліцца гэтымі дадзенымі з калегамі;
- Памятаць аб сацыяльным баку: будзьце ў курсе, што адбываецца з вашымі супрацоўнікамі, каго вы прымаеце на працу і каму даяце доступ да інфармацыйных рэсурсаў арганізацыі.
- Быць у курсе трэндаў у вобласці новых пагроз і спосабаў абароны, падвышаць свой узровень тэхнічнай пісьменнасці (у тым ліку і ў працы IT-сэрвісаў і падсістэм), наведваць канферэнцыі і мець зносіны з калегамі.
Гатовы абмеркаваць арганізацыю працэсу TH у каментарах.
Або прыходзьце да нас працаваць!
Крыніцы і матэрыялы для вывучэння
Крыніца: habr.com