Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·

95% ΡƒΠ³Ρ€ΠΎΠ· ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности ΡΠ²Π»ΡΡŽΡ‚ΡΡ извСстными, ΠΈ Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ Π½ΠΈΡ… ΠΌΠΎΠΆΠ½ΠΎ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹ΠΌΠΈ срСдствами Ρ‚ΠΈΠΏΠ° антивирусов, мСТсСтСвых экранов, IDS, WAF. ΠžΡΡ‚Π°Π»ΡŒΠ½Ρ‹Π΅ 5% ΡƒΠ³Ρ€ΠΎΠ· – нСизвСстныС ΠΈ самыС опасныС. Они ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‚ 70% риска для ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Π² силу Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ΠΎΡ‡Π΅Π½ΡŒ нСпросто ΠΈΡ… ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ ΠΈ ΡƒΠΆ Ρ‚Π΅ΠΌ Π±ΠΎΠ»Π΅Π΅ ΠΎΡ‚ Π½ΠΈΡ… Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ. ΠŸΡ€ΠΈΠΌΠ΅Ρ€Π°ΠΌΠΈ Β«Ρ‡Π΅Ρ€Π½Ρ‹Ρ… Π»Π΅Π±Π΅Π΄Π΅ΠΉΒ» ΡΠ²Π»ΡΡŽΡ‚ΡΡ эпидСмии ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠΎΠ² WannaCry, NotPetya/ExPetr, ΠΊΡ€ΠΈΠΏΡ‚ΠΎΠΌΠ°ΠΉΠ½Π΅Ρ€Ρ‹, Β«ΠΊΠΈΠ±Π΅Ρ€ΠΎΡ€ΡƒΠΆΠΈΠ΅Β» Stuxnet (ΠΏΠΎΡ€Π°Π·ΠΈΠ²ΡˆΠ΅Π΅ ядСрныС ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρ‹ Π˜Ρ€Π°Π½Π°) ΠΈ мноТСство (ΠΊΡ‚ΠΎ-Π½ΠΈΠ±ΡƒΠ΄ΡŒ Π΅Ρ‰Π΅ ΠΏΠΎΠΌΠ½ΠΈΡ‚ Kido/Conficker?) Π΄Ρ€ΡƒΠ³ΠΈΡ… Π°Ρ‚Π°ΠΊ, ΠΎΡ‚ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π½Π΅ ΠΎΡ‡Π΅Π½ΡŒ Ρ…ΠΎΡ€ΠΎΡˆΠΎ получаСтся Π·Π°Ρ‰ΠΈΡ‰Π°Ρ‚ΡŒΡΡ классичСскими срСдствами Π·Π°Ρ‰ΠΈΡ‚Ρ‹. О Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ ΠΏΡ€ΠΎΡ‚ΠΈΠ²ΠΎΡΡ‚ΠΎΡΡ‚ΡŒ этим 5% ΡƒΠ³Ρ€ΠΎΠ· с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ Threat Hunting, ΠΌΡ‹ ΠΈ Ρ…ΠΎΡ‚ΠΈΠΌ ΠΏΠΎΠ³ΠΎΠ²ΠΎΡ€ΠΈΡ‚ΡŒ.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·
НСпрСрывноС Ρ€Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ ΠΊΠΈΠ±Π΅Ρ€-Π°Ρ‚Π°ΠΊ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ постоянного обнаруТСния ΠΈ противодСйствия, Ρ‡Ρ‚ΠΎ Π² ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎΠΌ ΠΈΡ‚ΠΎΠ³Π΅ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ нас ΠΊ мысли ΠΎ бСсконСчной Π³ΠΎΠ½ΠΊΠ΅ Π²ΠΎΠΎΡ€ΡƒΠΆΠ΅Π½ΠΈΠΉ ΠΌΠ΅ΠΆΠ΄Ρƒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ ΠΈ Π·Π°Ρ‰ΠΈΡ‚Π½ΠΈΠΊΠ°ΠΌΠΈ. ΠšΠ»Π°ΡΡΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ систСмы Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΡƒΠΆΠ΅ Π½Π΅ Π² состоянии ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ ΠΏΡ€ΠΈΠ΅ΠΌΠ»Π΅ΠΌΡ‹ΠΉ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ защищСнности, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ риска Π½Π΅ влияСт Π½Π° ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ (экономичСскиС, политичСскиС, Ρ€Π΅ΠΏΡƒΡ‚Π°Ρ†ΠΈΡŽ) Π±Π΅Π· ΠΈΡ… Π΄ΠΎΡ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΠ΄ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΡƒΡŽ инфраструктуру, Π½ΠΎ Π² Ρ†Π΅Π»ΠΎΠΌ ΠΎΠ½ΠΈ Π·Π°ΠΊΡ€Ρ‹Π²Π°ΡŽΡ‚ Ρ‡Π°ΡΡ‚ΡŒ рисков. Π£ΠΆΠ΅ Π² процСссС внСдрСния ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ соврСмСнныС систСмы Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‚ΡΡ Π² Ρ€ΠΎΠ»ΠΈ Π΄ΠΎΠ³ΠΎΠ½ΡΡŽΡ‰Π΅Π³ΠΎ ΠΈ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΠΎΡ‚Π²Π΅Ρ‡Π°Ρ‚ΡŒ Π½Π° Π²Ρ‹Π·ΠΎΠ²Ρ‹ Π½ΠΎΠ²ΠΎΠ³ΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ

Одним ΠΈΠ· ΠΎΡ‚Π²Π΅Ρ‚ΠΎΠ² Π½Π° Π²Ρ‹Π·ΠΎΠ²Ρ‹ соврСмСнности для спСциалиста ΠΏΠΎ Π˜Π‘ Β ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ тСхнология Threat Hunting. Π’Π΅Ρ€ΠΌΠΈΠ½ Threat Hunting (Π΄Π°Π»Π΅Π΅ ΠΏΠΎ тСксту β€” TH) появился нСсколько Π»Π΅Ρ‚ Π½Π°Π·Π°Π΄. Π‘Π°ΠΌΠ° тСхнология довольно интСрСсная, Π½ΠΎ Π΅Ρ‰Π΅ Π½Π΅ ΠΈΠΌΠ΅Π΅Ρ‚ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… общСпринятых стандартов ΠΈ ΠΏΡ€Π°Π²ΠΈΠ». Π’Π°ΠΊΠΆΠ΅ ослоТняСт Π΄Π΅Π»ΠΎ Ρ€Π°Π·Π½ΠΎΡ€ΠΎΠ΄Π½ΠΎΡΡ‚ΡŒ источников ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈ ΠΌΠ°Π»ΠΎΠ΅ количСство русскоязычных источников ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΏΠΎ этой Ρ‚Π΅ΠΌΠ΅. Π’ связи с этим ΠΌΡ‹ Π² Β«Π›ΠΠΠ˜Π’-Π˜Π½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈΒ» Ρ€Π΅ΡˆΠΈΠ»ΠΈ Π½Π°ΠΏΠΈΡΠ°Ρ‚ΡŒ Π½Π΅ΠΊΠΈΠΉ ΠΎΠ±Π·ΠΎΡ€ Π΄Π°Π½Π½ΠΎΠΉ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ.

ΠΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ

ВСхнология TH опираСтся Π½Π° процСссы ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° инфраструктуры. БущСствуСт Π΄Π²Π° основных сцСнария Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅Π³ΠΎ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° – Alerting ΠΈ Hunting. АлСртинг (ΠΏΠΎ Ρ‚ΠΈΠΏΡƒ услуг MSSP) – Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄, поиск Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹Ρ… Ρ€Π°Π½Π΅Π΅ сигнатур ΠΈ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ² Π°Ρ‚Π°ΠΊ ΠΈ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° Π½ΠΈΡ…. Π”Π°Π½Π½Ρ‹ΠΉ сцСнарий ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡŽΡ‚ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Π΅ сигнатурныС срСдства Π·Π°Ρ‰ΠΈΡ‚Ρ‹. Π₯Π°Π½Ρ‚ΠΈΠ½Π³ (услуга Ρ‚ΠΈΠΏΠ° MDR) – ΠΌΠ΅Ρ‚ΠΎΠ΄ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΎΡ‚Π²Π΅Ρ‡Π°Π΅Ρ‚ Π½Π° вопрос Β«ΠžΡ‚ΠΊΡƒΠ΄Π° бСрутся сигнатуры ΠΈ ΠΏΡ€Π°Π²ΠΈΠ»Π°?Β». Π­Ρ‚ΠΎ процСсс создания ΠΏΡ€Π°Π²ΠΈΠ» коррСляции ΠΏΡƒΡ‚Π΅ΠΌ Π°Π½Π°Π»ΠΈΠ·Π° скрытых ΠΈΠ»ΠΈ Ρ€Π°Π½Π΅Π΅ нСизвСстных ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΈ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ² Π°Ρ‚Π°ΠΊΠΈ. ИмСнно ΠΊ Π΄Π°Π½Π½ΠΎΠΌΡƒ Ρ‚ΠΈΠΏΡƒ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° ΠΈ относится Threat Hunting.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·
Волько комбинируя ΠΎΠ±Π° Ρ‚ΠΈΠΏΠ° ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, ΠΌΡ‹ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅ΠΌ Π·Π°Ρ‰ΠΈΡ‚Ρƒ, Π±Π»ΠΈΠ·ΠΊΡƒΡŽ ΠΊ идСальной, Π½ΠΎ всСгда остаСтся Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ остаточного риска.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·Π—Π°Ρ‰ΠΈΡ‚Π° с использованиСм Π΄Π²ΡƒΡ… Ρ‚ΠΈΠΏΠΎΠ² ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°

А Π²ΠΎΡ‚ ΠΏΠΎΡ‡Π΅ΠΌΡƒ TH (ΠΈ Ρ…Π°Π½Ρ‚ΠΈΠ½Π³ Ρ†Π΅Π»ΠΈΠΊΠΎΠΌ!) Π±ΡƒΠ΄Π΅Ρ‚ всС Π±ΠΎΠ»Π΅Π΅ Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹ΠΌ:

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·Π£Π³Ρ€ΠΎΠ·Ρ‹, срСдства Π·Π°Ρ‰ΠΈΡ‚Ρ‹, риски. Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ

95% всСх ΡƒΠ³Ρ€ΠΎΠ· ΡΠ²Π»ΡΡŽΡ‚ΡΡ ΡƒΠΆΠ΅ Ρ…ΠΎΡ€ΠΎΡˆΠΎ ΠΈΠ·ΡƒΡ‡Π΅Π½Π½Ρ‹ΠΌΠΈ. К Π½ΠΈΠΌ относятся Ρ‚Π°ΠΊΠΈΠ΅ Π²ΠΈΠ΄Ρ‹, ΠΊΠ°ΠΊ спам, DDoS, вирусы, Ρ€ΡƒΡ‚ΠΊΠΈΡ‚Ρ‹ ΠΈ ΠΏΡ€ΠΎΡ‡ΠΈΠ΅ классичСскиС Π·Π»ΠΎΠ²Ρ€Π΅Π΄Ρ‹. Π—Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ этих ΡƒΠ³Ρ€ΠΎΠ· ΠΌΠΎΠΆΠ½ΠΎ Ρ‚Π΅ΠΌΠΈ ΠΆΠ΅ классичСскими срСдствами Π·Π°Ρ‰ΠΈΡ‚Ρ‹.

Π’ Ρ…ΠΎΠ΄Π΅ выполнСния любого ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° 20% Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ Π·Π°Π½ΠΈΠΌΠ°Π΅Ρ‚ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ 80% Ρ€Π°Π±ΠΎΡ‚Ρ‹, Π° ΠΎΡΡ‚Π°Π²ΡˆΠΈΠ΅ΡΡ 20% Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π·Π°Π½ΠΈΠΌΠ°ΡŽΡ‚ 80% Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ. Аналогичным ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ срСди всСго Π»Π°Π½Π΄ΡˆΠ°Ρ„Ρ‚Π° ΡƒΠ³Ρ€ΠΎΠ· 5% ΡƒΠ³Ρ€ΠΎΠ· Π½ΠΎΠ²ΠΎΠ³ΠΎ Ρ‚ΠΈΠΏΠ° Π±ΡƒΠ΄ΡƒΡ‚ ΡΠΎΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ 70% риска для ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ. Π’ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, Π³Π΄Π΅ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Π½Ρ‹ процСссы управлСния ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, 30% риска Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ извСстных ΡƒΠ³Ρ€ΠΎΠ· ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ Ρ‚Π°ΠΊ ΠΈΠ»ΠΈ ΠΈΠ½Π°Ρ‡Π΅ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ, избСгая (ΠΎΡ‚ΠΊΠ°Π· ΠΎΡ‚ бСспроводных сСтСй Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅), принимая (внСдряя Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ срСдства Π·Π°Ρ‰ΠΈΡ‚Ρ‹) ΠΈΠ»ΠΈ пСрСкладывая (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π½Π° ΠΏΠ»Π΅Ρ‡ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ‚ΠΎΡ€Π°) этот риск. Π—Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΆΠ΅ ΠΎΡ‚ уязвимостСй Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня, APT-Π°Ρ‚Π°ΠΊ, Ρ„ΠΈΡˆΠΈΠ½Π³Π°, Π°Ρ‚Π°ΠΊ Ρ‡Π΅Ρ€Π΅Π· Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ поставок, ΠΊΠΈΠ±Π΅Ρ€ΡˆΠΏΠΈΠΎΠ½ΡΠΊΠΈΡ… ΠΈ Π½Π°Ρ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Ρ… ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΡ‚ большого количСства Π΄Ρ€ΡƒΠ³ΠΈΡ… Π°Ρ‚Π°ΠΊ ΡƒΠΆΠ΅ Π½Π°ΠΌΠ½ΠΎΠ³ΠΎ слоТнСС. ΠŸΠΎΡΠ»Π΅Π΄ΡΡ‚Π²ΠΈΡ ΠΆΠ΅ ΠΎΡ‚ этих 5% ΡƒΠ³Ρ€ΠΎΠ· Π±ΡƒΠ΄ΡƒΡ‚ Π½Π°ΠΌΠ½ΠΎΠ³ΠΎ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½Π΅Π΅ (срСдняя сумма ΠΏΠΎΡ‚Π΅Ρ€ΡŒ Π±Π°Π½ΠΊΠ° ΠΎΡ‚ Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠΈ buhtrap – 143 ΠΌΠ»Π½), Ρ‡Π΅ΠΌ послСдствия ΠΎΡ‚ спама ΠΈΠ»ΠΈ вирусов, ΠΎΡ‚ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… спасаСт антивирусноС ПО.

Π‘ 5% ΡƒΠ³Ρ€ΠΎΠ· приходится ΡΡ‚Π°Π»ΠΊΠΈΠ²Π°Ρ‚ΡŒΡΡ практичСски всСм. НСдавно Π½Π°ΠΌ ΠΏΡ€ΠΈΡ…ΠΎΠ΄ΠΈΠ»ΠΎΡΡŒ ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ ΠΎΠ΄Π½ΠΎ open-source-Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ ΠΈΠ· рСпозитория PEAR (PHP Extension and Application Repository). ΠŸΠΎΠΏΡ‹Ρ‚ΠΊΠ° ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ это ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Ρ‡Π΅Ρ€Π΅Π· pear install Π·Π°Π²Π΅Ρ€ΡˆΠΈΠ»Π°ΡΡŒ Π½Π΅ΡƒΠ΄Π°Ρ‡Π΅ΠΉ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ сайт Π±Ρ‹Π» нСдоступСн (сСйчас Π½Π° Π½Π΅ΠΌ ΡƒΠΆΠ΅ висит Π·Π°Π³Π»ΡƒΡˆΠΊΠ°), ΠΏΡ€ΠΈΡˆΠ»ΠΎΡΡŒ ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ Π΅Π³ΠΎ с GitHub. А Π±ΡƒΠΊΠ²Π°Π»ΡŒΠ½ΠΎ Π½Π΅Π΄Π°Π²Π½ΠΎ Π²Ρ‹ΡΡΠ½ΠΈΠ»ΠΎΡΡŒ, Ρ‡Ρ‚ΠΎ PEAR стал ΠΆΠ΅Ρ€Ρ‚Π²ΠΎΠΉ Π°Ρ‚Π°ΠΊΠΈ Ρ‡Π΅Ρ€Π΅Π· Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ поставок.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·

МоТно Π΅Ρ‰Π΅ Π²ΡΠΏΠΎΠΌΠ½ΠΈΡ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ с использованиСм CCleaner, эпидСмию ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° NePetya Ρ‡Π΅Ρ€Π΅Π· ΠΌΠΎΠ΄ΡƒΠ»ΡŒ обновлСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ для вСдСния Π½Π°Π»ΠΎΠ³ΠΎΠ²ΠΎΠΉ отчСтности M.E.Doc. Π£Π³Ρ€ΠΎΠ·Ρ‹ становятся всС Π±ΠΎΠ»Π΅Π΅ ΠΈΠ·ΠΎΡ‰Ρ€Π΅Π½Π½Ρ‹ΠΌΠΈ, ΠΈ Π²ΠΎΠ·Π½ΠΈΠΊΠ°Π΅Ρ‚ логичСский вопрос – «Как ΠΆΠ΅ всС Ρ‚Π°ΠΊΠΈ ΠΏΡ€ΠΎΡ‚ΠΈΠ²ΠΎΡΡ‚ΠΎΡΡ‚ΡŒ этим 5% ΡƒΠ³Ρ€ΠΎΠ·?Β»

ΠžΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ Threat Hunting

Π˜Ρ‚Π°ΠΊ, Threat Hunting β€” процСсс ΠΏΡ€ΠΎΠ°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ ΠΈ ΠΈΡ‚Π΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ поиска ΠΈ обнаруТСния ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹Ρ… ΡƒΠ³Ρ€ΠΎΠ·, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹ΠΌΠΈ срСдствами Π·Π°Ρ‰ΠΈΡ‚Ρ‹. К ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹ΠΌ ΡƒΠ³Ρ€ΠΎΠ·Π°ΠΌ относятся, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ‚Π°ΠΊΠΈΠ΅ Π°Ρ‚Π°ΠΊΠΈ, ΠΊΠ°ΠΊ APT, Π°Ρ‚Π°ΠΊΠΈ Π½Π° 0-day уязвимости, Living off the Land ΠΈ Ρ‚Π°ΠΊ Π΄Π°Π»Π΅Π΅.

Π’Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠ΅Ρ€Π΅Ρ„Ρ€Π°Π·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ TH – это процСсс ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π³ΠΈΠΏΠΎΡ‚Π΅Π·. Π­Ρ‚ΠΎ прСимущСствСнно Ρ€ΡƒΡ‡Π½ΠΎΠΉ процСсс с элСмСнтами Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ, Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊ, ΠΎΠΏΠΈΡ€Π°ΡΡΡŒ Π½Π° свои знания ΠΈ ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ, ΠΏΡ€ΠΎΡΠ΅ΠΈΠ²Π°ΡŽΡ‚ большиС ΠΎΠ±ΡŠΠ΅ΠΌΡ‹ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π² поисках ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ² ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠΉ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Π΅ ΠΎ присутствии ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½ΠΎΠΉ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹. ΠžΡ‚Π»ΠΈΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒΡŽ Π΅Π³ΠΎ являСтся Ρ€Π°Π·Π½ΠΎΠΎΠ±Ρ€Π°Π·ΠΈΠ΅ источников ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ.

НСобходимо ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Threat Hunting – это Π½Π΅ ΠΊΠ°ΠΊΠΎΠΉ-Ρ‚ΠΎ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹ΠΉ ΠΈΠ»ΠΈ ΠΆΠ΅Π»Π΅Π·Π½Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚. Π­Ρ‚ΠΎ Π½Π΅ Π°Π»Π΅Ρ€Ρ‚Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠΆΠ½ΠΎ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ Π² ΠΊΠ°ΠΊΠΎΠΌ-Ρ‚ΠΎ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΈ. Π­Ρ‚ΠΎ Π½Π΅ процСсс поиска IOC (ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ). И это Π½Π΅ какая-Ρ‚ΠΎ пассивная Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ, которая ΠΈΠ΄Π΅Ρ‚ Π±Π΅Π· участия Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΎΠ² Π˜Π‘. Threat Hunting – ΠΏΡ€Π΅ΠΆΠ΄Π΅ всСго, процСсс.

Π‘ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠ΅ Threat Hunting

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·
Π’Ρ€ΠΈ основных ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΡ… Threat Hunting: Π΄Π°Π½Π½Ρ‹Π΅, Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ, люди.

Π”Π°Π½Π½Ρ‹Π΅ (Ρ‡Ρ‚ΠΎ?), Π² Ρ‚ΠΎΠΌ числС ΠΈ Big Data. ВсСвозмоТныС ΠΏΠΎΡ‚ΠΎΠΊΠΈ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, информация ΠΎ Ρ€Π°Π½Π΅Π΅ ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½Π½Ρ‹Ρ… APT, Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ°, Π΄Π°Π½Π½Ρ‹Π΅ ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΎΠΉ активности, сСтСвыС Π΄Π°Π½Π½Ρ‹Π΅, информация ΠΎΡ‚ сотрудников, информация Π² Π΄Π°Ρ€ΠΊΠ½Π΅Ρ‚Π΅ ΠΈ ΠΌΠ½ΠΎΠ³ΠΎΠ΅ Π΄Ρ€ΡƒΠ³ΠΎΠ΅.

Π’Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ (ΠΊΠ°ΠΊ?) ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ этих Π΄Π°Π½Π½Ρ‹Ρ… – всС Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Π΅ способы ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ этих Π΄Π°Π½Π½Ρ‹Ρ…, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Machine Learning.

Π›ΡŽΠ΄ΠΈ (ΠΊΡ‚ΠΎ?) – Ρ‚Π΅, ΠΊΡ‚ΠΎ ΠΎΠ±Π»Π°Π΄Π°Π΅Ρ‚ большим ΠΎΠΏΡ‹Ρ‚ΠΎΠΌ Π°Π½Π°Π»ΠΈΠ·Π° Ρ€Π°Π·Π½ΠΎΠΎΠ±Ρ€Π°Π·Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, Ρ€Π°Π·Π²ΠΈΡ‚ΠΎΠΉ ΠΈΠ½Ρ‚ΡƒΠΈΡ†ΠΈΠ΅ΠΉ ΠΈ ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒΡŽ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ. ΠžΠ±Ρ‹Ρ‡Π½ΠΎ это Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΠΈΠΌΠ΅Ρ‚ΡŒ ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ ΠΈ Π½Π°Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΈΠΌ ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π΅Π½ΠΈΠ΅. Они β€” основноС Π·Π²Π΅Π½ΠΎ процСсса.

МодСль PARIS

Адам Π‘Π΅ΠΉΡ‚ΠΌΠ°Π½ описываСт модСль PARIS для идСального процСсса TH. НазваниС ΠΊΠ°ΠΊ Π±Ρ‹ Π½Π°ΠΌΠ΅ΠΊΠ°Π΅Ρ‚ Π½Π° ΠΈΠ·Π²Π΅ΡΡ‚Π½ΡƒΡŽ Π΄ΠΎΡΡ‚ΠΎΠΏΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Π€Ρ€Π°Π½Ρ†ΠΈΠΈ. Π­Ρ‚Ρƒ модСль ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°ΡΡΠΌΠ°Ρ‚Ρ€ΠΈΠ²Π°Ρ‚ΡŒ Π² Π΄Π²ΡƒΡ… направлСниях – свСрху ΠΈ снизу.

Π’ процСссС ΠΎΡ…ΠΎΡ‚Ρ‹ Π½Π° ΡƒΠ³Ρ€ΠΎΠ·Ρ‹, двигаясь ΠΏΠΎ ΠΌΠΎΠ΄Π΅Π»ΠΈ снизу Π²Π²Π΅Ρ€Ρ…, ΠΌΡ‹ Π±ΡƒΠ΄Π΅ΠΌ ΠΈΠΌΠ΅Ρ‚ΡŒ Π΄Π΅Π»ΠΎ со мноТСством Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π² врСдоносной активности. Π£ ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π° Π΅ΡΡ‚ΡŒ такая ΠΌΠ΅Ρ€Π°, ΠΊΠ°ΠΊ ΡƒΠ²Π΅Ρ€Π΅Π½Π½ΠΎΡΡ‚ΡŒ – характСристика, которая ΠΎΡ‚Ρ€Π°ΠΆΠ°Π΅Ρ‚ вСс этого Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π°. Π•ΡΡ‚ΡŒ Β«ΠΆΠ΅Π»Π΅Π·Π½Ρ‹Π΅Β», прямыС ΡΠ²ΠΈΠ΄Π΅Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π° врСдоносной активности, ΠΏΠΎ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ ΠΌΡ‹ сразу ΠΌΠΎΠΆΠ΅ΠΌ Π΄ΠΎΡΡ‚ΠΈΡ‡ΡŒ Π²Π΅Ρ€ΡˆΠΈΠ½Ρ‹ ΠΏΠΈΡ€Π°ΠΌΠΈΠ΄Ρ‹ ΠΈ ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ фактичСскоС ΠΎΠΏΠΎΠ²Π΅Ρ‰Π΅Π½ΠΈΠ΅ ΠΎ Ρ‚ΠΎΡ‡Π½ΠΎ извСстном Π·Π°Ρ€Π°ΠΆΠ΅Π½ΠΈΠΈ. И Π΅ΡΡ‚ΡŒ косвСнныС Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π°, сумма ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Ρ‚ΠΎΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти нас ΠΊ Π²Π΅Ρ€ΡˆΠΈΠ½Π΅ ΠΏΠΈΡ€Π°ΠΌΠΈΠ΄Ρ‹. Как всСгда, косвСнных ΡΠ²ΠΈΠ΄Π΅Ρ‚Π΅Π»ΡŒΡΡ‚Π² Π½Π°ΠΌΠ½ΠΎΠ³ΠΎ большС, Ρ‡Π΅ΠΌ прямых, Π° Π·Π½Π°Ρ‡ΠΈΡ‚, ΠΈΡ… Π½Π°Π΄ΠΎ ΡΠΎΡ€Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ исслСдования ΠΈ ΠΆΠ΅Π»Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ это Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·ΠœΠΎΠ΄Π΅Π»ΡŒ PARIS. Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ

ВСрхняя Ρ‡Π°ΡΡ‚ΡŒ ΠΌΠΎΠ΄Π΅Π»ΠΈ (1 ΠΈ 2) основана Π½Π° тСхнологиях Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ Ρ€Π°Π·Π½ΠΎΠΎΠ±Ρ€Π°Π·Π½ΠΎΠΉ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ΅, Π° ниТняя Ρ‡Π°ΡΡ‚ΡŒ (3 ΠΈ 4) Π½Π° Π»ΡŽΠ΄ΡΡ… с ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠΉ ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠ΅ΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡƒΠΏΡ€Π°Π²Π»ΡΡŽΡ‚ процСссом. МоТно Ρ€Π°ΡΡΠΌΠ°Ρ‚Ρ€ΠΈΠ²Π°Ρ‚ΡŒ модСль, двигаясь свСрху Π²Π½ΠΈΠ·, Π³Π΄Π΅ Π² Π²Π΅Ρ€Ρ…Π½Π΅ΠΉ части синСго Ρ†Π²Π΅Ρ‚Π° Ρƒ нас оповСщСния ΠΎΡ‚ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… срСдств Π·Π°Ρ‰ΠΈΡ‚Ρ‹ (антивирус, EDR, Ρ„Π°ΠΉΡ€Π²ΠΎΠ», сигнатуры) с высокой ΡΡ‚Π΅ΠΏΠ΅Π½ΡŒΡŽ увСрСнности ΠΈ довСрия, Π° Π½ΠΈΠΆΠ΅ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ (IOC, URL, MD5 ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΠΌΠ΅ΡŽΡ‚ ΠΌΠ΅Π½ΡŒΡˆΡƒΡŽ ΡΡ‚Π΅ΠΏΠ΅Π½ΡŒ увСрСнности ΠΈ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ изучСния. И самый Π½ΠΈΠΆΠ½ΠΈΠΉ ΠΈ самый толстый ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ (4) – гСнСрация Π³ΠΈΠΏΠΎΡ‚Π΅Π·, созданиС Π½ΠΎΠ²Ρ‹Ρ… сцСнариСв Ρ€Π°Π±ΠΎΡ‚Ρ‹ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… срСдств Π·Π°Ρ‰ΠΈΡ‚Ρ‹. Π­Ρ‚ΠΎΡ‚ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ Π½Π΅ ограничиваСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹ΠΌΠΈ источниками Π³ΠΈΠΏΠΎΡ‚Π΅Π·. Π§Π΅ΠΌ Π½ΠΈΠΆΠ΅ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ, Ρ‚Π΅ΠΌ большС Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠΉ ΠΏΡ€Π΅Π΄ΡŠΡΠ²Π»ΡΠ΅Ρ‚ΡΡ ΠΊ ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ°.

ΠžΡ‡Π΅Π½ΡŒ Π²Π°ΠΆΠ½ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ Π½Π΅ просто провСряли ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΉ Π½Π°Π±ΠΎΡ€ Π·Π°Ρ€Π°Π½Π΅Π΅ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Ρ… Π³ΠΈΠΏΠΎΡ‚Π΅Π·, Π° постоянно Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ Π½Π°Π΄ Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½ΠΎΠ²Ρ‹Π΅ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ ΠΈ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Ρ‹ ΠΈΡ… ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ.

МодСль зрСлости использования TH

Π’ идСальном ΠΌΠΈΡ€Π΅ TH – это Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½Ρ‹ΠΉ процСсс. Но, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ идСального ΠΌΠΈΡ€Π° Π½Π΅ Π±Ρ‹Π²Π°Π΅Ρ‚, ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅ΠΌ модСль зрСлости ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ Π² Ρ€Π°Π·Ρ€Π΅Π·Π΅ людСй, процСссов ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ. Рассмотрим модСль идСального сфСричСского TH. Π•ΡΡ‚ΡŒ 5 ΡƒΡ€ΠΎΠ²Π½Π΅ΠΉ использования этой Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ. Рассмотрим ΠΈΡ… Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ ΡΠ²ΠΎΠ»ΡŽΡ†ΠΈΠΈ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎ взятой ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΎΠ².

Π£Ρ€ΠΎΠ²Π½ΠΈ зрСлости
Π›ΡŽΠ΄ΠΈ
ΠŸΡ€ΠΎΡ†Π΅ΡΡΡ‹
Π’Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 0
Аналитики SOC
24/7
Π’Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Π΅ инструмСнты:

Π’Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹ΠΉ
Набор Π°Π»Π΅Ρ€Ρ‚ΠΎΠ²
ΠŸΠ°ΡΡΠΈΠ²Π½Ρ‹ΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³
IDS, AV, Sandboxing,

Π‘Π΅Π· TH
Π Π°Π±ΠΎΡ‚Π° с Π°Π»Π΅Ρ€Ρ‚Π°ΠΌΠΈ

срСдства сигнатурного Π°Π½Π°Π»ΠΈΠ·Π°, Π΄Π°Π½Π½Ρ‹Π΅ Threat Intelligence.

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 1
Аналитики SOC
Π•Π΄ΠΈΠ½ΠΎΡ€Π°Π·ΠΎΠ²Ρ‹ΠΉ TH
EDR

Π­ΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½Ρ‹ΠΉ
Π‘Π°Π·ΠΎΠ²Ρ‹Π΅ знания Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠΈ
Поиск IOC
Частичный ΠΎΡ…Π²Π°Ρ‚ Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ сСтСвых устройств

ЭкспСримСнты с TH
Π₯ΠΎΡ€ΠΎΡˆΠ΅Π΅ Π·Π½Π°Π½ΠΈΠ΅ сСтСй ΠΈ ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½ΠΎΠΉ части

ЧастичноС ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 2
Π’Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎΠ΅ занятиС
Π‘ΠΏΡ€ΠΈΠ½Ρ‚Ρ‹
EDR

ΠŸΠ΅Ρ€ΠΈΠΎΠ΄ΠΈΡ‡Π΅ΡΠΊΠΈΠΉ
Π‘Ρ€Π΅Π΄Π½ΠΈΠ΅ знания Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠΈ
НСдСля Π² мСсяц
ПолноС ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅

Π’Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹ΠΉ TH
ΠžΡ‚Π»ΠΈΡ‡Π½ΠΎΠ΅ Π·Π½Π°Π½ΠΈΠ΅ сСтСй ΠΈ ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½ΠΎΠΉ части
РСгулярный TH
Полная автоматизация использования Π΄Π°Π½Π½Ρ‹Ρ… EDR

ЧастичноС использованиС Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹Ρ… возмоТностСй EDR

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 3
ВыдСлСнная ΠΊΠΎΠΌΠ°Π½Π΄Π° TH
24/7
Частичная Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡ‚ΡŒ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ TH

ΠŸΡ€Π΅Π²Π΅Π½Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ
ΠžΡ‚Π»ΠΈΡ‡Π½Ρ‹Π΅ знания Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠΈ ΠΈ врСдоносного ПО
ΠŸΡ€Π΅Π²Π΅Π½Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ TH
ПолноС использованиС Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹Ρ… возмоТностСй EDR

ЧастныС случаи TH
ΠžΡ‚Π»ΠΈΡ‡Π½Ρ‹Π΅ знания Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΉ стороны
ЧастныС случаи TH
ΠŸΠΎΠ»Π½Ρ‹ΠΉ ΠΎΡ…Π²Π°Ρ‚ Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ сСтСвых устройств

ΠšΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡ ΠΏΠΎΠ΄ потрСбности

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 4
ВыдСлСнная ΠΊΠΎΠΌΠ°Π½Π΄Π° TH
24/7
Полная Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡ‚ΡŒ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ TH

Π›ΠΈΠ΄ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠΉ
ΠžΡ‚Π»ΠΈΡ‡Π½Ρ‹Π΅ знания Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠΈ ΠΈ врСдоносного ПО
ΠŸΡ€Π΅Π²Π΅Π½Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ TH
Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 3, плюс:

ИспользованиС TH
ΠžΡ‚Π»ΠΈΡ‡Π½Ρ‹Π΅ знания Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΉ стороны
ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ°, автоматизация ΠΈ вСрификация Π³ΠΈΠΏΠΎΡ‚Π΅Π· TH
тСсная интСграция источников Π΄Π°Π½Π½Ρ‹Ρ…;

Π‘ΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ ΠΊ исслСдованиям

Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° ΠΏΠΎΠ΄ потрСбности ΠΈ нСстандартноС использованиС API.

Π£Ρ€ΠΎΠ²Π½ΠΈ зрСлости TH Π² Ρ€Π°Π·Ρ€Π΅Π·Π΅ людСй, процСссов ΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 0: Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹ΠΉ, Π±Π΅Π· использования TH. ΠžΠ±Ρ‹Ρ‡Π½Ρ‹Π΅ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ со стандартным Π½Π°Π±ΠΎΡ€ΠΎΠΌ Π°Π»Π΅Ρ€Ρ‚ΠΎΠ² Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ пассивного ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° с использованиСм стандартных инструмСнтов ΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ: IDS, AV, пСсочницы, срСдств сигнатурного Π°Π½Π°Π»ΠΈΠ·Π°.

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 1: ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½Ρ‹ΠΉ, с использованиСм TH. Π’Π΅ ΠΆΠ΅ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ с Π±Π°Π·ΠΎΠ²Ρ‹ΠΌΠΈ знаниями Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠΈ ΠΈ Ρ…ΠΎΡ€ΠΎΡˆΠΈΠΌ Π·Π½Π°Π½ΠΈΠ΅ΠΌ сСтСй ΠΈ ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½ΠΎΠΉ части ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²ΠΈΡ‚ΡŒ ΠΎΠ΄Π½ΠΎΡ€Π°Π·ΠΎΠ²Ρ‹ΠΉ Threat Hunting посрСдством поиска ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ. К инструмСнтам Π΄ΠΎΠ±Π°Π²Π»ΡΡŽΡ‚ΡΡ EDR с частичным ΠΎΡ…Π²Π°Ρ‚ΠΎΠΌ Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ сСтСвых устройств. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ΡΡ частично.

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 2: пСриодичСский, Π²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹ΠΉ TH. Π’Π΅ΠΌ ΠΆΠ΅ самым Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ°ΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡƒΠΆΠ΅ ΠΏΡ€ΠΎΠΊΠ°Ρ‡Π°Π»ΠΈ свои знания ΠΏΠΎ Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠ΅, сСтям ΠΈ ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½ΠΎΠΉ части вмСняСтся Π² ΠΎΠ±ΡΠ·Π°Π½Π½ΠΎΡΡ‚ΡŒ рСгулярноС занятиС (спринт) Threat Hunting’ΠΎΠΌ, скаТСм, нСдСля Π² мСсяц. К инструмСнтам Π΄ΠΎΠ±Π°Π²Π»ΡΡŽΡ‚ΡΡ ΠΏΠΎΠ»Π½ΠΎΠ΅ исслСдованиС Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ сСтСвых устройств, автоматизация Π°Π½Π°Π»ΠΈΠ·Π° Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ EDR ΠΈ частичноС использованиС Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹Ρ… возмоТностСй EDR.

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 3: ΠΏΡ€Π΅Π²Π΅Π½Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ, частыС случаи TH. Наши Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Π»ΠΈΡΡŒ Π² Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½ΡƒΡŽ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ, стали ΠΎΠ±Π»Π°Π΄Π°Ρ‚ΡŒ ΠΎΡ‚Π»ΠΈΡ‡Π½Ρ‹ΠΌΠΈ знаниями Ρ„ΠΎΡ€Π΅Π½Π·ΠΈΠΊΠΈ ΠΈ врСдоносного ПО, Ρ‚Π°ΠΊΠΆΠ΅ знаниями ΠΎ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°Ρ… ΠΈ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠ°Ρ… Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΉ стороны. ΠŸΡ€ΠΎΡ†Π΅ΡΡ ΡƒΠΆΠ΅ осущСствляСтся Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ 24/7. Команда способна частично ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡ‚ΡŒ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ TH, ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹Π΅ возмоТности EDR с ΠΏΠΎΠ»Π½Ρ‹ΠΌ ΠΎΡ…Π²Π°Ρ‚ΠΎΠΌ Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ сСтСвых устройств. Π’Π°ΠΊΠΆΠ΅ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ способны ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ инструмСнты ΠΏΠΎΠ΄ свои потрСбности.

Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ 4: Π»ΠΈΠ΄ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠΉ, использованиС TH. Π’Π° ΠΆΠ΅ ΠΊΠΎΠΌΠ°Π½Π΄Π° ΠΏΡ€ΠΈΠΎΠ±Ρ€Π΅Π»Π° ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ ΠΊ исслСдованиям, ΡƒΠΌΠ΅Π½ΠΈΠ΅ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ процСсс ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π³ΠΈΠΏΠΎΡ‚Π΅Π· TH. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΊ инструмСнтам ΠΏΡ€ΠΈΠ±Π°Π²ΠΈΠ»Π°ΡΡŒ тСсная интСграция источников Π΄Π°Π½Π½Ρ‹Ρ…, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° ПО ΠΏΠΎΠ΄ потрСбности ΠΈ нСстандартноС использованиС API.

Π’Π΅Ρ…Π½ΠΈΠΊΠΈ Threat Hunting

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·Π‘Π°Π·ΠΎΠ²Ρ‹Π΅ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ Threat Hunting

К Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ°ΠΌ TH Π² порядкС зрСлости ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠΉ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ относятся: Π±Π°Π·ΠΎΠ²Ρ‹ΠΉ поиск, статистичСский Π°Π½Π°Π»ΠΈΠ·, Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ Π²ΠΈΠ·ΡƒΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ, простыС Π°Π³Ρ€Π΅Π³Π°Ρ†ΠΈΠΈ, машинноС ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅ ΠΈ байСсовскиС ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹.

Π‘Π°ΠΌΡ‹ΠΉ простой ΠΌΠ΅Ρ‚ΠΎΠ΄ β€” Π±Π°Π·ΠΎΠ²Ρ‹ΠΉ поиск, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Ρ… запросов ΡΡƒΠ·ΠΈΡ‚ΡŒ ΠΎΠ±Π»Π°ΡΡ‚ΡŒ исслСдования. БтатистичСский Π°Π½Π°Π»ΠΈΠ· ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, для построСния Ρ‚ΠΈΠΏΠΎΠ²ΠΎΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΎΠΉ ΠΈΠ»ΠΈ сСтСвой активности Π² Π²ΠΈΠ΄Π΅ статистичСской ΠΌΠΎΠ΄Π΅Π»ΠΈ. Β Π’Π΅Ρ…Π½ΠΈΠΊΠΈ Π²ΠΈΠ·ΡƒΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для наглядного отобраТСния ΠΈ упрощСния Π°Π½Π°Π»ΠΈΠ·Π° Π΄Π°Π½Π½Ρ‹Ρ… Π² Π²ΠΈΠ΄Π΅ Π³Ρ€Π°Ρ„ΠΈΠΊΠΎΠ² ΠΈ Π΄ΠΈΠ°Π³Ρ€Π°ΠΌΠΌ, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π³ΠΎΡ€Π°Π·Π΄ΠΎ ΠΏΡ€ΠΎΡ‰Π΅ ΡƒΠ»ΠΎΠ²ΠΈΡ‚ΡŒ закономСрности Π² Π²Ρ‹Π±ΠΎΡ€ΠΊΠ΅. Π’Π΅Ρ…Π½ΠΈΠΊΠ° простых Π°Π³Ρ€Π΅Π³Π°Ρ†ΠΈΠΉ ΠΏΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹ΠΌ полям ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ поиска ΠΈ Π°Π½Π°Π»ΠΈΠ·Π°. Π§Π΅ΠΌ большСго уровня зрСлости достигаСт Π² ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ процСсс TH, Ρ‚Π΅ΠΌ Π±ΠΎΠ»Π΅Π΅ Β Β Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹ΠΌ становится использованиС Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² машинного обучСния. Они Ρ‚Π°ΠΊΠΆΠ΅ ΡˆΠΈΡ€ΠΎΠΊΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π² Ρ‚ΠΎΠΌ числС ΠΏΡ€ΠΈ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ спама, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠΈ врСдоносного Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΈ дСтСктирования ΠΌΠΎΡˆΠ΅Π½Π½ΠΈΡ‡Π΅ΡΠΊΠΈΡ… дСйствий. Π‘ΠΎΠ»Π΅Π΅ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹ΠΉ Ρ‚ΠΈΠΏ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² машинного обучСния – байСсовскиС ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ, ΡƒΠΌΠ΅Π½ΡŒΡˆΠ΅Π½ΠΈΠ΅ размСрности Π²Ρ‹Π±ΠΎΡ€ΠΊΠΈ ΠΈ тСматичСскоС ΠΌΠΎΠ΄Π΅Π»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅.

МодСль Π°Π»ΠΌΠ°Π·Π° ΠΈ стратСгии TH

Π‘Π΅Ρ€Π΄ΠΆΠΈΠΎ ΠšΠ°Π»Ρ‚Π°Π³ΠΈΡ€ΠΎΠ½, Π­Π½Π΄Ρ€ΡŽ ΠŸΠ΅Π½Π΄Π΅Π³Π°ΡΡ‚ ΠΈ ΠšΡ€ΠΈΡΡ‚ΠΎΡ„Π΅Ρ€ Π‘Π΅Ρ‚Ρ† Π² своСй Ρ€Π°Π±ΠΎΡ‚Π΅ Β«The Diamond Model of Intrusion AnalysisΒ» ΠΏΠΎΠΊΠ°Π·Π°Π»ΠΈ основныС ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠ΅ любой врСдоносной активности ΠΈ Π±Π°Π·ΠΎΠ²ΡƒΡŽ связь ΠΌΠ΅ΠΆΠ΄Ρƒ Π½ΠΈΠΌΠΈ.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·ΠœΠΎΠ΄Π΅Π»ΡŒ Π°Π»ΠΌΠ°Π·Π° для врСдоносной активности

Π’ соотвСтствии с этой модСлью Π΅ΡΡ‚ΡŒ 4 стратСгии Threat Hunting, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΠΏΠΈΡ€Π°ΡŽΡ‚ΡΡ Π½Π° ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠ΅.

1. БтратСгия, ориСнтированная Π½Π° ΠΆΠ΅Ρ€Ρ‚Π²Ρƒ. ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅ΠΌ, Ρ‡Ρ‚ΠΎ Ρƒ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ Π΅ΡΡ‚ΡŒ ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠΈ, ΠΈ ΠΎΠ½ΠΈ Π±ΡƒΠ΄ΡƒΡ‚ Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ «возмоТности» Ρ‡Π΅Ρ€Π΅Π· ΡΠ»Π΅ΠΊΡ‚Ρ€ΠΎΠ½Π½ΡƒΡŽ ΠΏΠΎΡ‡Ρ‚Ρƒ. Π˜Ρ‰Π΅ΠΌ Π΄Π°Π½Π½Ρ‹Π΅ Π²Ρ€Π°Π³Π° Π² ΠΏΠΎΡ‡Ρ‚Π΅. Поиск ссылок, Π²Π»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ Ρ‚ΠΏ. Π˜Ρ‰Π΅ΠΌ подтвСрТдСния этой Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΉ срок (мСсяц, Π΄Π²Π΅ Π½Π΅Π΄Π΅Π»ΠΈ), Ссли Π½Π΅ нашли, Ρ‚ΠΎ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Π° Π½Π΅ сыграла.

2. БтратСгия, ориСнтированная Π½Π° инфраструктуру. БущСствуСт нСсколько ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² использования этой стратСгии. Π’ зависимости ΠΎΡ‚ доступа ΠΈ видимости Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΠ· Π½ΠΈΡ… Π»Π΅Π³Ρ‡Π΅, Ρ‡Π΅ΠΌ Π΄Ρ€ΡƒΠ³ΠΈΠ΅. НапримСр, ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΠΌ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ сСрвСров Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½, извСстных для размСщСния врСдоносных Π΄ΠΎΠΌΠ΅Π½ΠΎΠ². Или ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠΌ процСсс отслСТивания всСх Π½ΠΎΠ²Ρ‹Ρ… рСгистраций Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½ Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ извСстного ΠΏΠ°Ρ‚Ρ‚Π΅Ρ€Π½Π°, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠΎΠΌ.

3. БтратСгия, ориСнтированная Π½Π° возмоТности. Помимо стратСгии, ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ Π½Π° ΠΆΠ΅Ρ€Ρ‚Π²Ρƒ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠΉ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎΠΌ сСтСвых Π·Π°Ρ‰ΠΈΡ‚Π½ΠΈΠΊΠΎΠ², Π΅ΡΡ‚ΡŒ стратСгия, ориСнтированная Π½Π° возмоТности. Она являСтся Π²Ρ‚ΠΎΡ€ΠΎΠΉ ΠΏΠΎ популярности ΠΈ фокусируСтся Π½Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠΈ возмоТностСй ΠΎΡ‚ ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠ°, Π° ΠΈΠΌΠ΅Π½Π½ΠΎ «врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΒ» ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ примСнСния ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠΎΠΌ Ρ‚Π°ΠΊΠΈΡ… Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… инструмСнтов, Β ΠΊΠ°ΠΊ psexec, powershell, certutil ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ….

4. БтратСгия, ориСнтированная Π½Π° ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠ°. ΠŸΠΎΠ΄Ρ…ΠΎΠ΄, ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ Π½Π° ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠ°, фокусируСтся Π½Π° самом ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠ΅. Бюда относят использованиС ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈΠ· общСдоступных источников (OSINT), сбор Π΄Π°Π½Π½Ρ‹Ρ… ΠΎ ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΈΠΊΠ΅, Π΅Π³ΠΎ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ°Ρ… ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°Ρ… (TTP), Π°Π½Π°Π»ΠΈΠ· Ρ€Π°Π½Π΅Π΅ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ΅Π΄ΡˆΠΈΡ… ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ², Π΄Π°Π½Π½Ρ‹Ρ… Threat Intelligence ΠΈ Ρ‚.ΠΏ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈ Π³ΠΈΠΏΠΎΡ‚Π΅Π· Π² TH

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% угрозНСкоторыС источники ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ для Threat Hunting

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊΠΎΠ² ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΎΡ‡Π΅Π½ΡŒ ΠΌΠ½ΠΎΠ³ΠΎ. Π˜Π΄Π΅Π°Π»ΡŒΠ½Ρ‹ΠΉ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊ Π΄ΠΎΠ»ΠΆΠ΅Π½ ΡƒΠΌΠ΅Ρ‚ΡŒ Π΄ΠΎΠ±Ρ‹Π²Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈΠ· всСго, Ρ‡Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ Π²ΠΎΠΊΡ€ΡƒΠ³. Π’ΠΈΠΏΠΎΠ²Ρ‹ΠΌΠΈ источниками практичСски Π² любой инфраструктурС Π±ΡƒΠ΄ΡƒΡ‚ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΡ‚ срСдств Π·Π°Ρ‰ΠΈΡ‚Ρ‹: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Π’Π°ΠΊΠΆΠ΅ Ρ‚ΠΈΠΏΠΎΠ²Ρ‹ΠΌΠΈ источниками ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π±ΡƒΠ΄ΡƒΡ‚ ΡΠ²Π»ΡΡ‚ΡŒΡΡ всСвозмоТныС ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€Ρ‹ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ, сСрвисы Threat Intelligence, Π΄Π°Π½Π½Ρ‹Π΅ CERT ΠΈ OSINT. Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈΠ· Π΄Π°Ρ€ΠΊΠ½Π΅Ρ‚Π° (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π²Π½Π΅Π·Π°ΠΏΠ½ΠΎ Π΅ΡΡ‚ΡŒ Π·Π°ΠΊΠ°Π· Π½Π° Π²Π·Π»ΠΎΠΌ ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ ящика руководитСля ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, ΠΈΠ»ΠΈ своСй Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒΡŽ засвСтился ΠΊΠ°Π½Π΄ΠΈΠ΄Π°Ρ‚ Π½Π° Π΄ΠΎΠ»ΠΆΠ½ΠΎΡΡ‚ΡŒ сСтСвого ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€Π°), ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ, ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½ΡƒΡŽ ΠΎΡ‚ HR (ΠΎΡ‚Π·Ρ‹Π²Ρ‹ ΠΎ ΠΊΠ°Π½Π΄ΠΈΠ΄Π°Ρ‚Π΅ с ΠΏΡ€ΠΎΡˆΠ»ΠΎΠ³ΠΎ мСста Ρ€Π°Π±ΠΎΡ‚Ρ‹), ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΡ‚ слуТбы бСзопасности (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΊΠΎΠ½Ρ‚Ρ€Π°Π³Π΅Π½Ρ‚Π°).

Но ΠΏΡ€Π΅ΠΆΠ΄Π΅, Ρ‡Π΅ΠΌ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ всСми доступными источниками, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΈΠΌΠ΅Ρ‚ΡŒ хотя Π±Ρ‹ ΠΎΠ΄Π½Ρƒ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρƒ.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ

Для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡ‚ΡŒ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹, ΠΈΡ… Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ сначала Π²Ρ‹Π΄Π²ΠΈΠ½ΡƒΡ‚ΡŒ. А Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π²Ρ‹Π΄Π²ΠΈΠ³Π°Ρ‚ΡŒ ΠΌΠ½ΠΎΠ³ΠΎ качСствСнных Π³ΠΈΠΏΠΎΡ‚Π΅Π·, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒ систСмный ΠΏΠΎΠ΄Ρ…ΠΎΠ΄. Π‘ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ процСсс Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ Π³ΠΈΠΏΠΎΡ‚Π΅Π· описан Π² ΡΡ‚Π°Ρ‚ΡŒΠ΅, Π·Π° основу процСсса выдвиТСния Π³ΠΈΠΏΠΎΡ‚Π΅Π· ΠΎΡ‡Π΅Π½ΡŒ ΡƒΠ΄ΠΎΠ±Π½ΠΎ Π²Π·ΡΡ‚ΡŒ эту схСму.

ΠžΡΠ½ΠΎΠ²Π½Ρ‹ΠΌ источником Π³ΠΈΠΏΠΎΡ‚Π΅Π· Π±ΡƒΠ΄Π΅Ρ‚ ΡΠ²Π»ΡΡ‚ΡŒΡΡ ΠΌΠ°Ρ‚Ρ€ΠΈΡ†Π° ATT&CK (Adversarial Tactics, Techniques and Common Knowledge). Она, ΠΏΠΎ сути, являСтся Π±Π°Π·ΠΎΠΉ Π·Π½Π°Π½ΠΈΠΉ ΠΈ модСлью для ΠΎΡ†Π΅Π½ΠΊΠΈ повСдСния Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ², Ρ€Π΅Π°Π»ΠΈΠ·ΡƒΡŽΡ‰ΠΈΡ… свои активности Π½Π° послСдних ΡˆΠ°Π³Π°Ρ… нападСния, ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ описываСмого с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ понятия Kill Chain. Π’ΠΎ Π΅ΡΡ‚ΡŒ Π½Π° этапах послС проникновСния Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° Π²ΠΎ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΡŽΡŽ ΡΠ΅Ρ‚ΡŒ прСдприятия ΠΈΠ»ΠΈ Π½Π° мобильноС устройство. ΠŸΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Π² Π±Π°Π·Ρƒ Π·Π½Π°Π½ΠΈΠΉ Π²Ρ…ΠΎΠ΄ΠΈΠ»ΠΎ описаниС 121 Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ ΠΈ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… ΠΏΡ€ΠΈ Π½Π°ΠΏΠ°Π΄Π΅Π½ΠΈΠΈ, каТдая ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ описана Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ Wiki. Π’ качСствС источника для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ Π³ΠΈΠΏΠΎΡ‚Π΅Π· Ρ…ΠΎΡ€ΠΎΡˆΠΎ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΈΡ‚ разнообразная Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ° Threat Intelligence. Особо слСдуСт ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ Π°Π½Π°Π»ΠΈΠ·Π° инфраструктуры ΠΈ тСстов Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅ – это Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ Ρ†Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π΄Π°Ρ‚ΡŒ Π½Π°ΠΌ ΠΆΠ΅Π»Π΅Π·Π½Ρ‹Π΅ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ Π² силу Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ ΠΎΠΏΠΈΡ€Π°ΡŽΡ‚ΡΡ Π½Π° ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΡƒΡŽ инфраструктуру с Π΅Π΅ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΌΠΈ  нСдостатками.

ΠŸΡ€ΠΎΡ†Π΅ΡΡ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π³ΠΈΠΏΠΎΡ‚Π΅Π·

Π‘Π΅Ρ€Π³Π΅ΠΉ Π‘ΠΎΠ»Π΄Π°Ρ‚ΠΎΠ² ΠΏΡ€ΠΈΠ²Π΅Π» Ρ…ΠΎΡ€ΠΎΡˆΡƒΡŽ схСму с ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½Ρ‹ΠΌ описаниСм процСсса, ΠΎΠ½Π° ΠΈΠ»Π»ΡŽΡΡ‚Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ процСсс ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π³ΠΈΠΏΠΎΡ‚Π΅Π· TH Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎ взятой систСмС. Π£ΠΊΠ°ΠΆΡƒ основныС этапы с ΠΊΡ€Π°Ρ‚ΠΊΠΈΠΌ описаниСм.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ

Π­Ρ‚Π°ΠΏ 1: TI Farm

На этом этапС Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρ‹ (ΠΏΡƒΡ‚Π΅ΠΌ ΠΈΡ… Π°Π½Π°Π»ΠΈΠ·Π°  совмСстно со всСми Π΄Π°Π½Π½Ρ‹ΠΌΠΈ ΠΎΠ± ΡƒΠ³Ρ€ΠΎΠ·Π°Ρ…) с присвоСниСм ΠΈΠΌ ΠΌΠ΅Ρ‚ΠΎΠΊ ΠΈΡ… характСристик. Π­Ρ‚ΠΎ Ρ„Π°ΠΉΠ», URL, MD5, процСсс, ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Π°, событиС. ΠŸΡ€ΠΎΠ²ΠΎΠ΄Ρ ΠΈΡ… Ρ‡Π΅Ρ€Π΅Π· систСмы Threat Intelligence, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π½Π°Π²Π΅ΡΠΈΡ‚ΡŒ ΠΌΠ΅Ρ‚ΠΊΠΈ. Π’ΠΎ Π΅ΡΡ‚ΡŒ этот сайт Π±Ρ‹Π» Π·Π°ΠΌΠ΅Ρ‡Π΅Π½ Π² CNC Π² Ρ‚Π°ΠΊΠΎΠΌ-Ρ‚ΠΎ Π³ΠΎΠ΄Ρƒ, эта MD5 Π±Ρ‹Π»Π° связана с Ρ‚Π°ΠΊΠΎΠΉ-Ρ‚ΠΎ ΠΌΠ°Π»Π²Π°Ρ€ΠΎΠΉ, эта MD5 ΠΊΠ°Ρ‡Π°Π»Π°ΡΡŒ с сайта, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ€Π°Π·Π΄Π°Π²Π°Π» ΠΌΠ°Π»Π²Π°Ρ€Ρ‹.

Π­Ρ‚Π°ΠΏ 2: Cases

На Π²Ρ‚ΠΎΡ€ΠΎΠΌ этапС смотрим Π½Π° взаимодСйствиС ΠΌΠ΅ΠΆΠ΄Ρƒ этими ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌΠΈ ΠΈ выявляСм взаимосвязи ΠΌΠ΅ΠΆΠ΄Ρƒ всСми этими ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌΠΈ. ΠŸΠΎΠ»ΡƒΡ‡Π°Π΅ΠΌ ΠΏΡ€ΠΎΠΌΠ°Ρ€ΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ систСмы, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΄Π΅Π»Π°ΡŽΡ‚ Ρ‡Ρ‚ΠΎ-Ρ‚ΠΎ Π½Π΅Ρ…ΠΎΡ€ΠΎΡˆΠ΅Π΅.

Π­Ρ‚Π°ΠΏ 3: Аналитик

На Ρ‚Ρ€Π΅Ρ‚ΡŒΠ΅ΠΌ этапС Π΄Π΅Π»ΠΎ пСрСдаСтся ΠΎΠΏΡ‹Ρ‚Π½ΠΎΠΌΡƒ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΡƒ, ΠΈΠΌΠ΅ΡŽΡ‰Π΅ΠΌΡƒ ΠΎΠ³Ρ€ΠΎΠΌΠ½Ρ‹ΠΉ ΠΎΠΏΡ‹Ρ‚ Π°Π½Π°Π»ΠΈΠ·Π°, ΠΎΠ½ ΠΈ выносит Π²Π΅Ρ€Π΄ΠΈΠΊΡ‚. Он Ρ€Π°Π·Π±ΠΈΡ€Π°Π΅Ρ‚ Π΄ΠΎ Π±Π°ΠΉΡ‚ΠΎΠ², Ρ‡Ρ‚ΠΎ, ΠΎΡ‚ΠΊΡƒΠ΄Π°, ΠΊΠ°ΠΊ, Π·Π°Ρ‡Π΅ΠΌ ΠΈ ΠΏΠΎΡ‡Π΅ΠΌΡƒ Π΄Π΅Π»Π°Π΅Ρ‚ этот ΠΊΠΎΠ΄. Π­Ρ‚ΠΎ Ρ‚Π΅Π»ΠΎ Π±Ρ‹Π»ΠΎ Π·Π»ΠΎΠ²Ρ€Π΅Π΄ΠΎΠΌ, этот ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ Π±Ρ‹Π» Π·Π°Ρ€Π°ΠΆΠ΅Π½. РаскрываСт связи ΠΌΠ΅ΠΆΠ΄Ρƒ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌΠΈ, провСряСт Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΏΡ€ΠΎΠ³ΠΎΠ½Π° Ρ‡Π΅Ρ€Π΅Π· пСсочницу.

Π Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ° ΠΏΠ΅Ρ€Π΅Π΄Π°ΡŽΡ‚ΡΡ Π΄Π°Π»Π΅Π΅. Digital Forensics исслСдуСт ΠΎΠ±Ρ€Π°Π·Ρ‹, Malware Analysis исслСдуСт Π½Π°ΠΉΠ΄Π΅Π½Π½Ρ‹Π΅ Β«Ρ‚Π΅Π»Π°Β», Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Incident Response ΠΌΠΎΠΆΠ΅Ρ‚ Π²Ρ‹Π΅Ρ…Π°Ρ‚ΡŒ Π½Π° мСсто ΠΈ ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚ΡŒ Ρ‡Ρ‚ΠΎ-Ρ‚ΠΎ ΡƒΠΆΠ΅ Ρ‚Π°ΠΌ. Π˜Ρ‚ΠΎΠ³ΠΎΠΌ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π±ΡƒΠ΄Π΅Ρ‚ подтвСрТдСнная Π³ΠΈΠΏΠΎΡ‚Π΅Π·Π°, выявлСнная Π°Ρ‚Π°ΠΊΠ° ΠΈ ΠΏΡƒΡ‚ΠΈ противодСйствия Π΅ΠΉ.

Threat Hunting, ΠΈΠ»ΠΈ Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎΡ‚ 5% ΡƒΠ³Ρ€ΠΎΠ·Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ
Β 

Π˜Ρ‚ΠΎΠ³ΠΈ

Threat Hunting – достаточно молодая тСхнология, способная эффСктивно ΠΏΡ€ΠΎΡ‚ΠΈΠ²ΠΎΡΡ‚ΠΎΡΡ‚ΡŒ кастомизированным, Π½ΠΎΠ²Ρ‹ΠΌ ΠΈ нСстандартным ΡƒΠ³Ρ€ΠΎΠ·Π°ΠΌ, которая ΠΈΠΌΠ΅Π΅Ρ‚ большиС пСрспСктивы с ΡƒΡ‡Π΅Ρ‚ΠΎΠΌ роста числа Ρ‚Π°ΠΊΠΈΡ… ΡƒΠ³Ρ€ΠΎΠ· ΠΈ услоТнСния ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ инфраструктуры. Для Π½Π΅Π΅ Π½ΡƒΠΆΠ½Ρ‹ Ρ‚Ρ€ΠΈ ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠ΅ – Π΄Π°Π½Π½Ρ‹Π΅, инструмСнты ΠΈ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ. Польза ΠΎΡ‚ Threat Hunting Π½Π΅ ограничиваСтся ΡƒΠΏΡ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠ΅ΠΌ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΡƒΠ³Ρ€ΠΎΠ·. НС стоит Π·Π°Π±Ρ‹Π²Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π² процСссС поиска ΠΌΡ‹ погруТаСмся Π² свою инфраструктуру ΠΈ Π΅Π΅ слабыС мСста Π³Π»Π°Π·Π°ΠΌΠΈ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ°-спСциалиста Π² области бСзопасности ΠΈ ΠΌΠΎΠΆΠ΅ΠΌ эти мСста Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΡƒΡΠΈΠ»ΠΈΡ‚ΡŒ.

ΠŸΠ΅Ρ€Π²Ρ‹Π΅ шаги, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅, Π½Π° наш взгляд, Π½ΡƒΠΆΠ½ΠΎ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚ΡŒ Π½Π°Ρ‡Π°Π»ΠΎ процСссу TH Ρƒ сСбя Π² ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ.

  1. ΠŸΠΎΠ·Π°Π±ΠΎΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎ Π·Π°Ρ‰ΠΈΡ‚Π΅ ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹Ρ… Ρ‚ΠΎΡ‡Π΅ΠΊ ΠΈ сСтСвой инфраструктуры. ΠŸΠΎΠ·Π°Π±ΠΎΡ‚ΠΈΡ‚ΡŒΡΡ ΠΎ видимости (NetFlow) ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π΅ (firewall, IDS, IPS, DLP) всСх процСссов Π² вашСй сСти. Π—Π½Π°Ρ‚ΡŒ свою ΡΠ΅Ρ‚ΡŒ ΠΎΡ‚ Π³Ρ€Π°Π½ΠΈΡ‡Π½ΠΎΠ³ΠΎ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ‚ΠΎΡ€Π° Π΄ΠΎ самого послСднСго хоста.
  2. Π˜Π·ΡƒΡ‡ΠΈΡ‚ΡŒ MITRE ATT&CK.
  3. ΠŸΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ рСгулярный пСнтСст хотя Π±Ρ‹ ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Ρ… Π²Π½Π΅ΡˆΠ½ΠΈΡ… рСсурсов, Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π΅Π³ΠΎ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹, Π²Ρ‹Π΄Π΅Π»ΡΡ‚ΡŒ основныС Ρ†Π΅Π»ΠΈ для Π°Ρ‚Π°ΠΊΠΈ ΠΈ Π·Π°ΠΊΡ€Ρ‹Π²Π°Ρ‚ΡŒ ΠΈΡ… уязвимости.
  4. Π’Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ систСму Threat Intelligence с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, MISP, Yeti) ΠΈ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ Π°Π½Π°Π»ΠΈΠ· Π»ΠΎΠ³ΠΎΠ² совмСстно с Π½Π΅ΠΉ.
  5. Π’Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡƒ рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ (IRP): R-Vision IRP, The Hive, пСсочницу для Π°Π½Π°Π»ΠΈΠ·Π° ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Ρ„Π°ΠΉΠ»ΠΎΠ² (FortiSandbox, Cuckoo).
  6. ΠΠ²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ€ΡƒΡ‚ΠΈΠ½Π½Ρ‹Π΅ процСссы. Анализ Π»ΠΎΠ³ΠΎΠ², Π·Π°Π²Π΅Π΄Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ², ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ пСрсонала – ΠΎΠ³Ρ€ΠΎΠΌΠ½ΠΎΠ΅ ΠΏΠΎΠ»Π΅ для Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ.
  7. ΠΠ°ΡƒΡ‡ΠΈΡ‚ΡŒΡΡ эффСктивно Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ с ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€Π°ΠΌΠΈ, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌΠΈ, тСхничСской ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΎΠΉ для совмСстной Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π½Π°Π΄ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Π°ΠΌΠΈ.
  8. Π”ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ вСсь процСсс, ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ Ρ‚ΠΎΡ‡ΠΊΠΈ, достигнутыС Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π²Π΅Ρ€Π½ΡƒΡ‚ΡŒΡΡ ΠΊ Π½ΠΈΠΌ ΠΏΠΎΡ‚ΠΎΠΌ ΠΈΠ»ΠΈ ΠΏΠΎΠ΄Π΅Π»ΠΈΡ‚ΡŒΡΡ этими Π΄Π°Π½Π½Ρ‹ΠΌΠΈ с ΠΊΠΎΠ»Π»Π΅Π³Π°ΠΌΠΈ;
  9. ΠŸΠΎΠΌΠ½ΠΈΡ‚ΡŒ ΠΎ ΡΠΎΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ сторонС: Π±ΡƒΠ΄ΡŒΡ‚Π΅ Π² курсС, Ρ‡Ρ‚ΠΎ происходит с вашими сотрудниками, ΠΊΠΎΠ³ΠΎ Π²Ρ‹ ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Π΅Ρ‚Π΅ Π½Π° Ρ€Π°Π±ΠΎΡ‚Ρƒ ΠΈ ΠΊΠΎΠΌΡƒ Π΄Π°Π΅Ρ‚Π΅ доступ ΠΊ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΌ рСсурсам ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ.
  10. Π‘Ρ‹Ρ‚ΡŒ Π² курсС Ρ‚Ρ€Π΅Π½Π΄ΠΎΠ² Π² области Π½ΠΎΠ²Ρ‹Ρ… ΡƒΠ³Ρ€ΠΎΠ· ΠΈ способов Π·Π°Ρ‰ΠΈΡ‚Ρ‹, ΠΏΠΎΠ²Ρ‹ΡˆΠ°Ρ‚ΡŒ свой ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ тСхничСской грамотности (Π² Ρ‚ΠΎΠΌ числС ΠΈ Π² Ρ€Π°Π±ΠΎΡ‚Π΅ IT-сСрвисов ΠΈ подсистСм), ΠΏΠΎΡΠ΅Ρ‰Π°Ρ‚ΡŒ ΠΊΠΎΠ½Ρ„Π΅Ρ€Π΅Π½Ρ†ΠΈΠΈ ΠΈ ΠΎΠ±Ρ‰Π°Ρ‚ΡŒΡΡ с ΠΊΠΎΠ»Π»Π΅Π³Π°ΠΌΠΈ.

Π“ΠΎΡ‚ΠΎΠ² ΠΎΠ±ΡΡƒΠ΄ΠΈΡ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΡŽ процСсса TH Π² коммСнтариях.

Или ΠΏΡ€ΠΈΡ…ΠΎΠ΄ΠΈΡ‚Π΅ ΠΊ Π½Π°ΠΌ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ!

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊΠΈ ΠΈ ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»Ρ‹ для изучСния

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ