Ang 95% sa mga hulga sa seguridad sa impormasyon nahibal-an, ug mahimo nimong mapanalipdan ang imong kaugalingon gikan niini gamit ang tradisyonal nga paagi sama sa mga antivirus, firewall, IDS, WAF. Ang nahabilin nga 5% sa mga hulga wala mahibal-an ug ang labing delikado. Naglangkob sila sa 70% sa peligro alang sa usa ka kompanya tungod sa kamatuoran nga lisud kaayo nga makit-an sila, labi ka dili kaayo mapanalipdan batok kanila. Mga pananglitan mao ang mga epidemya sa WannaCry, NotPetya/ExPetr ransomware, cryptominers, ang "cyber weapon" Stuxnet (nga miigo sa mga pasilidad sa nukleyar sa Iran) ug daghan (bisan kinsa pa ang nakahinumdom sa Kido/Conficker?) uban pang mga pag-atake nga dili kaayo maayo nga gidepensahan batok sa klasikal nga mga lakang sa seguridad. Gusto namon nga hisgutan kung giunsa ang pagbatok niining 5% sa mga hulga gamit ang teknolohiya sa Threat Hunting.
Ang padayon nga ebolusyon sa mga pag-atake sa cyber nanginahanglan kanunay nga pag-ila ug pagsukol, nga sa katapusan nagdala kanato sa paghunahuna sa usa ka walay katapusan nga lumba sa armas tali sa mga tig-atake ug mga tigdepensa. Ang mga klasiko nga sistema sa seguridad dili na makahatag usa ka madawat nga lebel sa seguridad, diin ang lebel sa peligro dili makaapekto sa mga yawe nga indikasyon sa kompanya (ekonomiya, politikal, reputasyon) nga walaβy pagbag-o alang sa usa ka piho nga imprastraktura, apan sa kinatibuk-an gisakup nila ang pipila sa ang mga risgo. Anaa na sa proseso sa pagpatuman ug pag-configure, ang mga modernong sistema sa seguridad nakit-an ang ilang kaugalingon sa papel sa pagdakop ug kinahanglan nga motubag sa mga hagit sa bag-ong panahon.
Ang teknolohiya sa Threat Hunting mahimong usa sa mga tubag sa mga hagit sa atong panahon alang sa usa ka espesyalista sa seguridad sa impormasyon. Ang termino nga Threat Hunting (gitawag nga TH) migawas pipila ka tuig ang milabay. Ang teknolohiya mismo makaiikag kaayo, apan wala pa'y bisan unsang kasagarang gidawat nga mga sumbanan ug mga lagda. Ang butang komplikado usab sa heterogeneity sa mga tinubdan sa impormasyon ug sa gamay nga gidaghanon sa mga tinubdan sa impormasyon sa Russian nga pinulongan sa niini nga hilisgutan. Niining bahina, kami sa LANIT-Integration nakahukom sa pagsulat sa usa ka pagrepaso niini nga teknolohiya.
Relevance
Ang teknolohiya sa TH nagsalig sa mga proseso sa pag-monitor sa imprastraktura.. Ang pag-alerto (susama sa mga serbisyo sa MSSP) usa ka tradisyonal nga paagi sa pagpangita sa naugmad na nga mga pirma ug mga timailhan sa pag-atake ug pagtubag niini. Kini nga senaryo malampuson nga gihimo sa tradisyonal nga mga gamit sa pagpanalipod nga nakabase sa pirma. Ang pagpangayam (MDR type service) usa ka paagi sa pagmonitor nga nagtubag sa pangutana nga "Diin gikan ang mga pirma ug lagda?" Kini ang proseso sa paghimo sa mga lagda sa correlation pinaagi sa pag-analisar sa mga tinago o wala pa nahibal-an nga mga timailhan ug mga timailhan sa usa ka pag-atake. Ang Threat Hunting nagtumong niining matang sa pagmonitor.
Pinaagi lamang sa paghiusa sa duha ka matang sa pag-monitor nga kita makakuha og proteksyon nga duol sa sulundon, apan kanunay adunay usa ka piho nga lebel sa nahabilin nga peligro.
Proteksyon gamit ang duha ka matang sa pagmonitor
Ug ania ang hinungdan ngano nga ang TH (ug ang pagpangayam sa kinatibuk-an!) mahimong labi ka hinungdanon:
Mga hulga, tambal, risgo.
. Naglakip kini sa mga tipo sama sa spam, DDoS, mga virus, rootkit ug uban pang klasiko nga malware. Mahimo nimong panalipdan ang imong kaugalingon gikan sa kini nga mga hulga gamit ang parehas nga klasiko nga mga lakang sa seguridad.
Atol sa pagpatuman sa bisan unsang proyekto, ug ang nahabilin nga 20% ββsa trabaho nagkinahanglan og 80% sa panahon. Ingon usab, sa tibuuk nga talan-awon sa hulga, 5% sa mga bag-ong hulga ang mag-asoy sa 70% sa peligro sa usa ka kompanya. Sa usa ka kompanya diin giorganisar ang mga proseso sa pagdumala sa seguridad sa kasayuran, mahimo naton madumala ang 30% nga peligro sa pagpatuman sa nahibal-an nga mga hulga sa usa ka paagi o lain pinaagi sa paglikay (pagdumili sa mga wireless network sa prinsipyo), pagdawat (pagpatuman sa kinahanglan nga mga lakang sa seguridad) o pagbalhin (pananglitan, sa mga abaga sa usa ka integrator) kini nga risgo. Panalipdi ang imong kaugalingon gikan sa, pag-atake sa APT, phishing,, cyber espionage ug nasyonal nga operasyon, ingon man ang daghang uban pang mga pag-atake labi ka lisud. Ang mga sangputanan niining 5% sa mga hulga mahimong mas seryoso () kay sa mga sangputanan sa spam o mga virus, diin ang antivirus software makaluwas.
Hapit tanan kinahanglan nga atubangon ang 5% sa mga hulga. Bag-ohay lang kinahanglan namon nga mag-install ug usa ka open-source nga solusyon nga naggamit usa ka aplikasyon gikan sa PEAR (PHP Extension and Application Repository) repository. Usa ka pagsulay sa pag-instalar niini nga aplikasyon pinaagi sa pear install napakyas tungod kay dili magamit (karon adunay usa ka stub niini), kinahanglan nako nga i-install kini gikan sa GitHub. Ug karong bag-o lang nahimo nga biktima si PEAR.
Makahinumdom pa ka, usa ka epidemya sa NePetya ransomware pinaagi sa usa ka update module alang sa usa ka programa sa pagreport sa buhis. Ang mga hulga nahimong labi ug labi ka sopistikado, ug ang lohikal nga pangutana mitungha - "Unsaon naton pagbatok kini nga 5% sa mga hulga?"
Kahulugan sa Panghulga nga Pangangayam
Busa, ang Threat Hunting mao ang proseso sa proactive ug iterative search ug detection sa advanced threats nga dili mamatikdan sa tradisyonal nga security tools. Ang mga advanced nga hulga naglakip, pananglitan, mga pag-atake sama sa APT, mga pag-atake sa 0 ka adlaw nga mga kahuyangan, Pagpuyo sa Yuta, ug uban pa.
Mahimo usab natong i-rephrase nga ang TH mao ang proseso sa pagsulay sa mga pangagpas. Kini usa ka kasagaran nga manual nga proseso nga adunay mga elemento sa automation, diin ang analista, nga nagsalig sa iyang kahibalo ug kahanas, nag-ayag sa daghang mga volume sa kasayuran sa pagpangita sa mga timailhan sa pagkompromiso nga katumbas sa una nga gitino nga hypothesis bahin sa presensya sa usa ka piho nga hulga. Ang talagsaon nga bahin niini mao ang lain-laing mga tinubdan sa impormasyon.
Kinahanglang matikdan nga ang Threat Hunting dili usa ka matang sa software o hardware nga produkto. Dili kini mga alerto nga makita sa pipila ka solusyon. Dili kini usa ka proseso sa pagpangita sa IOC (Identifiers of Compromise). Ug dili kini usa ka matang sa passive nga kalihokan nga mahitabo nga wala ang pag-apil sa mga analista sa seguridad sa kasayuran. Ang Threat Hunting una ug labaw sa tanan usa ka proseso.
Mga bahin sa Panghulga nga Pangayam
Tulo ka nag-unang mga bahin sa Panghulga Hunting: data, teknolohiya, mga tawo.
Data (unsa?), lakip ang Big Data. Ang tanan nga mga matang sa dagan sa trapiko, impormasyon bahin sa nangaging mga APT, analytics, data sa kalihokan sa user, data sa network, impormasyon gikan sa mga empleyado, impormasyon sa darknet ug daghan pa.
Mga teknolohiya (sa unsang paagi?) pagproseso niini nga datos - tanan nga posible nga paagi sa pagproseso niini nga datos, lakip ang Machine Learning.
Mga tawo (kinsa?) - kadtong adunay daghang kasinatian sa pag-analisar sa lainlaing mga pag-atake, naugmad ang intuwisyon ug ang abilidad sa pag-ila sa usa ka pag-atake. Kasagaran kini ang mga analista sa seguridad sa kasayuran nga kinahanglan adunay katakus sa pagmugna og mga pangagpas ug pagpangita og kumpirmasyon alang kanila. Sila ang nag-unang link sa proseso.
Model nga PARIS
Adam Bateman PARIS nga modelo alang sa sulundon nga proseso sa TH. Ang ngalan nagtumong sa usa ka bantog nga landmark sa France. Kini nga modelo mahimong tan-awon sa duha ka direksyon - gikan sa ibabaw ug gikan sa ubos.
Samtang nagtrabaho kami pinaagi sa modelo gikan sa ilawom pataas, makasugat kami daghang ebidensya sa makadaot nga kalihokan. Ang matag piraso sa ebidensya adunay sukod nga gitawag ug pagsalig - usa ka kinaiya nga nagpakita sa gibug-aton niini nga ebidensya. Adunay "iron", direkta nga ebidensya sa malisyosong kalihokan, nga sumala niana mahimo dayon natong maabot ang tumoy sa piramide ug maghimo usa ka aktwal nga alerto bahin sa usa ka tukma nga nahibal-an nga impeksyon. Ug adunay dili direkta nga ebidensya, ang kantidad niini mahimo usab nga magdala kanato sa tumoy sa piramide. Sama sa kanunay, adunay daghan nga dili direkta nga ebidensya kaysa direkta nga ebidensya, nga nagpasabut nga kini kinahanglan nga ihan-ay ug analisahon, dugang nga panukiduki kinahanglan nga ipahigayon, ug kini gitambagan nga i-automate kini.
Model nga PARIS.
Ang taas nga bahin sa modelo (1 ug 2) gibase sa mga teknolohiya sa automation ug lainlaing mga analytics, ug ang ubos nga bahin (3 ug 4) gibase sa mga tawo nga adunay piho nga mga kwalipikasyon nga nagdumala sa proseso. Mahimo nimong hunahunaon ang modelo nga naglihok gikan sa taas hangtod sa ubos, diin sa taas nga bahin sa asul nga kolor kami adunay mga alerto gikan sa tradisyonal nga mga himan sa seguridad (antivirus, EDR, firewall, mga pirma) nga adunay taas nga lebel sa pagsalig ug pagsalig, ug sa ubos ang mga timailhan ( IOC, URL, MD5 ug uban pa), nga adunay ubos nga lebel sa kasiguruhan ug nanginahanglan dugang nga pagtuon. Ug ang pinakaubos ug pinakabaga nga lebel (4) mao ang henerasyon sa mga pangagpas, ang paghimo sa bag-ong mga senaryo alang sa operasyon sa tradisyonal nga paagi sa pagpanalipod. Kini nga lebel dili limitado lamang sa piho nga mga gigikanan sa mga pangagpas. Ang ubos nga lebel, mas daghang mga kinahanglanon ang gibutang sa mga kwalipikasyon sa analista.
Importante kaayo nga ang mga analista dili lang mosulay sa usa ka limitado nga hugpong sa gitino nang daan nga mga pangagpas, apan kanunay nga magtrabaho aron makamugna og bag-ong mga pangagpas ug mga kapilian sa pagsulay niini.
TH Usage Maturity Model
Sa usa ka sulundon nga kalibutan, ang TH usa ka nagpadayon nga proseso. Apan, tungod kay walay sulundon nga kalibutan, atong analisahon ug mga pamaagi sa termino sa mga tawo, proseso ug teknolohiya nga gigamit. Atong tagdon ang usa ka modelo sa usa ka sulundon nga spherical TH. Adunay 5 nga lebel sa paggamit niini nga teknolohiya. Atong tan-awon sila gamit ang panig-ingnan sa ebolusyon sa usa ka grupo sa mga analista.
Mga lebel sa pagkahamtong
mga tawo
Ang mga proseso
sa teknolohiya
Ang lebel sa 0
Mga Analista sa SOC
24/7
Tradisyonal nga mga instrumento:
Tradisyonal
Set sa mga alerto
Passive monitoring
IDS, AV, Sandboxing,
Kung walay TH
Pagtrabaho uban ang mga alerto
Mga himan sa pag-analisar sa pirma, datos sa Threat Intelligence.
Ang lebel sa 1
Mga Analista sa SOC
Usa ka higayon nga TH
Si EDR
Eksperimento
Panguna nga kahibalo sa forensics
IOC pagpangita
Partial nga pagsakup sa datos gikan sa mga aparato sa network
Mga eksperimento sa TH
Maayong kahibalo sa mga network ug aplikasyon
Partial nga aplikasyon
Ang lebel sa 2
Temporaryo nga trabaho
Mga sprint
Si EDR
Periodic
Average nga kahibalo sa forensics
Semana sa bulan
Bug-os nga aplikasyon
Temporaryo nga TH
Maayo kaayo nga kahibalo sa mga network ug aplikasyon
Regular nga TH
Bug-os nga automation sa paggamit sa datos sa EDR
Partial nga paggamit sa mga advanced nga kapabilidad sa EDR
Ang lebel sa 3
Gipahinungod nga mando sa TH
24/7
Partial nga abilidad sa pagsulay sa mga pangagpas TH
Preventive
Maayo kaayo nga kahibalo sa forensics ug malware
Preventive nga TH
Bug-os nga paggamit sa mga advanced nga kapabilidad sa EDR
Espesyal nga mga kaso TH
Maayo kaayo nga kahibalo sa bahin sa pag-atake
Espesyal nga mga kaso TH
Ang bug-os nga pagsakup sa datos gikan sa mga aparato sa network
Pag-configure aron mohaum sa imong mga panginahanglan
Ang lebel sa 4
Gipahinungod nga mando sa TH
24/7
Bug-os nga abilidad sa pagsulay sa TH hypotheses
Nanguna
Maayo kaayo nga kahibalo sa forensics ug malware
Preventive nga TH
Level 3, dugang:
Gamit ang TH
Maayo kaayo nga kahibalo sa bahin sa pag-atake
Pagsulay, automation ug pag-verify sa mga hypotheses TH
hugot nga paghiusa sa mga tinubdan sa datos;
Abilidad sa panukiduki
pagpalambo sumala sa mga panginahanglan ug dili standard nga paggamit sa API.
Ang lebel sa pagkahamtong sa TH sa mga tawo, proseso ug teknolohiya
Level 0: tradisyonal, nga walay paggamit sa TH. Ang mga regular nga analista nagtrabaho uban ang usa ka standard nga set sa mga alert sa passive monitoring mode gamit ang standard nga mga himan ug teknolohiya: IDS, AV, sandbox, signature analysis tools.
Level 1: eksperimento, gamit ang TH. Ang parehas nga mga analista nga adunay sukaranan nga kahibalo sa forensics ug maayong kahibalo sa mga network ug aplikasyon mahimoβg maghimo usa ka higayon nga Panghulga nga Pangita pinaagi sa pagpangita sa mga timailhan sa pagkompromiso. Ang mga EDR gidugang sa mga himan nga adunay partial nga pagsakup sa datos gikan sa mga aparato sa network. Ang mga himan partially gigamit.
Level 2: periodic, temporaryo nga TH. Ang parehas nga mga analista nga nag-upgrade na sa ilang kahibalo sa forensics, network ug bahin sa aplikasyon gikinahanglan nga kanunay nga moapil sa Threat Hunting (sprint), ingon, usa ka semana sa usa ka bulan. Ang mga himan nagdugang sa bug-os nga pagsuhid sa datos gikan sa mga aparato sa network, automation sa pagtuki sa datos gikan sa EDR, ug partial nga paggamit sa mga advanced nga kapabilidad sa EDR.
Level 3: pagpugong, kanunay nga mga kaso sa TH. Giorganisar sa among mga analista ang ilang kaugalingon sa usa ka dedikado nga grupo ug nagsugod nga adunay maayo kaayo nga kahibalo sa forensics ug malware, ingon man ang kahibalo sa mga pamaagi ug taktika sa nag-atake nga bahin. Ang proseso gihimo na 24/7. Ang team makahimo sa partially test sa TH hypotheses samtang bug-os nga gigamit ang advanced nga kapabilidad sa EDR nga adunay bug-os nga coverage sa data gikan sa network device. Ang mga analista makahimo usab sa pag-configure sa mga himan aron mohaum sa ilang mga panginahanglan.
Level 4: high-end, gamita ang TH. Ang parehas nga team nakakuha sa abilidad sa pagpanukiduki, ang abilidad sa pagmugna ug pag-automate sa proseso sa pagsulay sa TH hypotheses. Karon ang mga himan gidugangan sa suod nga panagsama sa mga gigikanan sa datos, pag-uswag sa software aron matubag ang mga panginahanglanon, ug dili standard nga paggamit sa mga API.
Mga Pamaagi sa Pagpangayam sa Panghulga
Panguna nga mga Pamaagi sa Panghulga sa Pangangayam
Π Ang TH, sa han-ay sa pagkahamtong sa teknolohiya nga gigamit, mao ang: batakang pagpangita, istatistikal nga pagtuki, visualization techniques, simple nga aggregations, machine learning, ug Bayesian nga mga pamaagi.
Ang pinakayano nga paagi, usa ka sukaranan nga pagpangita, gigamit aron makitid ang lugar sa panukiduki gamit ang piho nga mga pangutana. Ang pag-analisa sa estadistika gigamit, pananglitan, aron matukod ang kasagaran nga kalihokan sa tiggamit o network sa porma sa usa ka modelo sa istatistika. Gigamit ang mga teknik sa visualization aron makita ug mapasimple ang pag-analisar sa datos sa porma sa mga graph ug mga tsart, nga makapasayon ββsa pag-ila sa mga pattern sa sample. Ang teknik sa yano nga mga aggregations pinaagi sa yawe nga mga natad gigamit aron ma-optimize ang pagpangita ug pagtuki. Kon mas hamtong ang proseso sa TH sa usa ka organisasyon, mas may kalabotan ang paggamit sa mga algorithm sa pagkat-on sa makina. Kaylap usab sila nga gigamit sa pagsala sa spam, pag-ila sa malisyosong trapiko ug pag-ila sa malimbungon nga mga kalihokan. Ang usa ka mas abante nga matang sa algorithm sa pagkat-on sa makina mao ang mga pamaagi sa Bayesian, nga nagtugot sa klasipikasyon, pagkunhod sa gidak-on sa sample, ug pagmodelo sa hilisgutan.
Diamond Model ug TH Strategies
Sergio Caltagiron, Andrew Pendegast ug Christopher Betz sa ilang trabaho "Β» nagpakita sa mga nag-unang yawe nga sangkap sa bisan unsang makadaot nga kalihokan ug ang sukaranan nga koneksyon tali kanila.
Diamond model alang sa malisyoso nga kalihokan
Sumala sa kini nga modelo, adunay 4 nga mga estratehiya sa Threat Hunting, nga gibase sa katugbang nga hinungdanon nga mga sangkap.
1. Istratehiya nga nakapunting sa biktima. Nagtuo kami nga ang biktima adunay mga kaatbang ug sila maghatud sa "mga oportunidad" pinaagi sa email. Gipangita namon ang datos sa kaaway sa koreo. Pangitaa ang mga link, mga sumpay, ug uban pa. Gipangita namo ang kumpirmasyon niini nga pangagpas sa usa ka piho nga yugto sa panahon (usa ka bulan, duha ka semana); kung wala namo kini makit-an, nan ang pangagpas wala molihok.
2. Imprastraktura-oriented nga estratehiya. Adunay daghang mga pamaagi sa paggamit niini nga estratehiya. Depende sa access ug visibility, ang uban mas sayon ββkay sa uban. Pananglitan, among gibantayan ang mga server sa ngalan sa domain nga nailhan nga nag-host sa mga makadaot nga domain. O moagi kami sa proseso sa pagmonitor sa tanang bag-ong domain name registration alang sa nailhan nga sumbanan nga gigamit sa usa ka kaaway.
3. Istratehiya nga gipatuyok sa kapabilidad. Dugang pa sa estratehiya nga nakapunting sa biktima nga gigamit sa kadaghanan sa mga tigdepensa sa network, adunay usa ka estratehiya nga nakapunting sa oportunidad. Kini ang ikaduha nga labing popular ug nagtutok sa pag-ila sa mga kapabilidad gikan sa kaaway, nga mao ang "malware" ug ang abilidad sa kaaway sa paggamit sa mga lehitimong himan sama sa psexec, powershell, certutil ug uban pa.
4. Estratehiya nga gipunting sa kaaway. Ang adversary-centric approach nagtutok sa kontra mismo. Naglakip kini sa paggamit sa bukas nga kasayuran gikan sa mga tinubdan nga magamit sa publiko (OSINT), pagkolekta sa datos bahin sa kaaway, iyang mga teknik ug pamaagi (TTP), pagtuki sa nangaging mga insidente, datos sa Threat Intelligence, ug uban pa.
Mga tinubdan sa impormasyon ug mga pangagpas sa TH
Pipila ka tinubdan sa impormasyon alang sa Threat Hunting
Mahimong adunay daghang tinubdan sa impormasyon. Ang usa ka sulundon nga analista kinahanglan nga makahimo sa pagkuha sa kasayuran gikan sa tanan nga anaa sa palibot. Ang kasagarang tinubdan sa halos bisan unsang imprastraktura mao ang datos gikan sa mga himan sa seguridad: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Usab, ang kasagarang mga tinubdan sa impormasyon mao ang lain-laing mga indicators sa pagkompromiso, Threat Intelligence services, CERT ug OSINT data. Dugang pa, mahimo nimong gamiton ang impormasyon gikan sa darknet (pananglitan, kalit nga adunay usa ka mando sa pag-hack sa mailbox sa ulo sa usa ka organisasyon, o usa ka kandidato alang sa posisyon sa usa ka network engineer ang nabutyag alang sa iyang kalihokan), ang impormasyon nga nadawat gikan sa HR (pagrepaso sa kandidato gikan sa miaging lugar sa trabaho), impormasyon gikan sa serbisyo sa seguridad (pananglitan, ang mga resulta sa pag-verify sa counterparty).
Apan sa dili pa gamiton ang tanang anaa nga tinubdan, gikinahanglan nga adunay labing menos usa ka pangagpas.
Aron masulayan ang mga pangagpas, kinahanglan una silang ibutang sa unahan. Ug aron mabutang sa unahan ang daghang taas nga kalidad nga mga pangagpas, kinahanglan nga magamit ang usa ka sistematikong pamaagi. Ang proseso sa paghimo og mga pangagpas gihulagway sa mas detalyado sa, kini mao ang kaayo kombenyente sa pagkuha niini nga laraw ingon nga basehan alang sa proseso sa pagbutang sa unahan hypotheses.
Ang panguna nga gigikanan sa mga pangagpas mao ang ATT&CK matrix (Mga Taktika sa Adversarial, Mga Teknik ug Komon nga Kahibalo). Kini, sa esensya, usa ka base sa kahibalo ug modelo alang sa pagtimbang-timbang sa pamatasan sa mga tig-atake nga naghimo sa ilang mga kalihokan sa katapusan nga mga lakang sa usa ka pag-atake, kasagaran gihulagway gamit ang konsepto sa Kill Chain. Kana mao, sa mga yugto human ang usa ka tig-atake nakasulod sa internal nga network sa usa ka negosyo o sa usa ka mobile device. Ang base sa kahibalo orihinal nga naglakip sa mga paghulagway sa 121 nga mga taktika ug mga teknik nga gigamit sa pag-atake, ang matag usa niini gihulagway sa detalye sa Wiki format. Ang lain-laing pagtuki sa Threat Intelligence haum kaayo isip tinubdan sa pagmugna og mga hypotheses. Sa partikular nga nota mao ang mga resulta sa pag-analisa sa imprastraktura ug mga pagsulay sa pagsulod - kini ang labing bililhon nga datos nga makahatag kanamo nga mga ironclad hypotheses tungod sa kamatuoran nga kini gibase sa usa ka piho nga imprastraktura nga adunay mga piho nga mga kakulangan.
Proseso sa pagsulay sa hypothesis
Gidala si Sergei Soldatov nga adunay usa ka detalyado nga paghulagway sa proseso, kini naghulagway sa proseso sa pagsulay sa TH hypotheses sa usa ka sistema. Akong ipakita ang mga nag-unang yugto nga adunay mubo nga paghulagway.
Yugto 1: TI Farm
Niini nga yugto kinahanglan nga i-highlight mga butang (pinaagi sa pag-analisar niini uban sa tanang datos sa hulga) ug paghatag kanila og mga label alang sa ilang mga kinaiya. Kini ang file, URL, MD5, proseso, utility, panghitabo. Kung gipasa kini sa mga sistema sa Threat Intelligence, kinahanglan nga ilakip ang mga tag. Sa ato pa, kini nga site namatikdan sa CNC sa ingon ug ingon nga tuig, kini nga MD5 nakig-uban sa ingon ug ingon nga malware, kini nga MD5 gi-download gikan sa usa ka site nga nag-apod-apod sa malware.
Yugto 2: Mga Kaso
Sa ikaduhang yugto, atong tan-awon ang interaksyon tali niini nga mga butang ug mailhan ang mga relasyon tali niining tanan nga mga butang. Nakakuha kami mga marka nga sistema nga naghimo usa ka butang nga dili maayo.
Yugto 3: Analista
Sa ikatulo nga yugto, ang kaso gibalhin sa usa ka eksperyensiyado nga analista nga adunay daghang kasinatian sa pag-analisar, ug naghimo siya usa ka hukom. Gi-parse niya hangtod sa mga byte kung unsa, asa, giunsa, ngano ug ngano kini nga code. Kini nga lawas usa ka malware, kini nga kompyuter nataptan. Nagpadayag sa mga koneksyon tali sa mga butang, nagsusi sa mga resulta sa pagdagan pinaagi sa sandbox.
Ang mga resulta sa trabaho sa analista gipasa pa. Gisusi sa Digital Forensics ang mga imahe, gisusi sa Malware Analysis ang "mga lawas" nga nakit-an, ug ang grupo sa Insidente nga Tubag mahimong moadto sa site ug mag-imbestiga sa usa ka butang nga naa na. Ang resulta sa trabaho mao ang usa ka nakumpirma nga hypothesis, usa ka giila nga pag-atake ug mga paagi aron masumpo kini.
Mga resulta
Ang Threat Hunting usa ka medyo batan-on nga teknolohiya nga epektibong makasukol sa customized, bag-o ug dili standard nga mga hulga, nga adunay dagkong mga palaaboton tungod sa nagkadaghan nga mga hulga ug nagkadako nga pagkakomplikado sa corporate infrastructure. Nagkinahanglan kini og tulo ka mga sangkap - data, himan ug analista. Ang mga benepisyo sa Threat Hunting dili limitado sa pagpugong sa pagpatuman sa mga hulga. Ayaw kalimti nga sa panahon sa proseso sa pagpangita kita mosalom sa atong imprastraktura ug sa mga huyang nga punto niini pinaagi sa mga mata sa usa ka security analyst ug makapalig-on pa niini nga mga punto.
Ang una nga mga lakang nga, sa among opinyon, kinahanglan buhaton aron masugdan ang proseso sa TH sa imong organisasyon.
- Pag-amping sa pagpanalipod sa mga endpoint ug imprastraktura sa network. Ampingi ang visibility (NetFlow) ug kontrol (firewall, IDS, IPS, DLP) sa tanang proseso sa imong network. Hibal-i ang imong network gikan sa edge router hangtod sa katapusan nga host.
- Pagsuhid.
- Pagpahigayon og regular nga mga pentest sa labing menos yawe nga mga kahinguhaan sa gawas, pag-analisar sa mga resulta niini, pag-ila sa mga nag-unang target sa pag-atake ug pagsira sa ilang mga kahuyangan.
- Ipatuman ang usa ka open source nga Threat Intelligence system (pananglitan, MISP, Yeti) ug analisa ang mga log dungan niini.
- Ipatuman ang usa ka plataporma sa pagtubag sa insidente (IRP): R-Vision IRP, The Hive, sandbox alang sa pag-analisar sa mga kadudahang file (FortiSandbox, Cuckoo).
- I-automate ang naandang mga proseso. Ang pag-analisar sa mga troso, pagrekord sa mga insidente, pagpahibalo sa mga kawani usa ka dako nga natad alang sa automation.
- Pagkat-on nga epektibo nga makig-uban sa mga inhenyero, developer, ug teknikal nga suporta aron magtinabangay sa mga insidente.
- Idokumento ang tibuok proseso, importanteng mga punto, nakab-ot nga mga resulta aron mabalik kini sa ulahi o ipaambit kini nga datos sa mga kauban;
- Mahimong sosyal: Hibal-i kung unsa ang nahitabo sa imong mga empleyado, kinsa ang imong gi-hire, ug kinsa ang imong gihatagan og access sa mga kapanguhaan sa impormasyon sa organisasyon.
- Padayon sa abreast sa mga uso sa natad sa bag-ong mga hulga ug mga pamaagi sa pagpanalipod, sa pagdugang sa imong lebel sa teknikal nga literacy (lakip na sa operasyon sa IT nga mga serbisyo ug mga subsystem), pagtambong sa mga komperensya ug pagpakigsulti sa mga kauban.
Andam nga hisgutan ang organisasyon sa proseso sa TH sa mga komento.
O kuyog sa pagtrabaho uban kanamo!
Mga tinubdan ug materyales nga tun-an
Source: www.habr.com