Mae 95% o fygythiadau diogelwch gwybodaeth yn hysbys, a gallwch amddiffyn eich hun rhagddynt gan ddefnyddio dulliau traddodiadol fel gwrthfeirysau, waliau tân, IDS, WAF. Mae'r 5% sy'n weddill o fygythiadau yn anhysbys a'r rhai mwyaf peryglus. Maent yn cyfrif am 70% o'r risg i gwmni oherwydd ei bod yn anodd iawn eu canfod, llawer llai o amddiffyniad yn eu herbyn. Enghreifftiau yw epidemig nwyddau ransom WannaCry, NotPetya/ExPetr, cryptominers, yr “arf seibr” Stuxnet (a darodd gyfleusterau niwclear Iran) a llawer (unrhyw un arall yn cofio Kido/Conficker?) Ymosodiadau eraill nad ydynt yn cael eu hamddiffyn yn dda iawn yn eu herbyn gyda mesurau diogelwch clasurol. Rydyn ni eisiau siarad am sut i wrthsefyll y 5% hyn o fygythiadau gan ddefnyddio technoleg Hela Bygythiad.
Mae esblygiad parhaus seibr-ymosodiadau yn gofyn am ganfod cyson a gwrthfesurau, sydd yn y pen draw yn ein harwain i feddwl am ras arfau ddiddiwedd rhwng ymosodwyr ac amddiffynwyr. Nid yw systemau diogelwch clasurol bellach yn gallu darparu lefel dderbyniol o ddiogelwch, lle nad yw lefel y risg yn effeithio ar ddangosyddion allweddol y cwmni (economaidd, gwleidyddol, enw da) heb eu haddasu ar gyfer seilwaith penodol, ond yn gyffredinol maent yn cwmpasu rhai o'r rhain. y risgiau. Eisoes yn y broses o weithredu a chyfluniad, mae systemau diogelwch modern yn cael eu hunain yn y rôl o ddal i fyny a rhaid iddynt ymateb i heriau'r amser newydd.
Efallai mai technoleg Hela Bygythiad yw un o'r atebion i heriau ein hoes ar gyfer arbenigwr diogelwch gwybodaeth. Ymddangosodd y term Hela Bygythiad (y cyfeirir ato o hyn ymlaen fel TH) sawl blwyddyn yn ôl. Mae'r dechnoleg ei hun yn eithaf diddorol, ond nid oes ganddi unrhyw safonau a rheolau a dderbynnir yn gyffredinol eto. Mae'r mater hefyd yn cael ei gymhlethu gan heterogenedd ffynonellau gwybodaeth a'r nifer fach o ffynonellau gwybodaeth Rwsieg ar y pwnc hwn. Yn hyn o beth, fe benderfynon ni yn LANIT-Integration ysgrifennu adolygiad o'r dechnoleg hon.
Perthnasedd
Mae technoleg TH yn dibynnu ar brosesau monitro seilwaith.. Mae rhybuddio (yn debyg i wasanaethau MSSP) yn ddull traddodiadol o chwilio am lofnodion a ddatblygwyd yn flaenorol ac arwyddion o ymosodiadau ac ymateb iddynt. Mae'r senario hwn yn cael ei berfformio'n llwyddiannus gan offer amddiffyn traddodiadol sy'n seiliedig ar lofnod. Mae hela (gwasanaeth tebyg i MDR) yn ddull monitro sy’n ateb y cwestiwn “O ble mae llofnodion a rheolau yn dod?” Dyma'r broses o greu rheolau cydberthynas trwy ddadansoddi dangosyddion cudd neu anhysbys o'r blaen ac arwyddion ymosodiad. Mae Hela Bygythiad yn cyfeirio at y math hwn o fonitro.
Dim ond trwy gyfuno'r ddau fath o fonitro y cawn amddiffyniad sy'n agos at ddelfrydol, ond mae lefel benodol o risg gweddilliol bob amser.
Amddiffyn gan ddefnyddio dau fath o fonitro
A dyma pam y bydd TH (a hela yn ei gyfanrwydd!) yn dod yn fwyfwy perthnasol:
Bygythiadau, atebion, risgiau.
. Mae'r rhain yn cynnwys mathau fel sbam, DDoS, firysau, rootkits a malware clasurol arall. Gallwch amddiffyn eich hun rhag y bygythiadau hyn gan ddefnyddio'r un mesurau diogelwch clasurol.
Yn ystod gweithrediad unrhyw brosiect, ac mae'r 20% sy'n weddill o'r gwaith yn cymryd 80% o'r amser. Yn yr un modd, ar draws y dirwedd fygythiad gyfan, bydd 5% o fygythiadau newydd yn cyfrif am 70% o'r risg i gwmni. Mewn cwmni lle mae prosesau rheoli diogelwch gwybodaeth yn cael eu trefnu, gallwn reoli 30% o'r risg o weithredu bygythiadau hysbys mewn un ffordd neu'r llall trwy osgoi (gwrthod rhwydweithiau diwifr mewn egwyddor), derbyn (gweithredu'r mesurau diogelwch angenrheidiol) neu symud (er enghraifft, ar ysgwyddau integreiddiwr) y risg hon. Amddiffyn eich hun rhag, ymosodiadau APT, gwe-rwydo,, ysbïo seiber a gweithrediadau cenedlaethol, yn ogystal â nifer fawr o ymosodiadau eraill eisoes yn llawer anoddach. Bydd canlyniadau’r 5% hyn o fygythiadau yn llawer mwy difrifol () na chanlyniadau sbam neu firysau, y mae meddalwedd gwrthfeirws yn arbed ohonynt.
Mae bron pawb yn gorfod delio â 5% o fygythiadau. Yn ddiweddar bu'n rhaid i ni osod datrysiad ffynhonnell agored sy'n defnyddio cymhwysiad o'r storfa PEAR (PHP Extension and Application Repository). Methodd ymgais i osod y rhaglen hon trwy osod gellyg oherwydd nad oedd ar gael (nawr mae bonyn arno), roedd yn rhaid i mi ei osod o GitHub. Ac yn ddiweddar, daeth PEAR yn ddioddefwr.
Gallwch chi gofio o hyd, epidemig o ransomware NePetya trwy fodiwl diweddaru ar gyfer rhaglen adrodd treth. Mae bygythiadau yn dod yn fwyfwy soffistigedig, ac mae’r cwestiwn rhesymegol yn codi – “Sut allwn ni wrthsefyll y 5% o fygythiadau hyn?”
Diffiniad o Hela Bygythiad
Felly, Hela Bygythiad yw'r broses o chwilio a chanfod bygythiadau datblygedig na ellir eu canfod gan offer diogelwch traddodiadol yn rhagweithiol ac iterus. Mae bygythiadau uwch yn cynnwys, er enghraifft, ymosodiadau fel APT, ymosodiadau ar wendidau 0-diwrnod, Byw oddi ar y Tir, ac ati.
Gallwn hefyd aralleirio mai TH yw'r broses o brofi damcaniaethau. Mae hon yn broses â llaw yn bennaf gydag elfennau o awtomeiddio, lle mae'r dadansoddwr, gan ddibynnu ar ei wybodaeth a'i sgiliau, yn troi trwy lawer iawn o wybodaeth i chwilio am arwyddion o gyfaddawd sy'n cyfateb i'r rhagdybiaeth a bennwyd i ddechrau am bresenoldeb bygythiad penodol. Ei nodwedd arbennig yw'r amrywiaeth o ffynonellau gwybodaeth.
Dylid nodi nad yw Hela Bygythiad yn rhyw fath o feddalwedd neu gynnyrch caledwedd. Nid yw'r rhain yn rhybuddion y gellir eu gweld mewn rhyw ateb. Nid proses chwilio IOC (Dynodwyr Cyfaddawd) mo hon. Ac nid yw hyn yn rhyw fath o weithgaredd goddefol sy'n digwydd heb gyfranogiad dadansoddwyr diogelwch gwybodaeth. Mae Hela Bygythiadau yn gyntaf ac yn bennaf yn broses.
Cydrannau Hela Bygythiad
Tair prif elfen Hela Bygythiad: data, technoleg, pobl.
Data (beth?), gan gynnwys Data Mawr. Pob math o lif traffig, gwybodaeth am APTs blaenorol, dadansoddeg, data ar weithgaredd defnyddwyr, data rhwydwaith, gwybodaeth gan weithwyr, gwybodaeth ar y darknet a llawer mwy.
Technolegau (sut?) prosesu'r data hwn - pob ffordd bosibl o brosesu'r data hwn, gan gynnwys Machine Learning.
Pobl (pwy?) - y rhai sydd â phrofiad helaeth o ddadansoddi ymosodiadau amrywiol, datblygodd greddf a'r gallu i ganfod ymosodiad. Yn nodweddiadol mae'r rhain yn ddadansoddwyr diogelwch gwybodaeth y mae'n rhaid iddynt fod â'r gallu i gynhyrchu damcaniaethau a dod o hyd i gadarnhad ar eu cyfer. Nhw yw'r prif gyswllt yn y broses.
Model PARIS
Adam Bateman Model PARIS ar gyfer y broses TH ddelfrydol. Mae'r enw yn cyfeirio at dirnod enwog yn Ffrainc. Gellir gweld y model hwn mewn dau gyfeiriad - oddi uchod ac oddi isod.
Wrth inni weithio ein ffordd drwy’r model o’r gwaelod i fyny, byddwn yn dod ar draws llawer o dystiolaeth o weithgarwch maleisus. Mae gan bob darn o dystiolaeth fesur a elwir yn hyder - nodwedd sy'n adlewyrchu pwysau'r dystiolaeth hon. Mae yna “haearn”, tystiolaeth uniongyrchol o weithgaredd maleisus, ac yn unol â hynny gallwn gyrraedd brig y pyramid ar unwaith a chreu rhybudd gwirioneddol am haint hysbys iawn. Ac mae tystiolaeth anuniongyrchol, y gall ei swm hefyd ein harwain at ben y pyramid. Fel bob amser, mae llawer mwy o dystiolaeth anuniongyrchol na thystiolaeth uniongyrchol, sy’n golygu bod angen eu didoli a’u dadansoddi, rhaid cynnal ymchwil ychwanegol, a chynghorir i awtomeiddio hyn.
Model PARIS.
Mae rhan uchaf y model (1 a 2) yn seiliedig ar dechnolegau awtomeiddio a dadansoddeg amrywiol, ac mae'r rhan isaf (3 a 4) yn seiliedig ar bobl â chymwysterau penodol sy'n rheoli'r broses. Gallwch ystyried y model yn symud o'r top i'r gwaelod, lle yn rhan uchaf y lliw glas mae gennym rybuddion o offer diogelwch traddodiadol (antifeirws, EDR, wal dân, llofnodion) gyda lefel uchel o hyder ac ymddiriedaeth, ac isod mae dangosyddion ( IOC, URL, MD5 ac eraill), sydd â lefel is o sicrwydd ac sydd angen astudiaeth ychwanegol. A'r lefel isaf a mwyaf trwchus (4) yw cynhyrchu damcaniaethau, creu senarios newydd ar gyfer gweithredu dulliau amddiffyn traddodiadol. Nid yw'r lefel hon yn gyfyngedig i'r ffynonellau damcaniaethol penodedig yn unig. Po isaf yw'r lefel, y mwyaf o ofynion a osodir ar gymwysterau'r dadansoddwr.
Mae'n bwysig iawn nad yw dadansoddwyr yn profi set gyfyngedig o ddamcaniaethau a bennwyd ymlaen llaw yn unig, ond yn gweithio'n gyson i gynhyrchu damcaniaethau ac opsiynau newydd ar gyfer eu profi.
TH Model Aeddfedrwydd Defnydd
Mewn byd delfrydol, mae TH yn broses barhaus. Ond, gan nad oes byd delfrydol, gadewch i ni ddadansoddi a dulliau o ran y bobl, y prosesau a'r technolegau a ddefnyddir. Gadewch inni ystyried model o TH sfferig delfrydol. Mae 5 lefel o ddefnyddio'r dechnoleg hon. Gadewch i ni edrych arnynt gan ddefnyddio'r enghraifft o esblygiad un tîm o ddadansoddwyr.
Lefelau aeddfedrwydd
Pobl
Y prosesau
Technoleg
Lefel 0
Dadansoddwyr SOC
24/7
Offerynnau traddodiadol:
Traddodiadol
Set o rybuddion
Monitro goddefol
IDS, AV, bocsio tywod,
Heb TH
Gweithio gyda rhybuddion
Offer dadansoddi llofnod, data Bygythiad Cudd-wybodaeth.
Lefel 1
Dadansoddwyr SOC
Un-amser TH
EDR
Arbrofol
Gwybodaeth sylfaenol am fforensig
Chwiliad IOC
Cwmpas rhannol o ddata o ddyfeisiau rhwydwaith
Arbrofion gyda TH
Gwybodaeth dda o rwydweithiau a chymwysiadau
Cais rhannol
Lefel 2
Galwedigaeth dros dro
Sbrintiau
EDR
Cyfnodol
Gwybodaeth gyfartalog o fforensig
Wythnos i fis
Cais llawn
Dros Dro TH
Gwybodaeth ardderchog o rwydweithiau a chymwysiadau
TH rheolaidd
Awtomeiddio llawn o ddefnydd data EDR
Defnydd rhannol o alluoedd EDR uwch
Lefel 3
Gorchymyn TH pwrpasol
24/7
Gallu rhannol i brofi damcaniaethau TH
Ataliol
Gwybodaeth ardderchog am fforensig a meddalwedd faleisus
Ataliol TH
Defnydd llawn o alluoedd EDR uwch
Achosion arbennig TH
Gwybodaeth ardderchog o'r ochr ymosod
Achosion arbennig TH
Cwmpas llawn o ddata o ddyfeisiau rhwydwaith
Ffurfweddiad i weddu i'ch anghenion
Lefel 4
Gorchymyn TH pwrpasol
24/7
Gallu llawn i brofi damcaniaethau TH
Arwain
Gwybodaeth ardderchog am fforensig a meddalwedd faleisus
Ataliol TH
Lefel 3, ynghyd â:
Gan ddefnyddio TH
Gwybodaeth ardderchog o'r ochr ymosod
Profi, awtomeiddio a gwirio damcaniaethau TH
integreiddio ffynonellau data yn dynn;
Gallu ymchwil
datblygu yn unol ag anghenion a defnydd ansafonol o API.
TH lefelau aeddfedrwydd gan bobl, prosesau a thechnolegau
Lefel 0: traddodiadol, heb ddefnyddio TH. Mae dadansoddwyr rheolaidd yn gweithio gyda set safonol o rybuddion mewn modd monitro goddefol gan ddefnyddio offer a thechnolegau safonol: IDS, AV, blwch tywod, offer dadansoddi llofnod.
Lefel 1: arbrofol, gan ddefnyddio TH. Gall yr un dadansoddwyr sydd â gwybodaeth sylfaenol am fforensig a gwybodaeth dda am rwydweithiau a chymwysiadau gynnal Hela Bygythiadau un-amser trwy chwilio am ddangosyddion cyfaddawd. Mae EDRs yn cael eu hychwanegu at yr offer gyda sylw rhannol o ddata o ddyfeisiau rhwydwaith. Defnyddir yr offer yn rhannol.
Lefel 2: TH cyfnodol, dros dro. Mae'n ofynnol i'r un dadansoddwyr sydd eisoes wedi uwchraddio eu gwybodaeth mewn fforensig, rhwydweithiau a rhan y cais gymryd rhan yn rheolaidd mewn Hela Bygythiad (sbrint), dyweder, wythnos y mis. Mae'r offer yn ychwanegu archwiliad llawn o ddata o ddyfeisiau rhwydwaith, awtomeiddio dadansoddi data o EDR, a defnydd rhannol o alluoedd EDR uwch.
Lefel 3: achosion ataliol, aml o TH. Trefnodd ein dadansoddwyr eu hunain yn dîm ymroddedig a dechreuodd feddu ar wybodaeth ragorol am fforensig a meddalwedd faleisus, yn ogystal â gwybodaeth am ddulliau a thactegau'r ochr ymosod. Mae'r broses eisoes yn cael ei chynnal 24/7. Mae'r tîm yn gallu profi damcaniaethau TH yn rhannol wrth fanteisio'n llawn ar alluoedd uwch EDR gyda chwmpas llawn o ddata o ddyfeisiau rhwydwaith. Mae dadansoddwyr hefyd yn gallu ffurfweddu offer i weddu i'w hanghenion.
Lefel 4: pen uchel, defnyddiwch TH. Cafodd yr un tîm y gallu i ymchwilio, y gallu i gynhyrchu ac awtomeiddio'r broses o brofi damcaniaethau TH. Nawr mae'r offer wedi'u hategu gan integreiddio agos o ffynonellau data, datblygu meddalwedd i ddiwallu anghenion, a defnydd ansafonol o APIs.
Technegau Hela Bygythiad
Technegau Hela Bygythiad Sylfaenol
К TH, yn nhrefn aeddfedrwydd y dechnoleg a ddefnyddir, yw: chwilio sylfaenol, dadansoddi ystadegol, technegau delweddu, agregau syml, dysgu peiriannau, a dulliau Bayesaidd.
Defnyddir y dull symlaf, sef chwiliad sylfaenol, i gulhau'r maes ymchwil gan ddefnyddio ymholiadau penodol. Defnyddir dadansoddiad ystadegol, er enghraifft, i lunio gweithgaredd defnyddiwr neu rwydwaith nodweddiadol ar ffurf model ystadegol. Defnyddir technegau delweddu i arddangos a symleiddio'r dadansoddiad o ddata yn weledol ar ffurf graffiau a siartiau, sy'n ei gwneud yn llawer haws dirnad patrymau yn y sampl. Defnyddir y dechneg o agregu syml fesul maes allweddol i wneud y gorau o chwilio a dadansoddi. Po fwyaf aeddfed y mae proses TH sefydliad yn ei gyrraedd, y mwyaf perthnasol y daw'r defnydd o algorithmau dysgu peiriant. Fe'u defnyddir yn eang hefyd wrth hidlo sbam, canfod traffig maleisus a chanfod gweithgareddau twyllodrus. Math mwy datblygedig o algorithm dysgu peiriant yw dulliau Bayesaidd, sy'n caniatáu ar gyfer dosbarthu, lleihau maint sampl, a modelu pynciau.
Model Diemwnt a Strategaethau TH
Sergio Caltagiron, Andrew Pendegast a Christopher Betz yn eu gwaith "» dangos prif gydrannau unrhyw weithgaredd maleisus a'r cysylltiad sylfaenol rhyngddynt.
Model diemwnt ar gyfer gweithgaredd maleisus
Yn ôl y model hwn, mae yna 4 strategaeth Hela Bygythiad, sy'n seiliedig ar y cydrannau allweddol cyfatebol.
1. Strategaeth sy'n canolbwyntio ar ddioddefwyr. Rydym yn cymryd bod gan y dioddefwr wrthwynebwyr a byddant yn darparu “cyfleoedd” trwy e-bost. Rydym yn chwilio am ddata gelyn yn y post. Chwilio am ddolenni, atodiadau, ac ati. Rydym yn chwilio am gadarnhad o'r ddamcaniaeth hon am gyfnod penodol o amser (mis, pythefnos); os na fyddwn yn dod o hyd iddo, yna ni weithiodd y rhagdybiaeth.
2. Strategaeth sy'n canolbwyntio ar seilwaith. Mae sawl dull o ddefnyddio'r strategaeth hon. Yn dibynnu ar fynediad a gwelededd, mae rhai yn haws nag eraill. Er enghraifft, rydym yn monitro gweinyddwyr enwau parth y gwyddys eu bod yn cynnal parthau maleisus. Neu awn drwy'r broses o fonitro pob cofrestriad enw parth newydd ar gyfer patrwm hysbys a ddefnyddir gan wrthwynebydd.
3. Strategaeth a yrrir gan allu. Yn ogystal â'r strategaeth sy'n canolbwyntio ar ddioddefwyr a ddefnyddir gan y rhan fwyaf o amddiffynwyr rhwydwaith, mae strategaeth sy'n canolbwyntio ar gyfleoedd. Dyma'r ail fwyaf poblogaidd ac mae'n canolbwyntio ar ganfod galluoedd gan y gwrthwynebydd, sef “malware” a gallu'r gwrthwynebydd i ddefnyddio offer cyfreithlon fel psexec, powershell, certutil ac eraill.
4. Strategaeth sy'n canolbwyntio ar elyn. Mae'r ymagwedd sy'n canolbwyntio ar wrthwynebydd yn canolbwyntio ar y gwrthwynebydd ei hun. Mae hyn yn cynnwys defnyddio gwybodaeth agored o ffynonellau sydd ar gael yn gyhoeddus (OSINT), casglu data am y gelyn, ei dechnegau a'i ddulliau (TTP), dadansoddiad o ddigwyddiadau blaenorol, data Bygythiad Cudd-wybodaeth, ac ati.
Ffynonellau gwybodaeth a damcaniaethau yn TH
Rhai ffynonellau gwybodaeth ar gyfer Hela Bygythiad
Gall fod llawer o ffynonellau gwybodaeth. Dylai dadansoddwr delfrydol allu tynnu gwybodaeth o bopeth sydd o gwmpas. Ffynonellau nodweddiadol mewn bron unrhyw seilwaith fydd data o offer diogelwch: CLLD, SIEM, IDS/IPS, WAF/FW, EDR. Hefyd, bydd ffynonellau gwybodaeth nodweddiadol yn wahanol ddangosyddion cyfaddawdu, gwasanaethau Cudd-wybodaeth Bygythiad, data CERT ac OSINT. Yn ogystal, gallwch ddefnyddio gwybodaeth o'r darknet (er enghraifft, yn sydyn mae gorchymyn i hacio blwch post pennaeth sefydliad, neu mae ymgeisydd ar gyfer swydd peiriannydd rhwydwaith wedi'i ddatgelu am ei weithgaredd), gwybodaeth a dderbyniwyd gan AD (adolygiadau o'r ymgeisydd o weithle blaenorol), gwybodaeth gan y gwasanaeth diogelwch (er enghraifft, canlyniadau dilysu'r gwrthbarti).
Ond cyn defnyddio'r holl ffynonellau sydd ar gael, mae angen cael o leiaf un rhagdybiaeth.
Er mwyn profi damcaniaethau, rhaid eu cyflwyno yn gyntaf. Ac er mwyn cyflwyno llawer o ddamcaniaethau o ansawdd uchel, mae angen defnyddio dull systematig. Disgrifir y broses o gynhyrchu damcaniaethau yn fanylach yn, mae’n gyfleus iawn cymryd y cynllun hwn fel sail i’r broses o gyflwyno damcaniaethau.
Prif ffynhonnell damcaniaethau fydd Matrics ATT&CK (Tactegau Gwrthwynebol, Technegau a Gwybodaeth Gyffredin). Yn ei hanfod, mae'n sylfaen wybodaeth a model ar gyfer asesu ymddygiad ymosodwyr sy'n cyflawni eu gweithgareddau yn y camau olaf o ymosodiad, a ddisgrifir fel arfer gan ddefnyddio'r cysyniad o Kill Chain. Hynny yw, yn y camau ar ôl i ymosodwr dreiddio i rwydwaith mewnol menter neu i ddyfais symudol. Roedd y sylfaen wybodaeth yn wreiddiol yn cynnwys disgrifiadau o 121 o dactegau a thechnegau a ddefnyddiwyd wrth ymosod, a disgrifir pob un ohonynt yn fanwl ar ffurf Wici. Mae dadansoddeg Cudd-wybodaeth Bygythiad amrywiol yn addas iawn fel ffynhonnell ar gyfer cynhyrchu damcaniaethau. Mae canlyniadau dadansoddiad seilwaith a phrofion treiddiad o bwys arbennig - dyma'r data mwyaf gwerthfawr a all roi damcaniaethau haearnaidd i ni oherwydd eu bod yn seiliedig ar seilwaith penodol gyda'i ddiffygion penodol.
Proses profi damcaniaeth
Daeth Sergei Soldatov gyda disgrifiad manwl o'r broses, mae'n dangos y broses o brofi damcaniaethau TH mewn un system. Byddaf yn nodi'r prif gamau gyda disgrifiad byr.
Cam 1: TI Farm
Ar hyn o bryd mae angen amlygu gwrthrychau (trwy eu dadansoddi ynghyd â'r holl ddata bygythiadau) a rhoi labeli iddynt ar gyfer eu nodweddion. Y rhain yw ffeil, URL, MD5, proses, cyfleustodau, digwyddiad. Wrth eu pasio trwy systemau Cudd-wybodaeth Bygythiad, mae angen atodi tagiau. Hynny yw, sylwyd ar y wefan hon yn CNC mewn blwyddyn o'r fath ac o'r fath, roedd y MD5 hwn yn gysylltiedig â malware o'r fath ac o'r fath, cafodd y MD5 hwn ei lawrlwytho o wefan a ddosbarthodd malware.
Cam 2: Achosion
Yn yr ail gam, edrychwn ar y rhyngweithio rhwng y gwrthrychau hyn a nodi'r perthnasoedd rhwng yr holl wrthrychau hyn. Rydyn ni'n cael systemau marcio sy'n gwneud rhywbeth drwg.
Cam 3: Dadansoddwr
Yn y trydydd cam, trosglwyddir yr achos i ddadansoddwr profiadol sydd â phrofiad helaeth mewn dadansoddi, ac mae'n gwneud dyfarniad. Mae'n dadansoddi i'r bytes beth, ble, sut, pam a pham y cod hwn yn ei wneud. Roedd y corff hwn yn malware, roedd y cyfrifiadur hwn wedi'i heintio. Yn datgelu cysylltiadau rhwng gwrthrychau, yn gwirio canlyniadau rhedeg trwy'r blwch tywod.
Mae canlyniadau gwaith y dadansoddwr yn cael eu trosglwyddo ymhellach. Mae Fforensig Digidol yn archwilio delweddau, mae Malware Analysis yn archwilio’r “cyrff” a ddarganfuwyd, a gall y tîm Ymateb i Ddigwyddiad fynd i’r safle ac ymchwilio i rywbeth sydd yno eisoes. Canlyniad y gwaith fydd rhagdybiaeth wedi'i chadarnhau, ymosodiad a nodwyd a ffyrdd o'i wrthweithio.
Canlyniadau
Mae Hela Bygythiad yn dechnoleg eithaf ifanc a all wrthsefyll bygythiadau newydd ac ansafonol wedi'u haddasu'n effeithiol, sydd â rhagolygon gwych o ystyried y nifer cynyddol o fygythiadau o'r fath a chymhlethdod cynyddol seilwaith corfforaethol. Mae angen tair cydran - data, offer a dadansoddwyr. Nid yw manteision Hela Bygythiadau yn gyfyngedig i atal gweithredu bygythiadau. Peidiwch ag anghofio ein bod yn ystod y broses chwilio yn plymio i'n seilwaith a'i fannau gwan trwy lygaid dadansoddwr diogelwch a gallwn gryfhau'r pwyntiau hyn ymhellach.
Y camau cyntaf sydd, yn ein barn ni, angen eu cymryd i gychwyn y broses TH yn eich sefydliad.
- Gofalwch am ddiogelu pwyntiau terfyn a seilwaith rhwydwaith. Gofalwch am welededd (NetFlow) a rheolaeth (wal dân, IDS, IPS, CLLD) o'r holl brosesau ar eich rhwydwaith. Gwybod eich rhwydwaith o'r llwybrydd ymyl i'r gwesteiwr olaf un.
- Archwilio.
- Cynnal profion rheolaidd o o leiaf adnoddau allanol allweddol, dadansoddi ei ganlyniadau, nodi'r prif dargedau ar gyfer ymosodiad a chau eu gwendidau.
- Gweithredu system Cudd-wybodaeth Bygythiad ffynhonnell agored (er enghraifft, MISP, Yeti) a dadansoddi logiau ar y cyd ag ef.
- Gweithredu llwyfan ymateb i ddigwyddiad (IRP): R-Vision IRP, The Hive, blwch tywod ar gyfer dadansoddi ffeiliau amheus (FortiSandbox, Cuckoo).
- Awtomeiddio prosesau arferol. Mae dadansoddi logiau, cofnodi digwyddiadau, hysbysu staff yn faes enfawr ar gyfer awtomeiddio.
- Dysgu rhyngweithio'n effeithiol â pheirianwyr, datblygwyr, a chymorth technegol i gydweithio ar ddigwyddiadau.
- Dogfennu'r broses gyfan, pwyntiau allweddol, canlyniadau a gyflawnwyd er mwyn dychwelyd atynt yn ddiweddarach neu rannu'r data hwn gyda chydweithwyr;
- Byddwch yn gymdeithasol: Byddwch yn ymwybodol o'r hyn sy'n digwydd gyda'ch gweithwyr, pwy rydych chi'n eu llogi, a phwy rydych chi'n rhoi mynediad i adnoddau gwybodaeth y sefydliad.
- Byddwch yn ymwybodol o dueddiadau ym maes bygythiadau a dulliau diogelu newydd, cynyddwch eich lefel o lythrennedd technegol (gan gynnwys wrth weithredu gwasanaethau TG ac is-systemau), mynychu cynadleddau a chyfathrebu â chydweithwyr.
Yn barod i drafod trefniadaeth y broses TH yn y sylwadau.
Neu dewch i weithio gyda ni!
Ffynonellau a deunyddiau i'w hastudio
Ffynhonnell: hab.com