95 % der Sicherheitsbedrohungen sind bekannt und können mit traditionellen Mitteln wie Antivirenprogrammen, Firewalls, IDS und WAF abgewehrt werden. Die restlichen 5 % der Bedrohungen sind unbekannt und äußerst gefährlich. Sie machen 70 % des Risikos für Unternehmen aus, da sie sehr schwer zu erkennen und noch schwieriger abzuwehren sind. Beispiele dafür sind wie die Ransomware-Epidemien WannaCry, NotPetya/ExPetr, Krypto-Miner, das „Cyberwaffen“-Programm Stuxnet (das iranische Nuklearanlagen traf) und zahlreiche andere Angriffe (wer erinnert sich noch an Kido/Conficker?), gegen die sich mit klassischen Schutzmaßnahmen nicht gut verteidigen lässt. Darüber, wie man diesen 5 % der Bedrohungen mit der Technologie des Threat Hunting begegnen kann, möchten wir sprechen.

Die ständige Entwicklung von Cyberangriffen erfordert kontinuierliche Erkennung und Abwehr, was letztendlich zu der Erkenntnis führt, dass wir uns in einem endlosen Wettrüsten zwischen Angreifern und Verteidigern befinden. Klassische Schutzsysteme sind nicht mehr in der Lage, ein akzeptables Schutzniveau zu gewährleisten, bei dem das Risiko keine negativen Auswirkungen auf die zentralen Unternehmenskennzahlen (wirtschaftliche, politische, Reputation) hat, ohne dass sie für die jeweilige Infrastruktur angepasst werden. Insgesamt decken sie jedoch einen Teil der Risiken ab. Schon bei der Implementierung und Konfiguration übernehmen moderne Schutzsysteme die Rolle des Nachzügler und müssen auf die Herausforderungen der neuen Zeit reagieren.

Eine der Antworten auf die Herausforderungen der modernen Welt für Fachkräfte im Bereich IT-Sicherheit könnte die Technologie des Threat Hunting sein. Der Begriff Threat Hunting (im Folgenden TH) ist vor einigen Jahren aufgekommen. Die Technologie selbst ist durchaus interessant, hat jedoch bisher keine allgemein anerkannten Standards oder Regeln entwickelt. Zudem erschweren die Vielfalt der Informationsquellen und die begrenzte Anzahl russischsprachiger Quellen zu diesem Thema die Situation. Aus diesem Grund haben wir bei "LANIT-Integration" beschlossen, eine Übersicht über diese Technologie zu erstellen.
Relevanz
Die Technologie TH basiert auf Prozessen zur Überwachung der Infrastruktur.. Alerting (im Sinne von MSSP-Diensten) ist eine traditionelle Methode, bei der zuvor entwickelte Signaturen und Anzeichen von Angriffen identifiziert und darauf reagiert wird. Traditionelle signaturbasierte Sicherheitslösungen führen dieses Szenario erfolgreich durch. Hunting (eine MDR-Dienstleistung) ist eine Monitoring-Methode, die die Frage beantwortet: „Woher kommen die Signaturen und Regeln?“. Es handelt sich um den Prozess der Erstellung von Korrelationsregeln durch die Analyse versteckter oder zuvor unbekannter Indikatoren und Angriffssymptome. Genau diese Art des Monitorings fällt unter Threat Hunting.

Nur durch die Kombination beider Überwachungsarten erhalten wir einen nahezu idealen Schutz, jedoch bleibt immer ein gewisses Maß an Restrisiko bestehen.
Schutz mit zwei Arten der Überwachung
Und hier ist, warum TH (und Hunting insgesamt!) zunehmend an Bedeutung gewinnen wird:
Bedrohungen, Schutzmittel, Risiken.
. Dazu gehören Arten wie Spam, DDoS, Viren, Rootkits und andere klassische Malware. Gegen diese Bedrohungen kann man sich mit den gleichen klassischen Schutzmaßnahmen schützen.
Im Verlauf jedes Projekts, und die verbleibenden 20 % der Arbeit nehmen 80 % der Zeit in Anspruch. In ähnlicher Weise werden unter der gesamten Bedrohungslandschaft 5 % der neuen Bedrohungen 70 % des Risikos für das Unternehmen ausmachen. In einem Unternehmen, in dem Prozesse zur Informationssicherheit organisiert sind, können wir 30 % des Risikos bekannter Bedrohungen in irgendeiner Weise steuern, indem wir es vermeiden (z. B. durch den grundsätzlichen Verzicht auf drahtlose Netzwerke), akzeptieren (indem wir die erforderlichen Schutzmaßnahmen implementieren) oder auf andere (z. B. auf den Integrator) übertragen. Sich vor, APT-Angriffen, Phishing,, Cyber-Spionage und nationalen Operationen sowie vor einer Vielzahl anderer Angriffe zu schützen, ist bereits viel komplizierter. Die Auswirkungen dieser 5 % der Bedrohungen werden weitaus schwerwiegender sein (), als die Auswirkungen von Spam oder Viren, vor denen Antivirus-Software schützt.
Fast allen Unternehmen begegnen 5% der Bedrohungen. Kürzlich mussten wir eine Open-Source-Lösung einrichten, die eine Anwendung aus dem PEAR-Repository (PHP Extension and Application Repository) verwendet. Der Versuch, diese Anwendung über pear install zu installieren, war erfolglos, da es nicht verfügbar war (mittlerweile ist es gesperrt), sodass wir es von GitHub installieren mussten. Vor kurzem stellte sich heraus, dass PEAR das Opfer wurde.

Man kann auch an, die Ransomware-Epidemie NePetya über das Update-Modul der Steuerberatungssoftware. Die Bedrohungen werden immer raffinierter, und die naheliegende Frage lautet: "Wie kann man diesen 5% der Bedrohungen entgegenwirken?"
Definition von Threat Hunting.
Threat Hunting ist also der Prozess der proaktiven und iterativen Suche nach fortgeschrittenen Bedrohungen, die mit traditionellen Schutzmaßnahmen nicht erkannt werden können. Zu den fortgeschrittenen Bedrohungen gehören beispielsweise Angriffe wie APT, Angriffe auf 0-Day-Schwachstellen, Living off the Land und so weiter.
Man kann auch sagen, dass Threat Hunting ein Prozess zur Überprüfung von Hypothesen ist. Dies ist hauptsächlich ein manueller Prozess mit Automatisierungselementen, bei dem der Analyst, gestützt auf sein Wissen und seine Qualifikationen, große Informationsmengen durchforstet, um Anzeichen von Kompromittierungen zu finden, die der ursprünglich definierten Hypothese über das Vorhandensein einer bestimmten Bedrohung entsprechen. Ein wesentliches Merkmal ist die Vielfalt der Informationsquellen.
Es ist wichtig zu betonen, dass Threat Hunting kein Software- oder Hardwareprodukt ist. Es sind keine Alarme, die in einer bestimmten Lösung angezeigt werden. Es ist kein Prozess zur Suche nach IOC (Indicators of Compromise). Und es ist keine passive Aktivität, die ohne Beteiligung von IT-Sicherheitsexperten durchgeführt wird. Threat Hunting ist in erster Linie ein Prozess.
Die Bestandteile des Threat Huntings

Drei Hauptbestandteile des Threat Huntings: Daten, Technologien, Menschen.
Daten (was?), einschließlich Big Data. Alle Arten von Datenströmen, Informationen über frühere APTs, Analysen, Daten zur Benutzeraktivität, Netzwerkdaten, Informationen von Mitarbeitern, Informationen aus dem Darknet und vieles mehr.
Technologien (wie?) die Verarbeitung dieser Daten – alle möglichen Arten der Verarbeitung dieser Daten, einschließlich Machine Learning.
Menschen (wer?) – diejenigen, die über umfassende Erfahrung in der Analyse verschiedener Angriffe verfügen, über ausgeprägte Intuition und die Fähigkeit, Angriffe zu erkennen. In der Regel handelt es sich dabei um Analysten der Informationssicherheit, die die Fähigkeit haben sollten, Hypothesen zu bilden und deren Bestätigung zu finden. Sie sind das zentrale Element des Prozesses.
PARIS-Modell
Adam Bateman das PARIS-Modell für den idealen TH-Prozess. Der Name spielt gewissermaßen auf eine bekannte Sehenswürdigkeit in Frankreich an. Dieses Modell kann aus zwei Blickwinkeln betrachtet werden – von oben und unten.
Bei der Bedrohungsjagd, die einem Bottom-up-Modell folgt, begegnen wir zahlreichen Hinweisen auf schädliche Aktivitäten. Jeder Hinweis hat ein Maß für das Vertrauen – eine Eigenschaft, die das Gewicht dieses Hinweises widerspiegelt. Es gibt "eindeutige" Beweise für schädliche Aktivitäten, anhand derer wir sofort die Spitze der Pyramide erreichen und eine Benachrichtigung über eine eindeutig bekannte Infektion erstellen können. Und es gibt indirekte Beweise, deren Summe uns ebenfalls an die Spitze der Pyramide führen kann. Wie immer gibt es viel mehr indirekte Hinweise als direkte, weshalb wir diese sortieren und analysieren, zusätzliche Untersuchungen durchführen und dies idealerweise automatisieren sollten.
Das PARIS-Modell.
Der obere Teil des Modells (1 und 2) basiert auf Automatisierungstechnologien und vielfältigen Analysen, während der untere Teil (3 und 4) auf qualifizierten Fachkräften beruht, die den Prozess steuern. Man kann das Modell von oben nach unten betrachten, wobei im oberen blauen Bereich die Warnmeldungen von traditionellen Schutzmitteln (Antivirus, EDR, Firewall, Signaturen) mit hoher Zuverlässigkeit und Vertrauen angezeigt werden, während darunter Indikatoren (IOC, URL, MD5 und andere) zu finden sind, die weniger Vertraulichkeit bieten und weiterer Untersuchung bedürfen. Der unterste und dickste Level (4) befasst sich mit der Hypothesengenerierung und der Schaffung neuer Szenarien für die Arbeit traditioneller Schutzmittel. Dieser Level beschränkt sich nicht nur auf die genannten Quellen von Hypothesen. Je niedriger der Level, desto höher sind die Anforderungen an die Qualifikation des Analysten.
Es ist von entscheidender Bedeutung, dass Analysten nicht nur einen festen Satz von zuvor definierten Hypothesen überprüfen, sondern kontinuierlich daran arbeiten, neue Hypothesen und Prüfungsvarianten zu generieren.
TH-Nutzungsreife-Modell
In einer idealen Welt ist TH ein kontinuierlicher Prozess. Da es jedoch keine ideale Welt gibt, lassen Sie uns analysieren und die Methoden im Hinblick auf Menschen, Prozesse und verwendete Technologien. Lassen Sie uns das Modell des idealen sphärischen TH betrachten. Es gibt 5 Stufen der Nutzung dieser Technologie. Wir werden diese anhand der Evolution eines bestimmten Analystenteams untersuchen.
Reifegradstufen
Menschen
Prozesse
Technologien
Stufe 0
SOC-Analysten
24/7
Traditionelle Werkzeuge:
Traditionell
Set von Alarmen
Passives Monitoring
IDS, AV, Sandboxing,
Ohne TH
Arbeiten mit Alarmen
Signaturanalyse-Tools, Threat-Intelligence-Daten.
Stufe 1
SOC-Analysten
Einmaliges TH
EDR
Experimentell
Grundkenntnisse der Forensik
IOC-Suche
Teilweise Datenerfassung von Netzwerkgeräten
Experimente mit TH
Gutes Wissen über Netzwerke und Anwendungen
Teilweise Anwendung
Stufe 2
Temporäre Anstellung
Sprints
EDR
Periodisch
Mittlere Kenntnisse der Forensik
Eine Woche im Monat
Vollständige Anwendung
Temporäres TH
Exzellente Kenntnisse über Netzwerke und Anwendungen
Regelmäßiges TH
Vollautomatisierte Nutzung von EDR-Daten
Teilweise Nutzung erweiterter EDR-Funktionen
Stufe 3
Dediziertes TH-Team
24/7
Teilweise Möglichkeit, Hypothesen zu überprüfen TH
Präventiv
Hervorragende Kenntnisse in Forensik und Malware
Präventiv TH
Vollständige Nutzung der erweiterten EDR-Funktionen
Einzelfälle TH
Ausgezeichnetes Wissen über Angreifer
Einzelfälle TH
Vollständige Abdeckung von Daten aus Netzwerkgeräten
Konfiguration nach Bedarf
Level 4
Dediziertes TH-Team
24/7
Vollständige Möglichkeit, Hypothesen zu überprüfen TH
Führend
Hervorragende Kenntnisse in Forensik und Malware
Präventiv TH
Level 3, plus:
Nutzung von TH
Ausgezeichnetes Wissen über Angreifer
Überprüfung, Automatisierung und Validierung von Hypothesen TH
engere Integration von Datenquellen;
Fähigkeit zur Forschung
Entwicklung nach Bedürfnissen und maßgeschneiderte Nutzung von APIs.
Reifegrade von TH in Bezug auf Menschen, Prozesse und Technologien
Level 0: traditionell, ohne Nutzung von TH. Übliche Analysten arbeiten mit einem standardisierten Satz an Alarmen im passiven Überwachungsmodus unter Verwendung standardmäßiger Werkzeuge und Technologien: IDS, AV, Sandboxes, Signaturanalyse-Tools.
Level 1: experimentell, unter Verwendung von TH. Die gleichen Analysten mit grundlegenden Kenntnissen der Forensik sowie einem soliden Verständnis von Netzwerken und deren praktischen Anwendungen können einmalige Threat-Hunting-Aktivitäten durch die Suche nach Anzeichen von Kompromittierungen durchführen. Die Tools umfassen EDR mit teilweise abgedeckten Daten von Netzwerkgeräten. Diese Werkzeuge werden teilweise eingesetzt.
Stufe 2: periodisch, temporäres TH. Den gleichen Analysten, die ihre Kenntnisse in Forensik, Netzwerken und praktischen Anwendungen vertieft haben, obliegt die regelmäßige Durchführung (Sprint) von Threat Hunting, sagen wir, einmal pro Monat für eine Woche. Die Tools beinhalten eine umfassende Analyse der Daten von Netzwerkgeräten, die Automatisierung der Datenanalyse von EDR und teilweise Nutzung erweiterter Funktionen von EDR.
Stufe 3: präventiv, häufige Fälle von TH. Unser Analytikteam hat sich in einer speziellen Gruppe organisiert und verfügt über umfassende Kenntnisse in Forensik und Malware sowie über Kenntnisse der Methoden und Taktiken der Angreifer. Der Prozess wird bereits rund um die Uhr durchgeführt. Das Team ist in der Lage, Hypothesen zu TH teilweise zu überprüfen, indem es die erweiterten Möglichkeiten von EDR mit vollständiger Datenerfassung von Netzwerkinfrastrukturen nutzt. Zudem können die Analysten die Tools nach ihren Bedürfnissen konfigurieren.
Stufe 4: führend, Nutzung von TH. Das gleiche Team hat die Fähigkeit zu Forschungsarbeiten erlangt und ist in der Lage, den Prozess der Hypothesenprüfung zu generieren und zu automatisieren. Zu den Tools kommt nun eine enge Integration der Datenquellen, die Entwicklung von Software entsprechend den Bedürfnissen und eine unkonventionelle Nutzung von APIs hinzu.
Techniken des Threat Hunting
Grundlegende Techniken des Threat Hunting
Zu des TH entsprechend dem Reifegrad der verwendeten Technologie gehören: grundlegende Suche, statistische Analyse, Visualisierungstechniken, einfache Aggregationen, maschinelles Lernen und bayesianische Methoden.
Die einfachste Methode ist die grundlegende Suche, die verwendet wird, um durch spezifische Anfragen den Forschungsbereich einzugrenzen. Statistische Analysen werden beispielsweise genutzt, um ein typisches Benutzer- oder Netzwerkverhalten in Form eines statistischen Modells darzustellen. Visualisierungstechniken helfen, Daten klar darzustellen und die Analyse durch Grafiken und Diagramme zu erleichtern, in denen Muster in der Stichprobe viel einfacher zu erkennen sind. Die Technik einfacher Aggregationen nach Schlüsselbereichen wird verwendet, um die Suche und Analyse zu optimieren. Je reifer der TH-Prozess in einer Organisation wird, desto relevanter wird der Einsatz von Machine-Learning-Algorithmen. Diese werden auch vielfach zur Spamfilterung, zur Erkennung von schädlichem Traffic und zur Betrugserkennung eingesetzt. Eine fortgeschrittenere Art von Machine-Learning-Algorithmen sind die bayesischen Methoden, die Kategorisierungen, Dimensionsreduktionen von Stichproben und Themenmodellierungen ermöglichen.
Das Diamantenmodell und TH-Strategien
Sergio Kaltagirone, Andrew Pendergast und Christopher Betz haben in ihrer Arbeit „“ die wesentlichen Schlüsselelemente bösartiger Aktivitäten und die grundlegenden Verbindungen zwischen ihnen aufgezeigt.
Das Diamantenmodell für bösartige Aktivitäten
Laut diesem Modell gibt es 4 Strategien für Threat Hunting, die sich auf die entsprechenden Schlüsselelemente stützen.
1. Opferorientierte Strategie. Wir nehmen an, dass das Opfer Feinde hat, die „Möglichkeiten“ über E-Mails verschicken. Wir suchen nach Informationen des Feindes in den E-Mails. Suche nach Links, Anhängen usw. Wir überprüfen diese Hypothese über einen bestimmten Zeitraum (einen Monat, zwei Wochen); wenn wir nichts finden, hat die Hypothese nicht funktioniert.
2. Infrastrukturorientierte Strategie. Es gibt mehrere Methoden zur Umsetzung dieser Strategie. Je nach Zugriff und Sichtbarkeit sind einige leichter als andere. Beispielsweise überwachen wir Server von Domainnamen, die dafür bekannt sind, bösartige Domains zu hosten. Oder wir verfolgen alle neuen Domainregistrierungen auf bekannte Muster, die vom Gegner verwendet werden.
3. Chancenorientierte Strategie. Neben der opportunistisch orientierten Strategie, die von den meisten Netzwerkschützern verwendet wird, gibt es eine strategie, die auf Möglichkeiten fokussiert ist. Diese ist die zweithäufigste und konzentriert sich auf die Erkennung von Gelegenheiten seitens des Gegners, insbesondere „Malware“ und die Möglichkeit, dass der Gegner legitime Tools wie psexec, powershell, certutil und andere einsetzt.
4. Gegnerorientierte Strategie. Der gegnerorientierte Ansatz konzentriert sich auf den Gegner selbst. Dazu gehört die Nutzung öffentlicher Informationen aus allgemein zugänglichen Quellen (OSINT), das Sammeln von Daten über den Gegner, seine Techniken und Methoden (TTP), die Analyse früherer Vorfälle, Threat Intelligence-Daten usw.
Informationsquellen und Hypothesen im TH
Einige Informationsquellen für Threat Hunting
Es gibt eine Vielzahl von Informationsquellen. Ein idealer Analyst sollte in der Lage sein, Informationen aus allem zu beschaffen, was ihn umgibt. Typische Quellen in nahezu jeder Infrastruktur sind Daten von Sicherheitslösungen: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Dazu kommen diverse Indikatoren für Kompromittierungen, Threat Intelligence-Dienste, Daten von CERT und OSINT. Zusätzlich kann auch Informationen aus dem Darknet genutzt werden (zum Beispiel wenn plötzlich ein Auftrag zum Hacken des E-Mail-Postfachs des Geschäftsführers vorliegt, oder wenn ein Kandidat für die Position eines Netzwerkingenieurs auffällt), Informationen von HR (Bewertungen über den Kandidaten von früheren Arbeitsstellen) und Informationen von der Sicherheitsabteilung (zum Beispiel Ergebnisse einer Überprüfung des Vertragspartners).
Aber bevor man alle verfügbaren Quellen nutzt, sollte man mindestens eine Hypothese aufstellen.

Um Hypothesen zu überprüfen, müssen sie zunächst formuliert werden. Und um viele qualitativ hochwertige Hypothesen aufzustellen, ist ein systematischer Ansatz erforderlich. Der Prozess der Hypothesenbildung wird ausführlicher beschrieben in, als Grundlage für den Hypothesenbildungsprozess ist es sehr praktisch, dieses Schema zu verwenden.
Die Hauptquelle für Hypothesen wird sein die ATT&CK-Matrix (Adversarial Tactics, Techniques and Common Knowledge). Sie ist im Wesentlichen eine Wissensdatenbank und ein Modell zur Bewertung des Verhaltens von Angreifern, die ihre Aktivitäten in den letzten Phasen eines Angriffs durchführen, typischerweise beschrieben durch das Konzept der Kill Chain. Das bedeutet, in den Phasen nach dem Eindringen des Angreifers in das interne Netzwerk eines Unternehmens oder auf ein mobiles Gerät. Ursprünglich umfasste die Wissensdatenbank die Beschreibung von 121 Taktiken und Techniken, die bei Angriffen verwendet werden, von denen jede detailliert im Wiki-Format beschrieben ist. Eine Vielzahl von Threat Intelligence-Analysen dient gut als Quelle zur Generierung von Hypothesen. Besonders hervorzuheben sind die Ergebnisse von Infrastruktur-Analysen und Penetrationstests – dies sind die wertvollsten Daten, die uns solide Hypothesen liefern können, da sie sich auf konkrete Infrastrukturen mit ihren spezifischen Schwächen stützen.
Der Prozess der Überprüfung von Hypothesen
Serguei Soldatov präsentierte Mit einer detaillierten Beschreibung des Prozesses veranschaulicht sie die Überprüfung von Hypothesen TH in einem bestimmten System. Ich werde die wichtigsten Schritte mit einer kurzen Beschreibung angeben.

Schritt 1: TI Farm
In diesem Schritt müssen Objekte identifiziert werden (durch Analyse aller Bedrohungsdaten) und mit den entsprechenden Attributtags versehen werden. Dies können Dateien, URLs, MD5-Hashes, Prozesse, Tools oder Ereignisse sein. Sie sollten durch die Systeme der Bedrohungsanalyse geleitet und entsprechend markiert werden. Das bedeutet, dass diese Website in einem bestimmten Jahr in CNC beobachtet wurde, dieser MD5-Hash mit einer bestimmten Malware assoziiert war und dieser MD5-Hash von einer Website heruntergeladen wurde, die Malware verbreitete.
Schritt 2: Fälle
Im zweiten Schritt betrachten wir die Interaktionen zwischen diesen Objekten und identifizieren die Zusammenhänge. Wir erhalten gekennzeichnete Systeme, die etwas Unerwünschtes tun.
Schritt 3: Analytiker
Im dritten Schritt wird der Fall einem erfahrenen Analysten übergeben, der über umfangreiche Erfahrung in der Analyse verfügt. Er wird die Situation bis ins kleinste Detail untersuchen: was, woher, wie, warum dieser Code agiert. Dieser Körper war bösartig, dieser Computer war infiziert. Er deckt die Verbindungen zwischen den Objekten auf und überprüft die Ergebnisse der Ausführung im Sandbox-Umfeld.
Die Ergebnisse der Analystenarbeit werden weitergegeben. Digital Forensics untersucht die Images, Malware Analysis analysiert die gefundenen "Körper", während das Incident Response-Team vor Ort entsendet werden kann, um bereits vorhandenere Elemente zu untersuchen. Das Ergebnis dieser Arbeit wird eine bestätigte Hypothese, eine identifizierte Bedrohung und Maßnahmen zu deren Bekämpfung sein.

Ergebnisse
Threat Hunting ist eine relativ neue Technologie, die effektiv gegen maßgeschneiderte, neue und unkonventionelle Bedrohungen vorgehen kann. Angesichts des Anstiegs solcher Bedrohungen und der Komplexität von Unternehmensinfrastrukturen bietet sie großes Potenzial. Sie erfordert drei Komponenten – Daten, Werkzeuge und Analysten. Der Nutzen von Threat Hunting beschränkt sich nicht nur auf die Vorbeugung von Bedrohungen. Es ist wichtig zu beachten, dass wir im Suchprozess unsere Infrastruktur und deren Schwachstellen durch die Augen eines Sicherheitsexperten analysieren und dabei diese Schwachstellen zusätzlich verstärken können.
Die ersten Schritte, die wir für notwendig halten, um den Prozess des Threat Hunting in Ihrer Organisation zu initiieren.
- Sichern Sie die Endgeräte und die Netzwerkinfrastruktur. Stellen Sie die Sichtbarkeit (NetFlow) und Kontrolle (Firewall, IDS, IPS, DLP) aller Prozesse in Ihrem Netzwerk sicher. Kennen Sie Ihr Netzwerk vom Grenzrouter bis zum letzten Host.
- Erforschen.
- Führen Sie regelmäßige Penetrationstests mindestens für wichtige externe Ressourcen durch, analysieren Sie die Ergebnisse, identifizieren Sie die Hauptziele für Angriffe und schließen Sie deren Schwachstellen.
- Implementieren Sie ein Open-Source-Threat-Intelligence-System (z. B. MISP, Yeti) und führen Sie gemeinsam mit diesem eine Protokollanalyse durch.
- Implementieren Sie eine Incident-Response-Plattform (IRP): R-Vision IRP, The Hive, eine Sandbox für die Analyse verdächtiger Dateien (FortiSandbox, Cuckoo).
- Automatisieren Sie Routineprozesse. Protokollanalysen, Ereigniserfassung, Information des Personals – hier gibt es enormes Automatisierungspotenzial.
- Lernen Sie, effektiv mit Ingenieuren, Entwicklern und dem technischen Support zusammenzuarbeiten, um gemeinsam an Vorfällen zu arbeiten.
- Dokumentieren Sie den gesamten Prozess, wichtige Punkte und erzielte Ergebnisse, um später darauf zurückzugreifen oder diese Informationen mit Kollegen zu teilen.
- Denken Sie an die soziale Dimension: Seien Sie sich bewusst, was mit Ihren Mitarbeitern passiert, wen Sie einstellen und wem Sie Zugang zu den Informationsressourcen der Organisation gewähren.
- Bleiben Sie über Trends in Bezug auf neue Bedrohungen und Schutzmaßnahmen informiert, erhöhen Sie Ihr technisches Wissen (einschließlich über IT-Services und Subsysteme), besuchen Sie Konferenzen und tauschen Sie sich mit Kollegen aus.
Ich bin bereit, die Organisation des TH-Prozesses in den Kommentaren zu diskutieren.
Oder kommen Sie zu uns ins Team!
Quellen und Materialien zum Lernen
Quelle: habr.com
