95 % der Bedrohungen der Informationssicherheit sind bekannt und Sie können sich mit herkömmlichen Mitteln wie Antivirenprogrammen, Firewalls, IDS und WAF davor schützen. Die restlichen 5 % der Bedrohungen sind unbekannt und die gefährlichsten. Sie machen 70 % des Risikos für ein Unternehmen aus, da es sehr schwierig ist, sie zu erkennen und noch weniger, sich vor ihnen zu schützen. Beispiele sind die Ransomware-Epidemien WannaCry, NotPetya/ExPetr, Kryptominer, die „Cyberwaffe“ Stuxnet (die Irans Nuklearanlagen traf) und viele (erinnert sich noch jemand an Kido/Conficker?) andere Angriffe, gegen die man sich mit klassischen Sicherheitsmaßnahmen nicht besonders gut wehren kann. Wir möchten darüber sprechen, wie wir diesen 5 % der Bedrohungen mithilfe der Threat-Hunting-Technologie begegnen können.
Die kontinuierliche Weiterentwicklung von Cyberangriffen erfordert eine ständige Erkennung und Gegenmaßnahmen, was uns letztendlich an ein endloses Wettrüsten zwischen Angreifern und Verteidigern denken lässt. Klassische Sicherheitssysteme sind nicht mehr in der Lage, ein akzeptables Sicherheitsniveau zu bieten, bei dem das Risikoniveau keinen Einfluss auf die Schlüsselindikatoren des Unternehmens (Wirtschaft, Politik, Reputation) hat, ohne sie für eine bestimmte Infrastruktur zu modifizieren, aber im Allgemeinen decken sie einige davon ab Die Risiken. Moderne Sicherheitssysteme befinden sich bereits im Prozess der Implementierung und Konfiguration in einer Aufholrolle und müssen auf die Herausforderungen der neuen Zeit reagieren.
Für einen Informationssicherheitsspezialisten könnte die Threat-Hunting-Technologie eine der Antworten auf die Herausforderungen unserer Zeit sein. Der Begriff Threat Hunting (im Folgenden als TH bezeichnet) tauchte vor einigen Jahren auf. Die Technologie an sich ist durchaus interessant, es gibt jedoch noch keine allgemein anerkannten Standards und Regeln. Erschwert wird die Sache auch durch die Heterogenität der Informationsquellen und die geringe Anzahl russischsprachiger Informationsquellen zu diesem Thema. In diesem Zusammenhang haben wir von LANIT-Integration beschlossen, einen Testbericht zu dieser Technologie zu verfassen.
Relevanz
Die TH-Technologie basiert auf Infrastrukturüberwachungsprozessen.. Alarmierung (ähnlich wie bei MSSP-Diensten) ist eine traditionelle Methode, um nach zuvor entwickelten Signaturen und Anzeichen von Angriffen zu suchen und darauf zu reagieren. Dieses Szenario wird von herkömmlichen signaturbasierten Schutztools erfolgreich durchgeführt. Hunting (Dienst vom Typ MDR) ist eine Überwachungsmethode, die die Frage „Woher kommen Signaturen und Regeln?“ beantwortet. Dabei handelt es sich um den Prozess der Erstellung von Korrelationsregeln durch die Analyse versteckter oder bisher unbekannter Indikatoren und Anzeichen eines Angriffs. Unter Threat Hunting versteht man diese Art der Überwachung.
Nur durch die Kombination beider Überwachungsarten erhalten wir einen nahezu idealen Schutz, es bleibt jedoch immer ein gewisses Restrisiko bestehen.
Schutz durch zwei Überwachungsarten
Und hier ist der Grund, warum TH (und die Jagd insgesamt!) immer relevanter werden:
Bedrohungen, Abhilfemaßnahmen, Risiken.
. Dazu gehören Arten wie Spam, DDoS, Viren, Rootkits und andere klassische Malware. Sie können sich mit denselben klassischen Sicherheitsmaßnahmen vor diesen Bedrohungen schützen.
Während der Umsetzung eines Projekts, und die restlichen 20 % der Arbeit nehmen 80 % der Zeit in Anspruch. Ebenso machen in der gesamten Bedrohungslandschaft 5 % der neuen Bedrohungen 70 % des Risikos für ein Unternehmen aus. In einem Unternehmen, in dem Informationssicherheitsmanagementprozesse organisiert sind, können wir 30 % des Risikos der Implementierung bekannter Bedrohungen auf die eine oder andere Weise bewältigen, indem wir vermeiden (grundsätzliche Ablehnung drahtloser Netzwerke), akzeptieren (die erforderlichen Sicherheitsmaßnahmen umsetzen) oder verschieben (zum Beispiel auf die Schultern eines Integrators) dieses Risiko. Schützen Sie sich vor, APT-Angriffe, Phishing,, Cyberspionage und bundesweite Einsätze sowie eine Vielzahl anderer Angriffe sind bereits deutlich schwieriger. Die Folgen dieser 5 % der Bedrohungen werden viel schwerwiegender sein () als die Folgen von Spam oder Viren, vor denen Antivirensoftware schützt.
Fast jeder muss sich mit 5 % der Bedrohungen auseinandersetzen. Wir mussten kürzlich eine Open-Source-Lösung installieren, die eine Anwendung aus dem PEAR-Repository (PHP Extension and Application Repository) verwendet. Ein Versuch, diese Anwendung über Pear Install zu installieren, ist fehlgeschlagen, weil war nicht verfügbar (jetzt gibt es einen Stub darauf), ich musste es von GitHub installieren. Und erst kürzlich stellte sich heraus, dass PEAR ein Opfer wurde.
Du kannst dich noch erinnern, eine Epidemie der NePetya-Ransomware durch ein Update-Modul für ein Steuerberichtsprogramm. Bedrohungen werden immer raffinierter und es stellt sich die logische Frage: „Wie können wir diesen 5 % der Bedrohungen begegnen?“
Definition von Threat Hunting
Threat Hunting ist also der Prozess der proaktiven und iterativen Suche und Erkennung komplexer Bedrohungen, die von herkömmlichen Sicherheitstools nicht erkannt werden können. Zu den fortgeschrittenen Bedrohungen zählen beispielsweise Angriffe wie APT, Angriffe auf 0-Day-Schwachstellen, Living off the Land und so weiter.
Wir können auch umformulieren, dass TH der Prozess des Testens von Hypothesen ist. Hierbei handelt es sich um einen überwiegend manuellen Prozess mit Elementen der Automatisierung, bei dem der Analyst, gestützt auf sein Wissen und seine Fähigkeiten, große Informationsmengen auf der Suche nach Anzeichen einer Kompromittierung durchsucht, die der ursprünglich festgestellten Hypothese über das Vorhandensein einer bestimmten Bedrohung entsprechen. Seine Besonderheit ist die Vielfalt der Informationsquellen.
Es sollte beachtet werden, dass Threat Hunting kein Software- oder Hardwareprodukt ist. Hierbei handelt es sich nicht um Warnungen, die in einer Lösung angezeigt werden. Dies ist kein IOC-Suchprozess (Identifiers of Compromise). Dabei handelt es sich nicht um eine Art passive Aktivität, die ohne die Beteiligung von Informationssicherheitsanalysten stattfindet. Threat Hunting ist in erster Linie ein Prozess.
Komponenten der Bedrohungsjagd
Drei Hauptkomponenten von Threat Hunting: Daten, Technologie, Menschen.
Daten (was?), einschließlich Big Data. Alle Arten von Verkehrsströmen, Informationen zu früheren APTs, Analysen, Daten zur Benutzeraktivität, Netzwerkdaten, Informationen von Mitarbeitern, Informationen zum Darknet und vieles mehr.
Technologien (wie?) Verarbeitung dieser Daten – alle möglichen Arten der Verarbeitung dieser Daten, einschließlich maschinellem Lernen.
Leute die?) – diejenigen, die über umfassende Erfahrung in der Analyse verschiedener Angriffe verfügen, eine ausgeprägte Intuition und die Fähigkeit haben, einen Angriff zu erkennen. In der Regel handelt es sich dabei um Informationssicherheitsanalysten, die in der Lage sein müssen, Hypothesen aufzustellen und diese zu bestätigen. Sie sind das wichtigste Bindeglied in diesem Prozess.
Modell PARIS
Adam Bateman PARIS-Modell für den idealen TH-Prozess. Der Name spielt auf ein berühmtes Wahrzeichen in Frankreich an. Dieses Modell kann in zwei Richtungen betrachtet werden – von oben und von unten.
Während wir uns von Grund auf durch das Modell arbeiten, werden wir auf viele Hinweise auf böswillige Aktivitäten stoßen. Für jedes Beweisstück gibt es ein Maß namens Konfidenz – ein Merkmal, das die Bedeutung dieses Beweisstücks widerspiegelt. Es gibt „Eisen“, direkte Beweise für böswillige Aktivitäten, mit denen wir sofort die Spitze der Pyramide erreichen und eine tatsächliche Warnung vor einer genau bekannten Infektion auslösen können. Und es gibt indirekte Beweise, deren Summe uns auch an die Spitze der Pyramide führen kann. Wie immer gibt es viel mehr indirekte Beweise als direkte Beweise, was bedeutet, dass diese sortiert und analysiert werden müssen, zusätzliche Recherchen durchgeführt werden müssen und es ratsam ist, diese zu automatisieren.
Modell PARIS.
Der obere Teil des Modells (1 und 2) basiert auf Automatisierungstechnologien und verschiedenen Analysen, und der untere Teil (3 und 4) basiert auf Personen mit bestimmten Qualifikationen, die den Prozess verwalten. Sie können sich das Modell von oben nach unten vorstellen, wobei wir im oberen Teil der blauen Farbe Warnungen von herkömmlichen Sicherheitstools (Antivirus, EDR, Firewall, Signaturen) mit einem hohen Maß an Vertrauen und Vertrauen haben und unten Indikatoren sind ( IOC, URL, MD5 und andere), die einen geringeren Grad an Sicherheit aufweisen und zusätzliche Untersuchungen erfordern. Und die unterste und dickste Ebene (4) ist die Hypothesengenerierung, die Schaffung neuer Szenarien für den Einsatz traditioneller Schutzmittel. Diese Ebene ist nicht nur auf die angegebenen Hypothesenquellen beschränkt. Je niedriger die Stufe, desto höher sind die Anforderungen an die Qualifikation des Analytikers.
Es ist sehr wichtig, dass Analysten nicht einfach eine endliche Menge vorgegebener Hypothesen testen, sondern ständig daran arbeiten, neue Hypothesen und Optionen für deren Prüfung zu generieren.
TH-Nutzungsreifemodell
In einer idealen Welt ist TH ein fortlaufender Prozess. Aber da es keine ideale Welt gibt, lassen Sie uns analysieren und Methoden in Bezug auf eingesetzte Personen, Prozesse und Technologien. Betrachten wir ein Modell eines idealen sphärischen TH. Es gibt 5 Ebenen der Nutzung dieser Technologie. Betrachten wir sie am Beispiel der Entwicklung eines einzelnen Analystenteams.
Reifegrade
Leute
Prozesse
der Technik
Ebene 0
SOC-Analysten
24/7
Traditionelle Instrumente:
Traditionell
Reihe von Warnungen
Passive Überwachung
IDS, AV, Sandboxing,
Ohne TH
Arbeiten mit Warnungen
Tools zur Signaturanalyse, Threat Intelligence-Daten.
Ebene 1
SOC-Analysten
Einmalige TH
EDR
Experimental
Grundkenntnisse der Forensik
IOC-Suche
Teilweise Abdeckung der Daten von Netzwerkgeräten
Experimente mit TH
Gute Kenntnisse über Netzwerke und Anwendungen
Teilweise Anwendung
Ebene 2
Temporäre Beschäftigung
Sprints
EDR
Periodisch
Durchschnittliche Kenntnisse der Forensik
Woche für Monat
Vollständige Bewerbung
Temporäre TH
Ausgezeichnete Kenntnisse über Netzwerke und Anwendungen
Normales TH
Vollständige Automatisierung der EDR-Datennutzung
Teilweise Nutzung erweiterter EDR-Funktionen
Ebene 3
Dedizierter TH-Befehl
24/7
Teilweise Fähigkeit, Hypothesen zu testen TH
Proaktiv
Ausgezeichnete Kenntnisse in Forensik und Malware
Vorbeugende TH
Vollständige Nutzung der erweiterten EDR-Funktionen
Sonderfälle TH
Hervorragende Kenntnis der angreifenden Seite
Sonderfälle TH
Vollständige Abdeckung der Daten von Netzwerkgeräten
Konfiguration nach Ihren Bedürfnissen
Ebene 4
Dedizierter TH-Befehl
24/7
Volle Fähigkeit, TH-Hypothesen zu testen
Führen
Ausgezeichnete Kenntnisse in Forensik und Malware
Vorbeugende TH
Level 3, plus:
Mit TH
Hervorragende Kenntnis der angreifenden Seite
Testen, Automatisieren und Verifizieren von Hypothesen TH
enge Integration von Datenquellen;
Forschungsfähigkeit
Entwicklung nach Bedarf und nicht standardmäßige Verwendung von API.
TH-Reifegrade nach Menschen, Prozessen und Technologien
0-Level: traditionell, ohne TH zu verwenden. Reguläre Analysten arbeiten mit einem Standardsatz von Warnungen im passiven Überwachungsmodus und nutzen Standardtools und -technologien: IDS, AV, Sandbox, Signaturanalysetools.
1-Level: experimentell, mit TH. Dieselben Analysten mit Grundkenntnissen in Forensik und guten Kenntnissen über Netzwerke und Anwendungen können ein einmaliges Threat Hunting durchführen, indem sie nach Indikatoren für eine Kompromittierung suchen. Den Tools werden EDRs hinzugefügt, die die Daten von Netzwerkgeräten teilweise abdecken. Die Werkzeuge sind teilweise gebraucht.
2-Level: periodisches, vorübergehendes TH. Dieselben Analysten, die ihre Kenntnisse in Forensik, Netzwerken und dem Anwendungsteil bereits verbessert haben, müssen sich regelmäßig, beispielsweise eine Woche im Monat, am Threat Hunting (Sprint) beteiligen. Die Tools bieten eine vollständige Untersuchung der Daten von Netzwerkgeräten, eine Automatisierung der Datenanalyse aus EDR und eine teilweise Nutzung erweiterter EDR-Funktionen.
3-Level: präventive, häufige TH-Fälle. Unsere Analysten organisierten sich in einem engagierten Team und verfügten über ausgezeichnete Kenntnisse in Forensik und Malware sowie über Kenntnisse der Methoden und Taktiken der angreifenden Seite. Der Prozess wird bereits rund um die Uhr durchgeführt. Das Team ist in der Lage, TH-Hypothesen teilweise zu testen und gleichzeitig die erweiterten Funktionen von EDR mit vollständiger Abdeckung der Daten von Netzwerkgeräten vollständig zu nutzen. Analysten haben außerdem die Möglichkeit, Tools entsprechend ihren Anforderungen zu konfigurieren.
4-Level: High-End, verwenden Sie TH. Dasselbe Team erlangte die Fähigkeit zur Forschung sowie die Fähigkeit, den Prozess zum Testen von TH-Hypothesen zu generieren und zu automatisieren. Jetzt wurden die Tools durch eine enge Integration von Datenquellen, bedarfsgerechte Softwareentwicklung und den nicht standardmäßigen Einsatz von APIs ergänzt.
Techniken zur Bedrohungsjagd
Grundlegende Techniken zur Bedrohungssuche
К TH sind in der Reihenfolge der Reife der verwendeten Technologie: einfache Suche, statistische Analyse, Visualisierungstechniken, einfache Aggregationen, maschinelles Lernen und Bayes'sche Methoden.
Die einfachste Methode, eine einfache Suche, dient der Eingrenzung des Forschungsgebiets anhand konkreter Suchanfragen. Statistische Analysen werden beispielsweise verwendet, um typische Benutzer- oder Netzwerkaktivitäten in Form eines statistischen Modells zu konstruieren. Visualisierungstechniken dienen der visuellen Darstellung und Vereinfachung der Analyse von Daten in Form von Grafiken und Diagrammen, wodurch es wesentlich einfacher wird, Muster in der Stichprobe zu erkennen. Zur Optimierung von Suche und Analyse wird die Technik der einfachen Aggregation nach Schlüsselfeldern eingesetzt. Je ausgereifter der TH-Prozess einer Organisation ist, desto relevanter wird der Einsatz von Algorithmen für maschinelles Lernen. Sie werden auch häufig zum Filtern von Spam, zum Erkennen von bösartigem Datenverkehr und zur Erkennung betrügerischer Aktivitäten eingesetzt. Eine fortgeschrittenere Art von Algorithmen für maschinelles Lernen sind Bayes'sche Methoden, die eine Klassifizierung, Reduzierung der Stichprobengröße und Themenmodellierung ermöglichen.
Diamantmodell und TH-Strategien
Sergio Caltagiron, Andrew Pendegast und Christopher Betz in ihrer Arbeit „» zeigte die wichtigsten Schlüsselkomponenten jeder böswilligen Aktivität und den grundlegenden Zusammenhang zwischen ihnen.
Diamond-Modell für böswillige Aktivitäten
Nach diesem Modell gibt es 4 Threat-Hunting-Strategien, die auf den entsprechenden Schlüsselkomponenten basieren.
1. Opferorientierte Strategie. Wir gehen davon aus, dass das Opfer Gegner hat und diese per E-Mail „Gelegenheiten“ übermitteln. Wir suchen in der Post nach feindlichen Daten. Suchen Sie nach Links, Anhängen usw. Wir suchen für einen bestimmten Zeitraum (einen Monat, zwei Wochen) nach einer Bestätigung dieser Hypothese. Wenn wir sie nicht finden, hat die Hypothese nicht funktioniert.
2. Infrastrukturorientierte Strategie. Es gibt mehrere Methoden, diese Strategie anzuwenden. Je nach Zugang und Sichtbarkeit sind einige einfacher als andere. Beispielsweise überwachen wir Domänennamenserver, von denen bekannt ist, dass sie bösartige Domänen hosten. Oder wir überwachen alle neuen Domainnamenregistrierungen auf ein bekanntes Muster, das von einem Angreifer verwendet wird.
3. Fähigkeitsorientierte Strategie. Zusätzlich zur opferorientierten Strategie, die von den meisten Netzwerkverteidigern verwendet wird, gibt es eine chancenorientierte Strategie. Es ist das zweitbeliebteste Tool und konzentriert sich auf die Erkennung von Fähigkeiten des Angreifers, nämlich „Malware“ und die Fähigkeit des Angreifers, legitime Tools wie psexec, Powershell, Certutil und andere zu verwenden.
4. Feindorientierte Strategie. Der gegnerzentrierte Ansatz konzentriert sich auf den Gegner selbst. Dazu gehören die Nutzung offener Informationen aus öffentlich zugänglichen Quellen (OSINT), die Sammlung von Daten über den Feind, seine Techniken und Methoden (TTP), die Analyse früherer Vorfälle, Threat Intelligence-Daten usw.
Informationsquellen und Hypothesen in TH
Einige Informationsquellen für Threat Hunting
Es kann viele Informationsquellen geben. Ein idealer Analyst sollte in der Lage sein, Informationen aus allem zu extrahieren, was ihn umgibt. Typische Quellen in fast jeder Infrastruktur sind Daten von Sicherheitstools: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Typische Informationsquellen sind außerdem verschiedene Kompromittierungsindikatoren, Threat Intelligence-Dienste sowie CERT- und OSINT-Daten. Darüber hinaus können Sie Informationen aus dem Darknet nutzen (z. B. wenn plötzlich ein Befehl zum Hacken des Postfachs des Leiters einer Organisation erteilt wird oder ein Kandidat für die Position eines Netzwerkingenieurs wegen seiner Tätigkeit entlarvt wird), Informationen aus dem Darknet HR (Bewertungen des Kandidaten von einem früheren Arbeitsplatz), Informationen des Sicherheitsdienstes (zum Beispiel die Ergebnisse der Überprüfung der Gegenpartei).
Bevor jedoch alle verfügbaren Quellen genutzt werden können, muss mindestens eine Hypothese vorliegen.
Um Hypothesen zu testen, müssen diese zunächst aufgestellt werden. Und um viele qualitativ hochwertige Hypothesen aufzustellen, ist ein systematischer Ansatz erforderlich. Der Prozess der Hypothesengenerierung wird ausführlicher beschrieben inEs ist sehr praktisch, dieses Schema als Grundlage für den Prozess der Hypothesenaufstellung zu verwenden.
Die Hauptquelle für Hypothesen wird sein ATT&CK-Matrix (Gegnerische Taktiken, Techniken und Allgemeinwissen). Dabei handelt es sich im Wesentlichen um eine Wissensbasis und ein Modell zur Bewertung des Verhaltens von Angreifern, die ihre Aktivitäten in den letzten Schritten eines Angriffs ausführen, was üblicherweise mit dem Konzept der Kill Chain beschrieben wird. Das heißt, in den Phasen, nachdem ein Angreifer in das interne Netzwerk eines Unternehmens oder auf ein mobiles Gerät eingedrungen ist. Die Wissensdatenbank umfasste ursprünglich Beschreibungen von 121 Angriffstaktiken und -techniken, die jeweils ausführlich im Wiki-Format beschrieben sind. Als Quelle für die Generierung von Hypothesen eignen sich verschiedene Threat-Intelligence-Analysen gut. Besonders hervorzuheben sind die Ergebnisse von Infrastrukturanalysen und Penetrationstests – das sind die wertvollsten Daten, die uns fundierte Hypothesen liefern können, da sie auf einer bestimmten Infrastruktur mit ihren spezifischen Mängeln basieren.
Hypothesentestprozess
Sergei Soldatov brachte Mit einer detaillierten Beschreibung des Prozesses veranschaulicht es den Prozess des Testens von TH-Hypothesen in einem einzigen System. Ich werde die Hauptetappen mit einer kurzen Beschreibung angeben.
Stufe 1: TI-Farm
In diesem Stadium ist eine Hervorhebung erforderlich объекты (indem wir sie zusammen mit allen Bedrohungsdaten analysieren) und ihnen Etiketten für ihre Eigenschaften zuweisen. Dies sind Datei, URL, MD5, Prozess, Dienstprogramm, Ereignis. Bei der Weiterleitung durch Threat-Intelligence-Systeme müssen Tags angebracht werden. Das heißt, diese Site wurde in diesem und jenem Jahr in CNC entdeckt, dieses MD5 wurde mit dieser und jener Malware in Verbindung gebracht, dieses MD5 wurde von einer Site heruntergeladen, die Malware verbreitete.
Stufe 2: Fälle
Im zweiten Schritt betrachten wir die Interaktion zwischen diesen Objekten und identifizieren die Beziehungen zwischen all diesen Objekten. Wir bekommen markierte Systeme, die etwas Schlimmes tun.
Stufe 3: Analyst
In der dritten Phase wird der Fall an einen erfahrenen Analytiker übergeben, der über umfassende Erfahrung in der Analyse verfügt, und dieser fällt ein Urteil. Er analysiert bis auf die Bytes, was, wo, wie, warum und warum dieser Code funktioniert. Dieser Körper war Schadsoftware, dieser Computer war infiziert. Zeigt Verbindungen zwischen Objekten an und überprüft die Ergebnisse des Durchlaufens der Sandbox.
Die Ergebnisse der Arbeit des Analysten werden weitergegeben. Digital Forensics untersucht Bilder, Malware Analysis untersucht die gefundenen „Leichen“ und das Incident Response-Team kann vor Ort gehen und etwas untersuchen, das sich bereits dort befindet. Das Ergebnis der Arbeit wird eine bestätigte Hypothese, ein identifizierter Angriff und Möglichkeiten sein, ihm entgegenzuwirken.
Ergebnisse
Threat Hunting ist eine relativ junge Technologie, die maßgeschneiderte, neue und nicht standardmäßige Bedrohungen wirksam bekämpfen kann, was angesichts der wachsenden Zahl solcher Bedrohungen und der zunehmenden Komplexität der Unternehmensinfrastruktur große Aussichten bietet. Es erfordert drei Komponenten: Daten, Tools und Analysten. Die Vorteile von Threat Hunting beschränken sich nicht nur auf die Verhinderung der Umsetzung von Bedrohungen. Vergessen Sie nicht, dass wir während des Suchprozesses durch die Augen eines Sicherheitsanalysten in unsere Infrastruktur und ihre Schwachstellen eintauchen und diese Punkte weiter stärken können.
Die ersten Schritte, die unserer Meinung nach unternommen werden müssen, um den TH-Prozess in Ihrer Organisation zu starten.
- Kümmern Sie sich um den Schutz von Endpunkten und Netzwerkinfrastruktur. Sorgen Sie für Sichtbarkeit (NetFlow) und Kontrolle (Firewall, IDS, IPS, DLP) aller Prozesse in Ihrem Netzwerk. Kennen Sie Ihr Netzwerk vom Edge-Router bis zum letzten Host.
- Entdecken.
- Führen Sie regelmäßige Pentests mindestens wichtiger externer Ressourcen durch, analysieren Sie deren Ergebnisse, identifizieren Sie die Hauptangriffsziele und schließen Sie deren Schwachstellen.
- Implementieren Sie ein Open-Source-Threat-Intelligence-System (z. B. MISP, Yeti) und analysieren Sie Protokolle in Verbindung damit.
- Implementieren Sie eine Incident-Response-Plattform (IRP): R-Vision IRP, The Hive, Sandbox zur Analyse verdächtiger Dateien (FortiSandbox, Cuckoo).
- Automatisieren Sie Routineprozesse. Die Analyse von Protokollen, die Aufzeichnung von Vorfällen und die Information des Personals sind ein riesiges Feld für die Automatisierung.
- Lernen Sie, effektiv mit Ingenieuren, Entwicklern und dem technischen Support zu interagieren, um bei Vorfällen zusammenzuarbeiten.
- Dokumentieren Sie den gesamten Prozess, die wichtigsten Punkte und die erzielten Ergebnisse, um später darauf zurückzukommen oder diese Daten mit Kollegen zu teilen.
- Seien Sie sozial: Seien Sie sich darüber im Klaren, was mit Ihren Mitarbeitern los ist, wen Sie einstellen und wem Sie Zugriff auf die Informationsressourcen des Unternehmens gewähren.
- Bleiben Sie über Trends im Bereich neuer Bedrohungen und Schutzmethoden auf dem Laufenden, verbessern Sie Ihre technischen Kenntnisse (einschließlich des Betriebs von IT-Diensten und Subsystemen), nehmen Sie an Konferenzen teil und kommunizieren Sie mit Kollegen.
Bereit, die Organisation des TH-Prozesses in den Kommentaren zu diskutieren.
Oder kommen Sie bei uns zur Arbeit!
Quellen und Materialien zum Studieren
Source: habr.com