شکار تهدید یا نحوه محافظت از خود در برابر 5 درصد تهدیدات

95 درصد از تهدیدات امنیت اطلاعات شناخته شده است و شما می توانید با استفاده از ابزارهای سنتی مانند آنتی ویروس ها، فایروال ها، IDS، WAF از خود در برابر آنها محافظت کنید. 5 درصد باقی مانده تهدیدها ناشناخته و خطرناک ترین هستند. آنها 70٪ از خطر را برای یک شرکت تشکیل می دهند، زیرا تشخیص آنها بسیار دشوار است، بسیار کمتر از آنها محافظت می کند. مثال ها "قوهای سیاه" آیا همه‌گیری باج‌افزار WannaCry، NotPetya/ExPetr، cryptominers، «سلاح سایبری» استاکس‌نت (که به تأسیسات هسته‌ای ایران ضربه زد) و بسیاری از حملات دیگر (کس دیگری Kido/Conficker را به یاد می‌آورد؟) هستند که با تدابیر امنیتی کلاسیک به خوبی از آنها دفاع نمی‌شود. ما می خواهیم در مورد نحوه مقابله با این 5 درصد از تهدیدات با استفاده از فناوری Threat Hunting صحبت کنیم.

تکامل مداوم حملات سایبری مستلزم شناسایی و اقدامات متقابل دائمی است که در نهایت ما را به فکر یک مسابقه تسلیحاتی بی پایان بین مهاجمان و مدافعان می‌اندازد. سیستم‌های امنیتی کلاسیک دیگر قادر به ارائه سطح قابل قبولی از امنیت نیستند، که در آن سطح ریسک بر شاخص‌های کلیدی شرکت (اقتصادی، سیاسی، شهرت) تأثیر نمی‌گذارد، بدون اینکه آنها را برای یک زیرساخت خاص اصلاح کنند، اما به طور کلی برخی از آنها را پوشش می‌دهند. خطرات. در حال حاضر در فرآیند پیاده سازی و پیکربندی، سیستم های امنیتی مدرن خود را در نقش عقب نشینی می یابند و باید به چالش های زمان جدید پاسخ دهند.

منبع

فناوری شکار تهدید ممکن است یکی از پاسخ‌های چالش‌های زمان ما برای یک متخصص امنیت اطلاعات باشد. عبارت Threat Hunting (که از این پس به عنوان TH شناخته می شود) چندین سال پیش ظاهر شد. این فناوری به خودی خود بسیار جالب است، اما هنوز هیچ استاندارد و قانون پذیرفته شده ای ندارد. موضوع همچنین به دلیل ناهمگونی منابع اطلاعاتی و تعداد کمی از منابع اطلاعاتی به زبان روسی در مورد این موضوع پیچیده است. در همین راستا، ما در LANIT-Integration تصمیم گرفتیم که بررسی این فناوری را بنویسیم.

اهمیت

فناوری TH بر فرآیندهای نظارت زیرساخت متکی است. دو سناریو اصلی برای نظارت داخلی وجود دارد - هشدار و شکار. هشدار (شبیه به خدمات MSSP) یک روش سنتی برای جستجوی امضاها و نشانه های حملات قبلی توسعه یافته و پاسخ به آنها است. این سناریو با موفقیت توسط ابزارهای حفاظتی سنتی مبتنی بر امضا انجام می شود. شکار (خدمات نوع MDR) یک روش نظارتی است که به این سوال پاسخ می دهد که "امضاها و قوانین از کجا می آیند؟" این فرآیند ایجاد قوانین همبستگی با تجزیه و تحلیل شاخص ها و نشانه های حمله پنهان یا ناشناخته است. Threat Hunting به این نوع نظارت اشاره دارد.

تنها با ترکیب هر دو نوع نظارت، حفاظتی نزدیک به ایده آل بدست می آوریم، اما همیشه سطح معینی از ریسک باقیمانده وجود دارد.

حفاظت با استفاده از دو نوع نظارت

و اینجاست که چرا TH (و شکار به طور کامل!) به طور فزاینده ای مرتبط می شود:

تهدیدها، راه حل ها، خطرات. منبع

95 درصد از همه تهدیدها در حال حاضر به خوبی مطالعه شده اند. اینها شامل انواعی مانند هرزنامه، DDoS، ویروس ها، روت کیت ها و سایر بدافزارهای کلاسیک است. شما می توانید با استفاده از همان اقدامات امنیتی کلاسیک از خود در برابر این تهدیدات محافظت کنید.

در طول اجرای هر پروژه 20 درصد کار، 80 درصد زمان برای تکمیل شدن طول می کشدو 20% باقیمانده کار 80% زمان می برد. به همین ترتیب، در کل چشم انداز تهدید، 5 درصد از تهدیدات جدید 70 درصد از خطر یک شرکت را تشکیل می دهند. در شرکتی که فرآیندهای مدیریت امنیت اطلاعات سازماندهی شده است، می‌توانیم با اجتناب از (اصولاً امتناع از شبکه‌های بی‌سیم)، پذیرش (اجرای اقدامات امنیتی لازم) یا جابجایی، 30 درصد از ریسک اجرای تهدیدات شناخته‌شده را به هر طریقی مدیریت کنیم. (به عنوان مثال، بر روی شانه های یکپارچه ساز) این خطر. از خود محافظت کنید آسیب پذیری های روز صفر، حملات APT، فیشینگ، حملات زنجیره تامین، جاسوسی سایبری و عملیات ملی، و همچنین تعداد زیادی از حملات دیگر در حال حاضر بسیار دشوارتر است. پیامدهای این 5 درصد از تهدیدات بسیار جدی تر خواهد بود (میانگین زیان بانکی از گروه بوتراپ 143 میلیون است) از عواقب هرزنامه یا ویروسی که نرم افزار آنتی ویروس از آنها ذخیره می کند.

تقریباً همه باید با 5 درصد از تهدیدات مقابله کنند. اخیراً مجبور شدیم یک راه حل منبع باز نصب کنیم که از یک برنامه کاربردی از مخزن PEAR (PHP Extension and Application Repository) استفاده می کند. تلاش برای نصب این برنامه از طریق نصب گلابی ناموفق بود زیرا سایت اینترنتی در دسترس نبود (اکنون یک خرد روی آن وجود دارد)، مجبور شدم آن را از GitHub نصب کنم. و اخیراً معلوم شد که گلابی قربانی شده است حملات زنجیره تامین.

میتونی هنوز یادت بیاد حمله با CCleanerاپیدمی باج افزار NePetya از طریق یک ماژول به روز رسانی برای یک برنامه گزارش مالیاتی MEDoc. تهدیدها روز به روز پیچیده تر می شوند و این سؤال منطقی مطرح می شود - "چگونه می توانیم با این 5٪ از تهدیدات مقابله کنیم؟"

تعریف شکار تهدید

بنابراین، Threat Hunting فرآیند جستجوی فعال و تکراری و شناسایی تهدیدات پیشرفته است که توسط ابزارهای امنیتی سنتی قابل شناسایی نیستند. به عنوان مثال، تهدیدات پیشرفته شامل حملاتی مانند APT، حملات به آسیب‌پذیری‌های 0 روزه، Living off the Land و غیره است.

همچنین می‌توانیم بیان کنیم که TH فرآیند آزمایش فرضیه‌ها است. این یک فرآیند عمدتاً دستی با عناصر اتوماسیون است که در آن تحلیلگر، با تکیه بر دانش و مهارت های خود، حجم زیادی از اطلاعات را در جستجوی نشانه هایی از سازش که با فرضیه تعیین شده اولیه در مورد وجود یک تهدید خاص مطابقت دارد، بررسی می کند. ویژگی بارز آن تنوع منابع اطلاعاتی است.

لازم به ذکر است که Threat Hunting نوعی محصول نرم افزاری یا سخت افزاری نیست. اینها هشدارهایی نیستند که در برخی راه حل ها دیده شوند. این یک فرآیند جستجوی IOC (شناسه سازش) نیست. و این نوعی فعالیت منفعل نیست که بدون مشارکت تحلیلگران امنیت اطلاعات رخ دهد. شکار تهدید قبل از هر چیز یک فرآیند است.

اجزای شکار تهدید

سه جزء اصلی Threat Hunting: داده، فناوری، مردم.

داده ها (چی؟)، از جمله داده های بزرگ. انواع جریان های ترافیک، اطلاعات مربوط به APT های قبلی، تجزیه و تحلیل، داده های مربوط به فعالیت کاربر، داده های شبکه، اطلاعات کارکنان، اطلاعات در تاریک نت و بسیاری موارد دیگر.

فن آوری ها (چگونه؟) پردازش این داده ها - همه روش های ممکن برای پردازش این داده ها، از جمله یادگیری ماشین.

افرادی که؟) - کسانی که تجربه زیادی در تجزیه و تحلیل حملات مختلف دارند، شهود و توانایی تشخیص حمله را توسعه داده اند. معمولاً اینها تحلیلگران امنیت اطلاعات هستند که باید توانایی ایجاد فرضیه و تأیید آنها را داشته باشند. آنها حلقه اصلی این فرآیند هستند.

مدل پاریس

آدام بیتمن توصیف می کند مدل PARIS برای فرآیند TH ایده آل. به نظر می رسد این نام به یک مکان دیدنی مشهور در فرانسه اشاره دارد. این مدل را می توان در دو جهت مشاهده کرد - از بالا و از پایین.

همانطور که در مدل از پایین به بالا کار می کنیم، با شواهد زیادی از فعالیت های مخرب روبرو خواهیم شد. هر مدرک دارای معیاری به نام اطمینان است - مشخصه ای که وزن این شواهد را منعکس می کند. "آهن" شواهد مستقیمی از فعالیت های مخرب وجود دارد که بر اساس آن می توانیم بلافاصله به بالای هرم برسیم و یک هشدار واقعی در مورد یک عفونت دقیقاً شناخته شده ایجاد کنیم. و شواهد غیر مستقیمی وجود دارد که مجموع آنها نیز می تواند ما را به بالای هرم برساند. مثل همیشه، شواهد غیرمستقیم بسیار بیشتری نسبت به شواهد مستقیم وجود دارد، به این معنی که آنها نیاز به دسته بندی و تجزیه و تحلیل دارند، تحقیقات بیشتری باید انجام شود، و توصیه می شود این کار به صورت خودکار انجام شود.

مدل پاریس. منبع

قسمت بالایی مدل (1 و 2) مبتنی بر فناوری های اتوماسیون و تجزیه و تحلیل های مختلف است و قسمت پایینی (3 و 4) بر اساس افرادی با شرایط خاصی است که فرآیند را مدیریت می کنند. می توانید مدل را در حال حرکت از بالا به پایین در نظر بگیرید، جایی که در قسمت بالای رنگ آبی، هشدارهایی از ابزارهای امنیتی سنتی (آنتی ویروس، EDR، فایروال، امضاها) با درجه اطمینان و اعتماد بالا داریم و در زیر نشانگرها ( IOC، URL، MD5 و موارد دیگر)، که از درجه اطمینان کمتری برخوردار هستند و نیاز به مطالعه بیشتری دارند. و پایین ترین و ضخیم ترین سطح (4) ایجاد فرضیه ها، ایجاد سناریوهای جدید برای عملکرد وسایل حفاظت سنتی است. این سطح تنها به منابع مشخص فرضیه ها محدود نمی شود. هرچه سطح پایین‌تر باشد، الزامات بیشتری برای صلاحیت‌های تحلیلگر قرار می‌گیرد.

بسیار مهم است که تحلیلگران صرفاً مجموعه محدودی از فرضیه های از پیش تعیین شده را آزمایش نکنند، بلکه دائماً برای ایجاد فرضیه ها و گزینه های جدید برای آزمایش آنها تلاش کنند.

مدل بلوغ استفاده TH

در یک دنیای ایده آل، TH یک فرآیند مداوم است. اما، از آنجایی که دنیای ایده آلی وجود ندارد، بیایید تحلیل کنیم مدل بلوغ و روش ها از نظر افراد، فرآیندها و فناوری های مورد استفاده. اجازه دهید مدلی از یک TH کروی ایده آل را در نظر بگیریم. 5 سطح استفاده از این فناوری وجود دارد. بیایید با استفاده از مثالی از تکامل یک تیم واحد از تحلیلگران به آنها نگاه کنیم.

سطوح بلوغ
مردم
فرایندها
تکنولوژی

سطح 0
تحلیلگران SOC
24/7
سازهای سنتی:

مرسوم
مجموعه ای از هشدارها
نظارت غیرفعال
IDS، AV، Sandboxing،

بدون TH
کار با هشدارها

ابزارهای تجزیه و تحلیل امضا، داده های هوش تهدید.

سطح 1
تحلیلگران SOC
یک بار TH
EDR

تجربی
دانش اولیه پزشکی قانونی
جستجوی IOC
پوشش بخشی از داده ها از دستگاه های شبکه

آزمایش با TH
آشنایی کامل با شبکه ها و برنامه های کاربردی

کاربرد جزئی

سطح 2
اشغال موقت
دوی سرعت
EDR

تناوبی
متوسط ​​دانش پزشکی قانونی
هفته به ماه
برنامه کامل

TH موقت
آشنایی کامل با شبکه ها و برنامه های کاربردی
TH معمولی
اتوماسیون کامل استفاده از داده های EDR

استفاده جزئی از قابلیت های پیشرفته EDR

سطح 3
دستور TH اختصاصی
24/7
توانایی جزئی برای آزمون فرضیه TH

پیشگیرانه
دانش عالی در زمینه پزشکی قانونی و بدافزارها
پیشگیرانه TH
استفاده کامل از قابلیت های پیشرفته EDR

موارد خاص TH
دانش عالی از تیم مهاجم
موارد خاص TH
پوشش کامل داده ها از دستگاه های شبکه

پیکربندی متناسب با نیاز شما

سطح 4
دستور TH اختصاصی
24/7
توانایی کامل برای آزمون فرضیه های TH

منتهی شدن
دانش عالی در زمینه پزشکی قانونی و بدافزارها
پیشگیرانه TH
سطح 3 به علاوه:

با استفاده از TH
دانش عالی از تیم مهاجم
تست، اتوماسیون و تایید فرضیه ها TH
ادغام شدید منابع داده؛

توانایی تحقیق

توسعه با توجه به نیازها و استفاده غیر استاندارد از API.

سطوح بلوغ TH توسط افراد، فرآیندها و فناوری ها

سطح 0: سنتی، بدون استفاده از TH. تحلیلگران معمولی با مجموعه استانداردی از هشدارها در حالت نظارت غیرفعال با استفاده از ابزارها و فناوری‌های استاندارد کار می‌کنند: IDS، AV، sandbox، ابزارهای تجزیه و تحلیل امضا.

سطح 1: تجربی، با استفاده از TH. همین تحلیلگران با دانش اولیه پزشکی قانونی و دانش خوب از شبکه ها و برنامه های کاربردی می توانند با جستجوی شاخص های سازش یک بار شکار تهدید را انجام دهند. EDR ها با پوشش بخشی از داده ها از دستگاه های شبکه به ابزارها اضافه می شوند. ابزارها تا حدی استفاده می شوند.

سطح 2: دوره ای، موقت TH. همان تحلیلگرانی که قبلاً دانش خود را در پزشکی قانونی، شبکه‌ها و بخش برنامه ارتقا داده‌اند، باید به طور منظم درگیر شکار تهدید (اسپرینت) باشند، مثلاً یک هفته در ماه. این ابزارها کاوش کامل داده‌های دستگاه‌های شبکه، اتوماسیون تجزیه و تحلیل داده‌ها از EDR و استفاده جزئی از قابلیت‌های پیشرفته EDR را اضافه می‌کنند.

سطح 3: موارد پیشگیرانه و مکرر TH. تحلیلگران ما خود را در یک تیم اختصاصی سازماندهی کردند و شروع به کسب دانش عالی از پزشکی قانونی و بدافزار و همچنین دانش روش ها و تاکتیک های طرف مهاجم کردند. این فرآیند در حال حاضر 24/7 انجام می شود. این تیم قادر است تا حدی فرضیه های TH را آزمایش کند در حالی که به طور کامل از قابلیت های پیشرفته EDR با پوشش کامل داده ها از دستگاه های شبکه استفاده می کند. تحلیلگران همچنین می توانند ابزارها را مطابق با نیازهای خود پیکربندی کنند.

سطح 4: سطح بالا، از TH استفاده کنید. همین تیم توانایی تحقیق، توانایی تولید و خودکارسازی فرآیند آزمایش فرضیه های TH را به دست آورد. اکنون ابزارها با ادغام نزدیک منابع داده، توسعه نرم افزار برای رفع نیازها و استفاده غیر استاندارد از APIها تکمیل شده اند.

تکنیک های شکار تهدید

تکنیک های اصلی شکار تهدید

К تکنسین ها TH، به ترتیب بلوغ فناوری مورد استفاده، عبارتند از: جستجوی پایه، تجزیه و تحلیل آماری، تکنیک های تجسم، تجمیع ساده، یادگیری ماشین و روش های بیزی.

ساده ترین روش، جستجوی پایه، برای محدود کردن حوزه تحقیق با استفاده از پرس و جوهای خاص استفاده می شود. تجزیه و تحلیل آماری، به عنوان مثال، برای ساختن فعالیت معمول کاربر یا شبکه در قالب یک مدل آماری استفاده می شود. تکنیک های تجسم برای نمایش بصری و ساده سازی تجزیه و تحلیل داده ها در قالب نمودارها و نمودارها استفاده می شود که تشخیص الگوهای موجود در نمونه را بسیار آسان تر می کند. برای بهینه سازی جستجو و تجزیه و تحلیل از تکنیک تجمیع ساده بر اساس فیلدهای کلیدی استفاده می شود. هرچه فرآیند TH سازمان بالغ‌تر شود، استفاده از الگوریتم‌های یادگیری ماشین مرتبط‌تر می‌شود. آنها همچنین به طور گسترده در فیلتر کردن هرزنامه ها، شناسایی ترافیک مخرب و شناسایی فعالیت های تقلبی استفاده می شوند. نوع پیشرفته‌تر الگوریتم یادگیری ماشین، روش‌های بیزی است که امکان طبقه‌بندی، کاهش حجم نمونه و مدل‌سازی موضوع را فراهم می‌کند.

مدل الماس و استراتژی های TH

سرجیو کالتگیرون، اندرو پندگاست و کریستوفر بتز در کارشانمدل الماس تجزیه و تحلیل نفوذ» مؤلفه های اصلی هر فعالیت مخرب و ارتباط اساسی بین آنها را نشان داد.

مدل الماس برای فعالیت های مخرب

بر اساس این مدل، 4 استراتژی شکار تهدید وجود دارد که بر اساس مولفه های کلیدی مربوطه است.

1. استراتژی قربانی محور. ما فرض می کنیم که قربانی مخالفانی دارد و آنها "فرصت ها" را از طریق ایمیل ارائه می دهند. ما به دنبال اطلاعات دشمن در نامه هستیم. جستجو برای پیوندها، پیوست ها و غیره ما برای مدت معینی (یک ماه، دو هفته) به دنبال تأیید این فرضیه هستیم؛ اگر آن را پیدا نکردیم، فرضیه کارساز نبود.

2. استراتژی زیرساخت گرا. روش های مختلفی برای استفاده از این استراتژی وجود دارد. بسته به دسترسی و دید، برخی آسان تر از دیگران هستند. به عنوان مثال، ما سرورهای نام دامنه را که میزبان دامنه های مخرب هستند نظارت می کنیم. یا فرآیند نظارت بر تمام ثبت نام های دامنه جدید را برای الگوی شناخته شده ای که توسط یک دشمن استفاده می شود، طی می کنیم.

3. استراتژی مبتنی بر قابلیت. علاوه بر استراتژی متمرکز بر قربانی که توسط اکثر مدافعان شبکه استفاده می شود، استراتژی متمرکز بر فرصت نیز وجود دارد. این دومین محبوب ترین است و بر شناسایی قابلیت های دشمن، یعنی "بدافزار" و توانایی حریف برای استفاده از ابزارهای قانونی مانند psexec، powershell، certutil و موارد دیگر تمرکز دارد.

4. استراتژی دشمن محور. رویکرد دشمن محوری بر خود دشمن متمرکز است. این شامل استفاده از اطلاعات باز از منابع در دسترس عموم (OSINT)، جمع آوری داده ها در مورد دشمن، تکنیک ها و روش های او (TTP)، تجزیه و تحلیل حوادث قبلی، داده های اطلاعات تهدید و غیره است.

منابع اطلاعات و فرضیه ها در TH

برخی از منابع اطلاعاتی برای شکار تهدید

منابع اطلاعاتی زیادی می تواند وجود داشته باشد. یک تحلیلگر ایده آل باید بتواند اطلاعات را از هر چیزی که در اطراف است استخراج کند. منابع معمولی تقریباً در هر زیرساخت داده‌های ابزارهای امنیتی است: DLP، SIEM، IDS/IPS، WAF/FW، EDR. همچنین، منابع معمولی اطلاعات، شاخص‌های مختلف مصالحه، سرویس‌های اطلاعات تهدید، داده‌های CERT و OSINT خواهند بود. علاوه بر این، می توانید از اطلاعات تاریک نت استفاده کنید (مثلاً به طور ناگهانی دستور هک صندوق پستی رئیس یک سازمان داده می شود یا نامزدی برای سمت مهندس شبکه برای فعالیت خود افشا شده است)، اطلاعات دریافتی از HR (بررسی های نامزد از محل کار قبلی)، اطلاعات سرویس امنیتی (به عنوان مثال، نتایج تأیید طرف مقابل).

اما قبل از استفاده از تمامی منابع موجود، داشتن حداقل یک فرضیه ضروری است.

منبع

برای آزمون فرضیه ها ابتدا باید آنها را مطرح کرد. و برای مطرح کردن بسیاری از فرضیه های با کیفیت بالا، لازم است یک رویکرد سیستماتیک اعمال شود. فرآیند ایجاد فرضیه ها با جزئیات بیشتری در این مقاله توضیح داده شده است مقاله، بسیار راحت است که این طرح را مبنایی برای فرآیند ارائه فرضیه ها قرار دهیم.

منبع اصلی فرضیه ها خواهد بود ماتریس ATT&CK (تاکتیک ها، تکنیک ها و دانش مشترک). در اصل، این یک پایگاه دانش و مدل برای ارزیابی رفتار مهاجمانی است که فعالیت های خود را در آخرین مراحل حمله انجام می دهند که معمولاً با استفاده از مفهوم زنجیره کشتن توصیف می شود. یعنی در مراحل پس از نفوذ یک مهاجم به شبکه داخلی یک شرکت یا روی یک دستگاه تلفن همراه. پایگاه دانش در ابتدا شامل توصیفی از 121 تاکتیک و تکنیک مورد استفاده در حمله بود که هر یک به تفصیل در قالب ویکی توضیح داده شده است. تجزیه و تحلیل های مختلف هوش تهدید به عنوان منبعی برای ایجاد فرضیه مناسب هستند. نکته قابل توجه نتایج تجزیه و تحلیل زیرساخت و تست‌های نفوذ است - این با ارزش‌ترین داده‌ای است که فرضیه‌های آهنین می‌توانند به ما بدهند، زیرا بر اساس یک زیرساخت خاص با کاستی‌های خاص آن استوار هستند.

فرآیند آزمون فرضیه

سرگئی سولداتوف آورد نمودار خوب با شرح مفصلی از فرآیند، روند آزمایش فرضیه های TH را در یک سیستم واحد نشان می دهد. مراحل اصلی را با توضیح مختصری بیان می کنم.

منبع

مرحله 1: مزرعه TI

در این مرحله لازم است برجسته شود اشیاء (با تجزیه و تحلیل آنها همراه با تمام داده های تهدید) و تعیین برچسب برای ویژگی های آنها. اینها فایل، URL، MD5، فرآیند، ابزار، رویداد هستند. هنگام عبور آنها از سیستم های Threat Intelligence، لازم است برچسب ها را ضمیمه کنید. یعنی این سایت در فلان سال در CNC مورد توجه قرار گرفت، این MD5 با فلان بدافزار همراه بود، این MD5 از سایتی که بدافزار توزیع می کرد دانلود شد.

مرحله 2: موارد

در مرحله دوم، به تعامل بین این اشیا نگاه می کنیم و روابط بین همه این اشیاء را شناسایی می کنیم. ما سیستم های علامت گذاری شده ای دریافت می کنیم که کار بدی انجام می دهند.

مرحله 3: تحلیلگر

در مرحله سوم پرونده به یک تحلیلگر با تجربه که تجربه زیادی در تحلیل دارد منتقل می شود و او حکم می کند. او به بایت ها تجزیه می کند که این کد چه، کجا، چگونه، چرا و چرا انجام می دهد. این بدنه بدافزار بود، این رایانه آلوده بود. ارتباطات بین اشیاء را آشکار می کند، نتایج دویدن از طریق جعبه شنی را بررسی می کند.

نتایج کار تحلیلگر بیشتر منتقل می شود. Digital Forensics تصاویر را بررسی می کند، تجزیه و تحلیل بدافزار "اجساد" یافت شده را بررسی می کند، و تیم Incident Response می تواند به سایت برود و چیزی را در آنجا بررسی کند. نتیجه کار یک فرضیه تایید شده، یک حمله شناسایی شده و راه های مقابله با آن خواهد بود.

منبع
 

نمایش نتایج: از

Threat Hunting یک فناوری نسبتاً جوان است که می تواند به طور مؤثر با تهدیدات سفارشی، جدید و غیر استاندارد مقابله کند، که با توجه به تعداد فزاینده چنین تهدیداتی و پیچیدگی روزافزون زیرساخت های شرکت، چشم اندازهای بسیار خوبی دارد. این به سه جزء نیاز دارد - داده ها، ابزارها و تحلیلگران. مزایای Threat Hunting به جلوگیری از اجرای تهدیدات محدود نمی شود. فراموش نکنید که در طول فرآیند جستجو، ما به زیرساخت ها و نقاط ضعف آن از چشم یک تحلیلگر امنیتی می پردازیم و می توانیم این نقاط را بیشتر تقویت کنیم.

اولین قدم هایی که به نظر ما برای شروع فرآیند TH در سازمان شما باید انجام شود.

1. مراقب محافظت از نقاط پایانی و زیرساخت شبکه باشید. مراقب دید (NetFlow) و کنترل (دیوار آتش، IDS، IPS، DLP) همه فرآیندهای شبکه خود باشید. شبکه خود را از روتر لبه تا آخرین میزبان بشناسید.
2. کاوش کنید میتر ATT و CK.
3. به طور منظم حداقل منابع خارجی کلیدی را انجام دهید، نتایج آن را تجزیه و تحلیل کنید، اهداف اصلی حمله را شناسایی کنید و آسیب پذیری های آنها را ببندید.
4. یک سیستم منبع باز Threat Intelligence (به عنوان مثال، MISP، Yeti) را پیاده سازی کنید و گزارش ها را در ارتباط با آن تجزیه و تحلیل کنید.
5. یک پلت فرم واکنش به حادثه (IRP): R-Vision IRP، The Hive، sandbox برای تجزیه و تحلیل فایل های مشکوک (FortiSandbox، Cuckoo) را پیاده سازی کنید.
6. فرآیندهای روتین را خودکار کنید. تجزیه و تحلیل سیاهههای مربوط، ثبت حوادث، اطلاع رسانی به کارکنان زمینه بزرگی برای اتوماسیون است.
7. یاد بگیرید که به طور موثر با مهندسان، توسعه دهندگان و پشتیبانی فنی برای همکاری در حوادث تعامل داشته باشید.
8. کل فرآیند، نکات کلیدی، نتایج به دست آمده را مستند کنید تا بعداً به آنها برگردید یا این داده ها را با همکاران به اشتراک بگذارید.
9. اجتماعی باشید: از اتفاقاتی که با کارمندانتان می‌گذرد، چه کسانی را استخدام می‌کنید و به چه کسانی اجازه دسترسی به منابع اطلاعاتی سازمان را می‌دهید، آگاه باشید.
10. با روندها در زمینه تهدیدات جدید و روش های حفاظت آشنا شوید، سطح سواد فنی خود را افزایش دهید (از جمله در عملکرد خدمات و زیرسیستم های فناوری اطلاعات)، در کنفرانس ها شرکت کنید و با همکاران ارتباط برقرار کنید.

آماده بحث در مورد سازماندهی فرآیند TH در نظرات.

یا بیا با ما کار کن

• مشاور امنیت اطلاعات
• معمار سیستم برای امنیت اطلاعات
• مهندس ارشد امنیت شبکه
• مهندس ارشد امنیت اطلاعات (SIEM)
• معمار امنیت اطلاعات (برنامه)

منابع و مواد مورد مطالعه

• تهدید شکارچی.گورو
• attack.mitre.org
• digital-forensics.sans.org
• منابع.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• reply-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

منبع: www.habr.com