Tietoturvauhkista 95 % tunnetaan, ja niiltä voi suojautua perinteisillä keinoilla, kuten virustorjunta, palomuuri, IDS, WAF. Loput 5 % uhista ovat tuntemattomia ja vaarallisimpia. Ne muodostavat 70 % yrityksen riskeistä, koska niitä on erittäin vaikea havaita ja vielä vähemmän suojata niiltä. Esimerkkejä ovat WannaCry ransomware -epidemia, NotPetya/ExPetr, kryptomineraat, "kyberase" Stuxnet (joka osui Iranin ydinlaitoksiin) ja monet (muista muistaako joku Kidon/Confickerin?) muita hyökkäyksiä, joita vastaan ei ole kovin hyvin suojattu klassisilla turvatoimilla. Haluamme puhua siitä, kuinka torjua nämä 5 % uhista käyttämällä Threat Hunting -tekniikkaa.
Kyberhyökkäysten jatkuva kehitys vaatii jatkuvaa havaitsemista ja vastatoimia, mikä saa meidät lopulta ajattelemaan loputonta kilpavarustelua hyökkääjien ja puolustajien välillä. Klassiset turvajärjestelmät eivät enää pysty tarjoamaan hyväksyttävää turvallisuustasoa, jossa riskitaso ei vaikuta yrityksen avainindikaattoreihin (taloudellinen, poliittinen, maine) ilman, että niitä muokataan tietylle infrastruktuurille, mutta yleensä ne kattavat osan riskejä. Nykyaikaiset turvajärjestelmät joutuvat jo toteutus- ja konfigurointivaiheessa kuromaan kiinni ja niiden on vastattava uuden ajan haasteisiin.
Uhkametsästysteknologia voi olla tietoturva-asiantuntijalle yksi vastaus aikamme haasteisiin. Termi Threat Hunting (jäljempänä TH) ilmestyi useita vuosia sitten. Tekniikka itsessään on varsin mielenkiintoinen, mutta sillä ei vielä ole yleisesti hyväksyttyjä standardeja ja sääntöjä. Asiaa vaikeuttaa myös tietolähteiden heterogeenisuus ja venäjänkielisten tietolähteiden vähäisyys aiheesta. Tältä osin me LANIT-Integrationissa päätimme kirjoittaa arvostelun tästä tekniikasta.
ajankohtaisuus
TH-teknologia perustuu infrastruktuurin valvontaprosesseihin.. Hälytys (samanlainen kuin MSSP-palvelut) on perinteinen tapa etsiä aiemmin kehitettyjä allekirjoituksia ja merkkejä hyökkäyksistä ja vastata niihin. Tämä skenaario onnistuu perinteisillä allekirjoituspohjaisilla suojaustyökaluilla. Metsästys (MDR-tyyppinen palvelu) on seurantamenetelmä, joka vastaa kysymykseen "Mistä allekirjoitukset ja säännöt tulevat?" Se on prosessi, jossa luodaan korrelaatiosääntöjä analysoimalla piilotettuja tai aiemmin tuntemattomia indikaattoreita ja hyökkäyksen merkkejä. Uhkien metsästys viittaa tämän tyyppiseen seurantaan.
Vain yhdistämällä molempia valvontatyyppejä saamme suojan, joka on lähellä ihannetta, mutta jäännösriskiä on aina tietty taso.
Suojaus kahdella valvonnalla
Ja tästä syystä TH:sta (ja metsästyksestä kokonaisuudessaan!) tulee yhä tärkeämpää:
Uhat, parannuskeinot, riskit.
. Näitä ovat muun muassa roskaposti, DDoS, virukset, rootkit-ohjelmat ja muut klassiset haittaohjelmat. Voit suojautua näiltä uhilta samoilla klassisilla turvatoimilla.
Minkä tahansa hankkeen toteuttamisen aikana, ja loput 20 % työstä vie 80 % ajasta. Samoin koko uhkakuvassa 5 % uusista uhista muodostaa 70 % yrityksen riskeistä. Yrityksessä, jossa tietoturvan hallintaprosessit ovat organisoituja, voimme hallita 30 % riskistä tunnettujen uhkien toteutumisesta tavalla tai toisella välttämällä (periaatteessa langattomien verkkojen kieltäytyminen), hyväksymällä (toteuttamalla tarvittavat turvatoimenpiteet) tai siirtämällä (esimerkiksi integraattorin harteille) tämä riski. Suojaa itsesi, APT-hyökkäykset, tietojenkalastelu,, kybervakoilu ja kansalliset operaatiot sekä monet muut hyökkäykset ovat jo paljon vaikeampia. Näiden 5 prosentin uhista seuraukset ovat paljon vakavammat () kuin roskapostin tai virusten seuraukset, joista virustorjuntaohjelmisto säästää.
Melkein jokaisen on kohdattava 5 % uhista. Jouduimme äskettäin asentamaan avoimen lähdekoodin ratkaisun, joka käyttää sovellusta PEAR (PHP Extension and Application Repository) -arkistosta. Yritys asentaa tämä sovellus päärynäasennuksella epäonnistui, koska ei ollut saatavilla (nyt siinä on tynkä), minun piti asentaa se GitHubista. Ja juuri äskettäin kävi ilmi, että PEARista tuli uhri.
Voitko vielä muistaa, NePetya ransomware -epidemia veroraportointiohjelman päivitysmoduulin kautta. Uhkat ovat yhä kehittyneempiä, ja herää looginen kysymys: "Kuinka voimme torjua nämä 5 % uhista?"
Määritelmä Uhkametsästys
Uhkien metsästys on siis ennakoivaa ja iteratiivista edistyneiden uhkien etsimistä ja havaitsemista, joita perinteiset tietoturvatyökalut eivät pysty havaitsemaan. Kehittyneitä uhkia ovat esimerkiksi hyökkäykset, kuten APT, hyökkäykset 0-päivän haavoittuvuuksia vastaan, Living off the Land ja niin edelleen.
Voimme myös muotoilla uudelleen, että TH on hypoteesien testausprosessi. Tämä on pääasiassa manuaalinen prosessi, jossa on automaatioelementtejä, jossa analyytikko tietoihinsa ja taitoihinsa luottaen seuloi läpi suuria tietomääriä etsiessään kompromissin merkkejä, jotka vastaavat alun perin määritettyä hypoteesia tietyn uhan olemassaolosta. Sen erottuva piirre on tietolähteiden monipuolisuus.
On huomattava, että Threat Hunting ei ole jonkinlainen ohjelmisto- tai laitteistotuote. Nämä eivät ole hälytyksiä, jotka voidaan nähdä joissakin ratkaisuissa. Tämä ei ole IOC (Identifiers of Compromise) -hakuprosessi. Ja tämä ei ole jonkinlaista passiivista toimintaa, joka tapahtuu ilman tietoturva-analyytikkojen osallistumista. Uhkien metsästys on ennen kaikkea prosessi.
Uhkametsästyksen osat
Uhkien metsästyksen kolme pääkomponenttia: data, teknologia, ihmiset.
Data (mitä?)mukaan lukien Big Data. Kaikenlaiset liikennevirrat, tiedot aiemmista APT:istä, analytiikka, käyttäjien aktiivisuustiedot, verkkotiedot, tiedot työntekijöiltä, tiedot darknetistä ja paljon muuta.
Tekniikat (miten?) näiden tietojen käsittely – kaikki mahdolliset tavat käsitellä näitä tietoja, mukaan lukien koneoppiminen.
Ihmiset jotka?) – henkilöt, joilla on laaja kokemus erilaisten hyökkäysten analysoinnista, kehittynyt intuitio ja kyky havaita hyökkäys. Tyypillisesti nämä ovat tietoturva-analyytikoita, joilla on oltava kyky luoda hypoteeseja ja löytää niille vahvistus. Ne ovat tärkein linkki prosessissa.
Malli PARIS
Adam Bateman PARIS-malli ihanteelliseen TH-prosessiin. Nimi viittaa kuuluisaan maamerkkiin Ranskassa. Tätä mallia voidaan tarkastella kahteen suuntaan - ylhäältä ja alhaalta.
Kun käymme läpi mallin alhaalta ylöspäin, kohtaamme paljon todisteita haitallisesta toiminnasta. Jokaisella todisteella on mitta, jota kutsutaan luottamus - ominaisuus, joka heijastaa tämän todisteen painoarvoa. On olemassa "rautaa", suoria todisteita haitallisesta toiminnasta, jonka mukaan voimme saavuttaa välittömästi pyramidin huipulle ja luoda varsinaisen hälytyksen tarkasti tunnetusta tartunnasta. Ja on epäsuoria todisteita, joiden summa voi myös johtaa meidät pyramidin huipulle. Kuten aina, epäsuoraa näyttöä on paljon enemmän kuin suoraa näyttöä, mikä tarkoittaa, että ne täytyy lajitella ja analysoida, tehdä lisätutkimuksia ja tämä on suositeltavaa automatisoida.
Malli PARIS.
Mallin yläosa (1 ja 2) perustuu automaatioteknologioihin ja erilaisiin analytiikkaan ja alaosa (3 ja 4) tietyn pätevyyden omaaviin henkilöihin, jotka johtavat prosessia. Voit harkita mallin siirtymistä ylhäältä alas, jossa sinisen värin yläosassa on varoituksia perinteisistä tietoturvatyökaluista (virustorjunta, EDR, palomuuri, allekirjoitukset) korkealla varmuudella ja luotettavuudella, ja alla on ilmaisimet ( IOC, URL, MD5 ja muut), joiden varmuusaste on pienempi ja jotka vaativat lisätutkimuksia. Ja alin ja paksuin taso (4) on hypoteesien luominen, uusien skenaarioiden luominen perinteisten suojakeinojen toiminnalle. Tämä taso ei rajoitu vain tiettyihin hypoteesien lähteisiin. Mitä matalampi taso, sitä enemmän vaatimuksia analyytikon pätevyydelle asetetaan.
On erittäin tärkeää, että analyytikot eivät vain testaa rajallista joukkoa ennalta määritettyjä hypoteeseja, vaan työskentelevät jatkuvasti luodakseen uusia hypoteeseja ja vaihtoehtoja niiden testaamiseen.
TH:n käyttöikämalli
Ihanteellisessa maailmassa TH on jatkuva prosessi. Mutta koska ideaalimaailmaa ei ole olemassa, analysoidaan ja menetelmät ihmisten, prosessien ja käytettyjen teknologioiden osalta. Tarkastellaan ideaalisen pallomaisen TH:n mallia. Tämän tekniikan käytössä on 5 tasoa. Tarkastellaanpa niitä yksittäisen analyytikkoryhmän kehityksen esimerkillä.
Kypsyysaste
Ihmiset
prosessit
Tekniikka
0-taso
SOC analyytikot
24/7
Perinteiset soittimet:
Perinteinen
Joukko hälytyksiä
Passiivinen seuranta
IDS, AV, hiekkalaatikko,
Ilman TH:ta
Työskentely hälytysten kanssa
Allekirjoituksen analysointityökalut, uhkatiedon tiedot.
1-taso
SOC analyytikot
Kertaluonteinen TH
EDR
Kokeellinen
Oikeuslääketieteen perustiedot
IOC:n haku
Verkkolaitteiden tietojen osittainen peitto
Kokeilut TH:n kanssa
Hyvä verkostojen ja sovellusten tuntemus
Osittainen hakemus
2-taso
Väliaikainen ammatti
Sprintit
EDR
Jaksottainen
Oikeuslääketieteen keskimääräinen tietämys
Viikosta kuukauteen
Täysi hakemus
Väliaikainen TH
Erinomainen tietoverkoista ja sovelluksista
Tavallinen TH
Täysi automatisointi EDR-tiedonkäytössä
Edistyneiden EDR-ominaisuuksien osittainen käyttö
3-taso
Omistettu TH-komento
24/7
Osittainen kyky testata hypoteeseja TH
Ennaltaehkäisevä
Erinomainen rikosteknisten ja haittaohjelmien tuntemus
Ennaltaehkäisevä TH
Edistyneiden EDR-ominaisuuksien täysi käyttö
Erikoistapaukset TH
Erinomainen hyökkäävän puolen tuntemus
Erikoistapaukset TH
Täysi kattavuus verkkolaitteiden tiedoista
Kokoonpano tarpeidesi mukaan
4-taso
Omistettu TH-komento
24/7
Täysi kyky testata TH-hypoteesia
Johtava
Erinomainen rikosteknisten ja haittaohjelmien tuntemus
Ennaltaehkäisevä TH
Taso 3, plus:
Käyttämällä TH:ta
Erinomainen hyökkäävän puolen tuntemus
Hypoteesien testaus, automatisointi ja todentaminen TH
tietolähteiden tiukka integrointi;
Tutkimuskyky
tarpeiden mukainen kehitys ja API:n epätyypillinen käyttö.
TH-kypsyysaste ihmisten, prosessien ja teknologioiden mukaan
Taso 0: perinteinen, ilman TH:ta. Säännölliset analyytikot työskentelevät vakiovaroitusjoukon kanssa passiivisessa valvontatilassa käyttämällä vakiotyökaluja ja -tekniikoita: IDS, AV, hiekkalaatikko, allekirjoitusten analysointityökalut.
Taso 1: kokeellinen, käyttäen TH:ta. Samat analyytikot, joilla on perustiedot rikosteknisestä sekä hyvät tiedot verkoista ja sovelluksista, voivat suorittaa kertaluonteisen uhkien metsästyksen etsimällä kompromissin indikaattoreita. EDR:t lisätään työkaluihin, jotka kattavat osittaisen datan verkkolaitteista. Välineet ovat osittain käytössä.
Taso 2: määräaikainen, väliaikainen TH. Samat analyytikot, jotka ovat jo päivittäneet tietämystään rikosteknisistä, verkoista ja sovellusosista, joutuvat säännöllisesti harjoittelemaan Uhkien metsästystä (sprinttiä), esimerkiksi viikoittain kuukaudessa. Työkalut lisäävät verkkolaitteiden tietojen täyden tutkimisen, EDR-tietojen analysoinnin automatisoinnin ja edistyneiden EDR-ominaisuuksien osittaisen käytön.
Taso 3: ennaltaehkäisevät, usein esiintyvät TH-tapaukset. Analyytikomme organisoituivat omistautuneeksi tiimiksi, ja he alkoivat saada erinomaiset tiedot rikosteknisistä ja haittaohjelmista sekä hyökkäävän puolen menetelmistä ja taktiikoista. Prosessi suoritetaan jo 24/7. Tiimi pystyy testaamaan osittain TH-hypoteesia hyödyntäen samalla täysin EDR:n edistyneitä ominaisuuksia kattaen verkon laitteilta saatavan datan. Analyytikot voivat myös konfiguroida työkaluja tarpeidensa mukaan.
Taso 4: huippuluokan, käytä TH:ta. Sama tiimi hankki kyvyn tutkia, tuottaa ja automatisoida TH-hypoteesien testausprosessia. Nyt työkaluja on täydennetty tietolähteiden tiiviillä integroinnilla, tarpeiden mukaisella ohjelmistokehityksellä ja sovellusliittymien epätyypillisellä käytöllä.
Uhkien metsästystekniikat
Uhkien metsästyksen perustekniikat
К TH, käytetyn teknologian kypsyysjärjestyksessä, ovat: perushaku, tilastollinen analyysi, visualisointitekniikat, yksinkertaiset aggregaatiot, koneoppiminen ja Bayesin menetelmät.
Yksinkertaisinta menetelmää, perushakua, käytetään tutkimusalueen rajaamiseen erityisillä kyselyillä. Tilastollista analyysiä käytetään esimerkiksi tyypillisen käyttäjä- tai verkkotoiminnan rakentamiseen tilastollisen mallin muodossa. Visualisointitekniikoita käytetään datan visuaaliseen näyttämiseen ja yksinkertaistamiseen kaavioiden ja kaavioiden muodossa, mikä helpottaa kuvioiden erottamista otoksesta. Yksinkertaisten aggregaatioiden tekniikkaa avainkenttien mukaan käytetään haun ja analyysin optimointiin. Mitä kypsempään organisaation TH-prosessi etenee, sitä merkityksellisempää on koneoppimisalgoritmien käyttö. Niitä käytetään myös laajalti roskapostin suodattamiseen, haitallisen liikenteen havaitsemiseen ja vilpillisten toimintojen havaitsemiseen. Edistyksellisempi koneoppimisalgoritmityyppi on Bayesin menetelmät, jotka mahdollistavat luokittelun, otoskoon pienentämisen ja aiheen mallintamisen.
Timanttimalli ja TH-strategiat
Sergio Caltagiron, Andrew Pendegast ja Christopher Betz työssään "» osoitti minkä tahansa haitallisen toiminnan pääkomponentit ja niiden välisen perusyhteyden.
Timanttimalli haitalliseen toimintaan
Tämän mallin mukaan on olemassa 4 uhkien metsästysstrategiaa, jotka perustuvat vastaaviin avainkomponentteihin.
1. Uhrilähtöinen strategia. Oletamme, että uhrilla on vastustajia ja he toimittavat "mahdollisuudet" sähköpostitse. Etsimme vihollistietoja postista. Etsi linkkejä, liitteitä jne. Etsimme vahvistusta tälle hypoteesille tietyn ajan (kuukausi, kaksi viikkoa); jos emme löydä sitä, hypoteesi ei toiminut.
2. Infrastruktuurisuuntautunut strategia. Tämän strategian käyttämiseen on useita tapoja. Riippuen pääsystä ja näkyvyydestä, jotkut ovat helpompia kuin toiset. Valvomme esimerkiksi verkkotunnuspalvelimia, joiden tiedetään isännöivän haitallisia verkkotunnuksia. Tai seuraamme kaikkia uusia verkkotunnusten rekisteröintejä vastustajan käyttämän tunnetun mallin varalta.
3. Valmiuksiin perustuva strategia. Useimpien verkoston puolustajien käyttämän uhrikeskeisen strategian lisäksi on olemassa mahdollisuuskeskeinen strategia. Se on toiseksi suosituin ja keskittyy havaitsemaan vastustajan ominaisuuksia, nimittäin "haittaohjelmia" ja vastustajan kykyä käyttää laillisia työkaluja, kuten psexec, powershell, certutil ja muut.
4. Vihollislähtöinen strategia. Vastustajakeskeinen lähestymistapa keskittyy vastustajaan itseensä. Tämä sisältää avoimen tiedon käytön julkisesti saatavilla olevista lähteistä (OSINT), tiedon keräämisestä vihollisesta, hänen tekniikoistaan ja menetelmistään (TTP), aikaisempien tapausten analysoinnin, uhkatiedustelun jne.
Tietolähteet ja hypoteesit TH:ssa
Jotkut tietolähteet uhkien metsästykseen
Tietolähteitä voi olla monia. Ihanteellisen analyytikon pitäisi pystyä poimimaan tietoa kaikesta, mitä ympärillä on. Tyypillisiä lähteitä lähes missä tahansa infrastruktuurissa ovat tietoturvatyökalujen tiedot: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Tyypillisiä tietolähteitä ovat myös erilaiset kompromissiindikaattorit, Threat Intelligence -palvelut, CERT- ja OSINT-tiedot. Lisäksi voit hyödyntää darknetistä saatua tietoa (esimerkiksi yhtäkkiä tulee käsky hakkeroida organisaation johtajan postilaatikko tai verkkoinsinöörin virkaan on paljastunut toiminnastaan), HR (hakijan arvostelut aiemmalta työpaikalta), tiedot turvallisuuspalvelusta (esimerkiksi vastapuolen tarkastuksen tulokset).
Mutta ennen kuin käytät kaikkia saatavilla olevia lähteitä, on oltava vähintään yksi hypoteesi.
Hypoteesien testaamiseksi ne on ensin esitettävä. Ja jotta voidaan esittää monia korkealaatuisia hypoteeseja, on tarpeen soveltaa systemaattista lähestymistapaa. Hypoteesien luomisprosessi on kuvattu yksityiskohtaisemmin kohdassa, on erittäin kätevää ottaa tämä kaavio hypoteesien esittämisprosessin perustaksi.
Pääasiallinen hypoteesien lähde tulee olemaan ATT&CK matriisi (Riistotaktiikat, tekniikat ja yhteinen tieto). Se on pohjimmiltaan tietokanta ja malli, jonka avulla voidaan arvioida hyökkääjien käyttäytymistä, jotka suorittavat toimintaansa hyökkäyksen viimeisissä vaiheissa, joita yleensä kuvataan Kill Chain -konseptilla. Eli niissä vaiheissa, joissa hyökkääjä on tunkeutunut yrityksen sisäiseen verkkoon tai mobiililaitteeseen. Tietokanta sisälsi alunperin kuvaukset 121 hyökkäyksessä käytetystä taktiikasta ja tekniikasta, joista jokainen on kuvattu yksityiskohtaisesti Wiki-muodossa. Erilaiset Threat Intelligence -analyysit sopivat hyvin lähteeksi hypoteesien luomiseen. Erityisen huomionarvoisia ovat infrastruktuurianalyysien ja penetraatiotestien tulokset - tämä on arvokkain tieto, joka voi antaa meille rautaisia hypoteeseja, koska ne perustuvat tiettyyn infrastruktuuriin erityisine puutteineen.
Hypoteesin testausprosessi
Sergei Soldatov toi prosessin yksityiskohtaisella kuvauksella se havainnollistaa TH-hypoteesien testausprosessia yhdessä järjestelmässä. Ilmoitan päävaiheet lyhyellä kuvauksella.
Vaihe 1: TI Farm
Tässä vaiheessa on tarpeen korostaa esineitä (analysoimalla ne yhdessä kaikkien uhkatietojen kanssa) ja antamalla niille tunnisteet niiden ominaisuuksille. Nämä ovat tiedosto, URL, MD5, prosessi, apuohjelma, tapahtuma. Kun ne viedään Threat Intelligence -järjestelmien läpi, on tarpeen kiinnittää tunnisteet. Toisin sanoen tämä sivusto havaittiin CNC:ssä sellaisena ja sellaisena vuonna, tämä MD5 liittyi sellaiseen ja sellaiseen haittaohjelmaan, tämä MD5 ladattiin sivustolta, joka jakeli haittaohjelmia.
Vaihe 2: Tapaukset
Toisessa vaiheessa tarkastelemme näiden objektien välistä vuorovaikutusta ja tunnistamme kaikkien näiden objektien väliset suhteet. Saamme merkittyjä järjestelmiä, jotka tekevät jotain pahaa.
Vaihe 3: Analyytikko
Kolmannessa vaiheessa asia siirretään kokeneelle analyytikolle, jolla on laaja kokemus analysoinnista, ja hän tekee tuomion. Hän jäsentää tavuiksi mitä, missä, miten, miksi ja miksi tämä koodi tekee. Tämä ruumis oli haittaohjelma, tämä tietokone oli saastunut. Paljastaa objektien väliset yhteydet, tarkistaa hiekkalaatikon läpi juoksemisen tulokset.
Analyytikon työn tulokset välitetään edelleen. Digital Forensics tutkii kuvat, Malware Analysis tutkii löydetyt "ruumiit", ja Incident Response -tiimi voi mennä sivustolle ja tutkia jotain siellä jo olevaa. Työn tuloksena on vahvistettu hypoteesi, tunnistettu hyökkäys ja keinot torjua sitä.
Tulokset
Threat Hunting on melko nuori tekniikka, joka voi tehokkaasti torjua räätälöityjä, uusia ja epätyypillisiä uhkia, ja jolla on suuret mahdollisuudet ottaa huomioon tällaisten uhkien kasvava määrä ja yritysten infrastruktuurin monimutkaistuminen. Se vaatii kolme komponenttia - tiedot, työkalut ja analyytikot. Uhkametsästyksen hyödyt eivät rajoitu uhkien toteutumisen estämiseen. Älä unohda, että hakuprosessin aikana sukeltamme infrastruktuuriimme ja sen heikkoihin kohtiin tietoturva-analyytikon silmin ja voimme vahvistaa näitä kohtia entisestään.
Ensimmäiset askeleet, jotka meidän mielestämme on otettava TH-prosessin aloittamiseksi organisaatiossasi.
- Huolehdi päätepisteiden ja verkkoinfrastruktuurin suojaamisesta. Huolehdi kaikkien verkossasi olevien prosessien näkyvyydestä (NetFlow) ja hallinnasta (palomuuri, IDS, IPS, DLP). Tunne verkkosi reunareitittimestä viimeiseen isäntään.
- Tutkia.
- Suorita säännöllisiä testauksia ainakin tärkeimmille ulkoisille resursseille, analysoi sen tulokset, tunnista hyökkäyksen pääkohteet ja sulje niiden haavoittuvuudet.
- Ota käyttöön avoimen lähdekoodin Threat Intelligence -järjestelmä (esimerkiksi MISP, Yeti) ja analysoi lokit sen yhteydessä.
- Toteuta tapahtumavastausalusta (IRP): R-Vision IRP, The Hive, hiekkalaatikko epäilyttävien tiedostojen analysointiin (FortiSandbox, Cuckoo).
- Automatisoi rutiiniprosessit. Lokien analysointi, tapausten kirjaaminen, henkilöstön tiedottaminen on valtava automaation ala.
- Opi olemaan tehokas vuorovaikutuksessa insinöörien, kehittäjien ja teknisen tuen kanssa tehdäksesi yhteistyötä tapahtumien varalta.
- Dokumentoi koko prosessi, avainkohdat, saavutetut tulokset, jotta voit palata niihin myöhemmin tai jakaa nämä tiedot kollegoiden kanssa;
- Ole sosiaalinen: Ole tietoinen siitä, mitä työntekijöillesi tapahtuu, keitä palkkaat ja kenelle annat pääsyn organisaation tietoresursseihin.
- Pysy ajan tasalla uusien uhkien ja suojausmenetelmien trendeistä, nosta teknistä lukutaitotasi (mukaan lukien IT-palvelujen ja -alijärjestelmien toiminnassa), osallistu konferensseihin ja kommunikoi kollegoiden kanssa.
Valmiina keskustelemaan TH-prosessin organisoinnista kommenteissa.
Tai tule meille töihin!
Lähteet ja materiaalit tutkittavaksi
Lähde: will.com